是否有不同的方式来终止JavaScript中的字符串?XSS和其他方式来终止JavaScript字符串
我测试了XSS漏洞的服务器,并且我看到在HTTP响应下面的代码:
<script>
var myVar = "USER CONTROLLED STRING";
</script>
用户控制字符串来自网址和所有双引号之前被删除生成响应。除此之外,所有其他角色都是允许的。
XSS可能吗? (并且,是的,我知道在这里做适当的事情会根据OWASP XSS Prevention Cheat Sheet推荐的十六进制编码(\ xHH)所有非字母数字字符,但是从我测试人员的角度来看,我想知道我是否可以利用)
是的,你可以执行攻击:http://jsfiddle.net/vTmq6/1/
<script>
var myVar = "</script><script>alert('hacked');</script>";
</script>
A </script>将表示脚本element’s end tag,而不管生成的JavaScript代码是否有效。这是由于restrictions on the contents of raw text elements,其脚本元件属于:
在raw text和RCDATA elements文本必须不包含字符串“
</”的任何出现(U + 003C小于符号,U + (U + 0009),“LF”(U + 000A),“FF”(U + 000C),“CR”中的一个之后匹配元素的标签名称后面加上不区分大小写的字符“(U + 00D),U + 0020 SPACE,”>“(U + 003E)或”/“(U + 002F)。