2014-09-09 15 views
6

mi sono stati l'esecuzione di alcune // sul mio sito di recente e ho notato che la moderna (vale a dire più di FF e Chrome) stanno scappando URL inseriti nella barra degli indirizzi.XSS - Quali browser sfuggono automaticamente gli URL nella barra degli indirizzi?

Quindi:

http://example.com/search/?q= "> < script> alert ('ciao'); </script>

viene inviato al server come:

http://example.com/search/?q=%22%3e%3cscript%3ealert(%27hi%27)%3b%3c%2fscript%3e

C'è una lista di tutti i (principali) browser che fanno questo e quelli che non lo fanno? I browser mobili fanno questo?

risposta

1

Penso che tutti i browser sfuggano agli URL eccetto quelli che hanno errori e non seguono RFC (RFC3986).

+0

Sai che RFC fuori mano? –

+0

Come da RFC3986 http://tools.ietf.org/html/rfc3986 '2.4. Una volta prodotto, un URI è sempre nella sua forma codificata per cento. E dove "query" può contenere codificati, ALPHA, DIGIT o pochi altri non serviti. "<" and ">" non sono di loro, DEVONO essere codificati. Nell'altro lato, alcuni browser con errori (sapete che intendo IE) hanno accettato il carattere unicode in modo errato nella versione precedente. –

+0

Questo suona un po 'strano per me. La RFC ha quasi 10 anni, eppure nessuno degli esempi su XSS che abbia mai visto ha mai detto che FF e Chrome sono generalmente immuni da collegamenti errati perché evitano correttamente gli URL ed è solo un problema di IE. Non sto dicendo che è sbagliato, ma hai altre prove? –

1

Se non mi sbaglio, è possibile utilizzare http://browsershots.org/ o qualcosa di simile per testarlo.

prova Esempio: http://browsershots.org/requests/12461378

+0

Bel strumento ma non proprio per questo scopo . Passando attraverso tutti questi screenshot solo per vedere l'URL .. – MarioDS

+0

@MDeSchaepmeester Idea è che se questa iniezione funziona si vedrebbe popup sull'immagine. Questo non è il miglior visualizzatore del browser (le immagini scadono molto velocemente), ma l'idea rimane. – Margus

+0

Scusa, avrei dovuto essere più chiaro, l'esempio che ho dato sopra è solo sintattico, non mostra un vero attacco. Quindi, mentre questo strumento è piuttosto interessante, sfortunatamente non è utile (AFAIK). I principali browser che ho provato (FF, Chrome, IE) mascherano il fatto che lo stanno facendo. In altre parole, non puoi dire dalla barra degli indirizzi che l'url è stato sfuggito. –