Что делает вход уязвимым для XSS?

Question

Что делает вход уязвимым для XSS?

Я читал о XSS, и я сделал простую форму с текстом, и отправьте вход, но когда я выполняюсь <script>alert();</script> на нем ничего не происходит, сервер получает ту строку, и это - все.

Для чего я должен сделать, делают это уязвимым?? (затем я изучу то, что я не должен делать hehe),

Удачи.

7

javascript html security xss

задан Dolph 25 May 2010 в 18:54

5 ответов


         
            
         
            
               
                  
                      Вы должны «внедрить» скрипт. Итак, если у вас есть текстовый ввод, вы должны ввести форму: 

" /> <script>alert();</script>


 Таким образом вы сначала закрываете атрибут существующего HTML, а затем вводите свой собственный код. Идея состоит в том, чтобы избежать кавычек. 
                  
                  
                     
                     4

                  
                  
                  
                     ответ дан                      6 December 2019 в 04:51 
                  
                  поделиться
               
                              
                  
                     
      
                                         
                  
               
            
         
         
            
         
            
               
                  
                      Три простые вещи: 


 Если в какой-то момент вы не выводите ненадежные данные на страницу, XSS не сможет использовать 
 Все ваши ненадежные данные (формы, строки запросов, заголовки и т. д.) должны быть проверены по белому списку, чтобы убедиться, что он находится в допустимом диапазоне 
 Весь ваш вывод на экран должен быть закодирован с помощью соответствующей библиотеки (например, Anti-XSS для .NET) на соответствующем языке (HTML, CSS, JS и т. Д.). 


 Дополнительная информация с примерами в  OWASP Top 10 для разработчиков .NET, часть 2: Межсайтовый скриптинг (XSS) . 
                  
                  
                     
                     1

                  
                  
                  
                     ответ дан                      6 December 2019 в 04:51 
                  
                  поделиться
               
                              
                  
                     
      
                                         
                  
               
            
         
         
            
         
            
               
                  
                      Google сделал действительно потрясающее руководство, которое охватывает XSS и другие уязвимости безопасности  здесь . Это может помочь вам понять, как эти проблемы используются в реальных приложениях. 
                  
                  
                     
                     1

                  
                  
                  
                     ответ дан                      6 December 2019 в 04:51 
                  
                  поделиться
               
                              
                  
                     
      
                                         
                  
               
            
         
         
            
         
            
               
                  
                      Заставить сервер вывести ввод обратно клиенту. 
                  
                  
                     
                     21

                  
                  
                  
                     ответ дан                      6 December 2019 в 04:51 
                  
                  поделиться
               
                              
                  
                     
      
                                         
                  
               
            
         
         
               
          Другие вопросы по тегам:          
         javascript html security xss       
        Похожие вопросы:

        
          
                          125 
 Худшая дыра в безопасности, которую вы видели? [закрыто] - 23 May 2017 12:03 
                            99 
 Скрытые функции JavaScript? [закрытый] - 23 May 2017 02:10 
                            92 
  Практические подходы CAPTCHA, не основанные на изображениях?  - 31 March 2012 22:23 
                            70 
 Что такое JavaScript-версия sleep ()? - 17 March 2018 18:15 
                            61 
 Как я могу отформатировать числа в виде строки валюты в JavaScript? - 26 May 2019 04:14 
                            55 
 Почему бы не использовать таблицы для разметки в HTML? [закрыто] - 6 November 2018 00:07 
                            44 
 Какой синтаксис является предпочтительным для определения перечислений в JavaScript? [закрыто] - 26 December 2018 06:38

score 21 · Accepted Answer

В самом деле, просто позвольте серверу выводить его так, чтобы входная строка эффективно встраивалась в исходный HTML-код, который возвращался клиенту.

Пример PHP:

<!doctype html>
<html lang="en">
    <head><title>XSS test</title></head>
    <body>
        <form><input type="text" name="xss"><input type="submit"></form>
        <p>Result: <?= $_GET['xss'] ?></p>
    </body>
</html>

Пример JSP:

<!doctype html>
<html lang="en">
    <head><title>XSS test</title></head>
    <body>
        <form><input type="text" name="xss"><input type="submit"></form>
        <p>Result: ${param.xss}</p>
    </body>
</html>

В качестве альтернативы вы можете повторно отобразить значение во входных элементах, что также часто встречается:

<input type="text" name="xss" value="<?= $_GET['xss'] ?>">

соотв.

<input type="text" name="xss" value="${param.xss}">

Таким образом, "странные" строки атаки, такие как "/>

К решениям по предотвращению XSS относятся, среди прочего, htmlspecialchars () и fn: escapeXml () для PHP и JSP соответственно. Они заменят среди прочих <, > и " на <, > и " , так что ввод конечного пользователя не оказывается буквально встроенным в исходный код HTML, а вместо этого просто отображается в том виде, в котором он был введен.