6
Ich habe einige vor kurzem xss/javascript-injection/penetration-testing auf meine asp.net Website durchführen und bemerkte, dass moderne web-browser (dh neueste FF und Chrome) sind auf der Flucht URLs in die Adressleiste eingegeben.XSS - Welche Browser automatisch URLs in der Adressleiste entkommen?
So:
http://example.com/search/?q= „> < script> alert ('Hallo'); </script>
auf meinen Server als gesendet wird:
http://example.com/search/?q=%22%3e%3cscript%3ealert(%27hi%27)%3b%3c%2fscript%3e
Gibt es eine Liste aller (großen) Browser, die dies tun und denen, die dies nicht tun? Machen mobile Browser das?
Wissen Sie, welche RFC aus der Hand? –
Wie nach RFC3986 http://tools.ietf.org/html/rfc3986 '2.4. Einmal produziert, ist ein URI immer in seiner prozentcodierten Form. "Und wo" Abfrage "enthalten kann codiert, ALPHA, DIGIT oder wenige andere nicht enthalten. "<" and ">" sind keine von ihnen, sie müssen codiert werden. Auf der anderen Seite, einige Buggy-Browser (Sie wissen, ich meine IE) akzeptiert Unicode-Zeichen in der vorherigen Version falsch. –
Das klingt ein bisschen seltsam für mich. Der RFC ist fast 10 Jahre alt, aber keines der Beispiele auf XSS, das ich gesehen habe, hat jemals erwähnt, dass FF und Chrome im Allgemeinen immun gegen schlechte Links sind, da sie URLs richtig entgehen und es ist nur ein IE-Problem. Ich sage nicht, dass es falsch ist, aber haben Sie weitere Beweise? –