![[HaBo]](/styles/default/logoklein.png){kind=small}
Hallo,
hätte zwei Fragen zum Thema XSS.
1.
Ich lese immer sowas.
Hierbei wird ja versucht mit Unicode-Zeichen einen Filter zu umgehen.
Kann ich jetzt auch JS/CSS Escape Sequenzen nutzen um eine XSS zu starten? Natürlich im richtigen Kontext. <script>...</script>.
So wie ich das verstanden habe, geht ja alles durch den HTML Parser. Und er durch die verschiedenen Kontexte wird so ein Angriff wie oben effektiv.
2.
Ich habe in einem Paper gelesen, dass alle Zeichen von 0x00-0x19 potentiell gefährliche Zeichen sind, da man durch sie die Angriffsvektoren gut verschleiern kann. Aber was ist mit den Zeichn 0x1a-0x20 ? Sind nicht alle nicht-druckbaren Zeichen gefährlich? Und was ist mit den Zeichen 0x81, 0x8d, 0x8f, 0x90, 0x9d und 0xa0. Das sind auch nicht druckbare Zeichen?
Gruß
n0nam333
hätte zwei Fragen zum Thema XSS.
1.
Ich lese immer sowas.
Code:
[FONT=Courier New]<IMG SRC="jav ascript:alert('XSS');">[/FONT]Hierbei wird ja versucht mit Unicode-Zeichen einen Filter zu umgehen.
Kann ich jetzt auch JS/CSS Escape Sequenzen nutzen um eine XSS zu starten? Natürlich im richtigen Kontext. <script>...</script>.
So wie ich das verstanden habe, geht ja alles durch den HTML Parser. Und er durch die verschiedenen Kontexte wird so ein Angriff wie oben effektiv.
2.
Ich habe in einem Paper gelesen, dass alle Zeichen von 0x00-0x19 potentiell gefährliche Zeichen sind, da man durch sie die Angriffsvektoren gut verschleiern kann. Aber was ist mit den Zeichn 0x1a-0x20 ? Sind nicht alle nicht-druckbaren Zeichen gefährlich? Und was ist mit den Zeichen 0x81, 0x8d, 0x8f, 0x90, 0x9d und 0xa0. Das sind auch nicht druckbare Zeichen?
Gruß
n0nam333