मुझे नहीं पता कि अब और क्या सोचना है। यह उन लोगों की तरह लगता है जिन्होंने जावास्क्रिप्ट को अपने तरीके से बाहर कर दिया ताकि इसे दस लाख अलग-अलग तरीकों से लिखा जा सके ताकि हैकर्स का क्षेत्र का दिन हो।आप इन सभी तरीकों से कैसे लड़ते हैं? - जावास्क्रिप्ट और इसके लाखों विभिन्न तरीकों से आप इसे लिख सकते हैं
मुझे अंत में एचटीएमएल चपलता पैक का उपयोग करके मेरी सफेद सूची मिली। यह
<scrpit></script>
निकाल देना चाहिए यह मेरी सफेद सूची में नहीं है तथा कोई भी onclick, onmouse और आदि
हालांकि अब यह आप विशेषता टैग में जावास्क्रिप्ट लिख सकते हैं लगता है के रूप में।
<IMG SRC="javascript:alert('hi');">
और जब से मैं एसआरसी विशेषता देता हूं मेरी सफेद सूची इस पर मेरी सहायता नहीं कर सकती है। तो मैं अंत में सभी वैध विशेषताओं के माध्यम से जाने और उनके अंदर देखने के विचार के साथ आया था।
तो यह प्रत्येक HTML टैग (इसलिए src, href और आदि) के लिए मेरे सभी अनुमत गुण पाएगा।
मुझे फिर भीतरी टेक्स्ट मिला और इसे लोअरकेस पर रखा गया। मैंने फिर "जावास्क्रिप्ट" के लिए इस स्ट्रिंग पर इंडेक्स चेक किया था।
यदि कोई अनुक्रमणिका मिली तो मैंने उस अनुक्रमणिका में शुरुआत की और उस इंडेक्स से प्रत्येक चरित्र को हटा दिया। तो उपरोक्त मामले में विशेषता एसआरसी = "" के साथ छोड़ी जाएगी।
अब ऐसा लगता है कि काफी अच्छा है क्योंकि आप
जावा स्क्रिप्ट jav ascript
और शायद हर पत्र के बीच रिक्ति की तरह कुछ कर सकते हैं नहीं है।
इसलिए मुझे नहीं पता कि इसे कैसे रोकें। अगर यह जावा और लिपि के बीच एक जगह थी तो मैं बस एक साधारण रेगेक्स लिख सकता था जिस पर ध्यान नहीं दिया गया कि कितने रिक्त स्थान हैं। लेकिन अगर यह वास्तव में है कि आप एक जगह या टैब डाल सकते हैं या प्रत्येक पत्र के बाद जो भी हो, तो मुझे कोई सुराग नहीं है।
तो यह शीर्ष पर बंद आप इन सभी अन्य महान तरीके भी
<IMG SRC=javascript:alert('XSS')> // will work apparently
<IMG SRC=javascript:alert('XSS')> // will work apparently
<IMG SRC="jav ascript:alert('XSS');"> // will work apparently
<IMG SRC="jav	ascript:alert('XSS');">// will work apparently
<IMG SRC="jav
ascript:alert('XSS');"> // will work apparently
<IMG SRC="jav
ascript:alert('XSS');"> // will work apparently
मैं जानता हूँ कि यह (मैं एक XSS asp.net MVC के बनाने नहीं कर रहा हूँ कुछ क्रॉस पटकथा हमले के लिए है क्या कर सकते हैं यह पहले से ही अच्छा काम करता है) लेकिन मुझे नहीं लगता कि इसका उपयोग अन्य चीजों के लिए क्यों नहीं किया जा सकता है जैसे कि उन सभी उदाहरणों में यह अलर्ट बनाता है ताकि इसका इस्तेमाल किसी और चीज़ के लिए किया जा सके।
तो मुझे कोई संकेत नहीं है कि इनमें से किसी भी को कैसे जांचें और हटाएं।
मैं सी # का उपयोग कर रहा हूं लेकिन मुझे नहीं पता कि इनमें से किसी को कैसे रोकें और सी # में कुछ भी नहीं पता जो मेरी मदद कर सकता है।
शायद स्रोत के लिए एक उचित-सेटेड-यूआरएल जांच करें? –
यह विषय कई तरीकों से है ** ** एचटीएमएल ** कोड जेएस निष्पादित कर सकता है, जेएस के बारे में नहीं। एक बार के लिए, जेएस दोषी नहीं है :) – FelipeAls