在this文章中,我被警告XSS攻擊矢量"%u00ABscript%u00BB"。我想知道什麼類型的語法"%u00AB"是。在我對Chromium的簡短測試中,它實際上並沒有被渲染成標籤,這讓我相信這種語法被SQL引擎或服務器端編程語言所使用。我並不關心存儲/反映的XSS,只有基於DOM的。我不認識它,所以也許它像紅寶石或蟒蛇什麼的?什麼類型的語法是「%u00AB」?
而且,沒有人知道它在其他瀏覽器的問題?我只測試Chromium,但也許其他版本和瀏覽器的行爲不同,因此易受攻擊。
這是一種百分比編碼機制,知道作爲non-standard unicode,或%u encoding,在2004年
總之被拒絕,你應該知道的all the possible combinations of the character "<"。最好的開始點是OWASP XSS Filter Evasion Cheat Sheet。
%uhhhh語法是衆所周知的百分比編碼的非標準變體,其中可以通過其代碼點直接指定Unicode字符,而不是像編碼的代碼點那樣指定Unicode字符,就像某些語言支持\uhhhh一樣。 JavaScript的unescape函數以及Microsft的IIS Web服務器都支持此語法。
但是這可能不是事業爲%u00AB將被映射到«。這樣做的原因是相當某種音譯like iconv supplies的:
iconv('UTF-8', 'ASCII//TRANSLIT', '«') === '<<'
iconv('UTF-8', 'KOI8-R//TRANSLIT', '«') === '<<'
而且根據Jeremiah Grossman’s blog post Results, Unicode Left/Right Pointing Double Angel Quotation Mark參照此漏洞的漏洞的應用程序數量綜上所述:
阿里安答應回去3APA3A後使用WhiteHat Sentinel掃描數百個製作網站。這個平臺的巨大優勢。兩年後有數據要分享。我們一直很忙,但是,嘿,更好的遲到了嗎? :)事實證明3APA3A是正確的! Arian發現少數Web應用程序容易受到編碼技術的影響,如果樣本池足夠大,它們就會加起來。樣本從300個到大約1000個網站。
@BoltClock它說,他們「**有時**會分別翻譯成'<’ and ‘>'。」 –
@馬丁史密斯:這更奇怪了...... – BoltClock
@MartinSmith是的,這可能表明某些古怪的渲染引擎解析語法,而其他人(如測試鉻不)或某些古怪的服務器端平臺執行它,而別人不會。 – wwaawaw