molily: Selfhtml-Aktuell-Artikel zum Kontextwechsel - Bitte um Rezension

Beitrag lesen

SELF-Forum

Selfhtml-Aktuell-Artikel zum Kontextwechsel - Bitte um Rezension

molily Homepage des Autors
Informationen zu den Bewertungsregeln

Er hat da als Beispiel unter anderem

alert(/XSS/)

angegeben.

Das soll glaube ich zeigen, dass man wegen dem dynamischen Typing nicht auf normale String-Literale wie "XSS" und 'XSS' angewiesen ist, um Strings zu notieren. D.h. der Autor kann ruhig brav " und ' maskieren oder sogar filtern, aber wenn der Angreifer JavaScript einschleusen kann, dann wird ihn das nicht hindern, Strings zu notieren. Eine andere Möglichkeit wäre String.fromCharCode(123).

Allerdings ralle ich nicht so recht, in welchen Fällen das zum XSS-Erfolg führt, während normale String-Literale es nicht tun. Wenn der Angreifer soviel JS einschleusen kann, dass alert() interpretiert wird, und das Maskieren/Filtern von " und ' daran nichts geändert hat, dann ist zu aller dieses XSS-Loch zu stopfen.

Mathias

--
JavaScript-Erweiterung für das SELFHTML-Forum
Beitrag melden
Informationen zu den Bewertungsregeln
0 81

SELFHTML-Aktuell-Artikel zum Kontextwechsel - Bitte um Rezension

dedlfix
  • programmiertechnik
  1. 0
    suit
    1. 0
      dedlfix
  2. 1
    Sven Rautenberg
    1. 0
      Felix Riesterer
      1. 0
        jobo
      2. 2
        dedlfix
    2. 0
      Jörg
    3. 0
      dedlfix
  3. 0

    Danke

    Sebastian
  4. 0
    Christoph Jeschke
    1. 0
      Christoph Jeschke
      1. 0
        dedlfix
        1. 0
          globe
          1. 0
            Vinzenz Mai
        2. 0
          Christoph Jeschke
          1. 0
            dedlfix
            1. 0
              Christoph Jeschke
              1. 0
                dedlfix
  5. 2
    jobo
    1. 0
      dedlfix
  6. 0
    Alexander (HH)
    1. 0
      Alexander (HH)
      1. 0
        dedlfix
        1. 0
          Alexander (HH)
          1. 0
            dedlfix
            1. 0
              Alexander (HH)
              1. 0
                dedlfix
    2. 0

      Konstruktive Kritik

      Vinzenz Mai
      • meinung
      1. 0
        jobo
      2. 1
        Alexander (HH)
      3. 0
        dedlfix
    3. 0
      dedlfix
      1. 0
        Alexander (HH)
        1. 0
          dedlfix
          1. 0
            dedlfix
  7. 0
    Tom
    1. 0
      dedlfix
      1. 0
        Tom
        1. 0
          ChrisB
          1. 0
            Tom
            1. 3
              Auge
              1. 0
                ChrisB
  8. 0
    molily
    1. 0
      molily
      1. 0
        dedlfix
    2. 0
      dedlfix
      1. 0
        molily
  9. 0
    hotti
  10. 0
    Auge
    1. 0
      dedlfix
      1. 0
        Tom
        1. 0
          dedlfix
  11. 0

    Selfhtml-Aktuell-Artikel zum Kontextwechsel - Bitte um Rezension

    dedlfix
    1. 1
      Christian Seiler
      1. 0
        dedlfix
        1. 0
          Christian Seiler
          1. 0
            dedlfix
            1. 0
              Christian Seiler
        2. 0
          Tom
          1. 0
            dedlfix
            1. 0
              Tom
      2. 0
        dedlfix
        1. 0
          Christian Seiler
        2. 0
          molily
    2. 0
      molily
      1. 0
        dedlfix
  12. 0

    Selfhtml-Aktuell-Artikel zum Kontextwechsel - Beta-Version

    dedlfix
    1. 0
      Alexander (HH)
      1. 0
        dedlfix
    2. 0
      Auge
      1. 0
        dedlfix
        1. 0
          Auge
          1. 0
            dedlfix
            1. 0
              Vinzenz Mai
              1. 0
                dedlfix
          2. 0
            jobo
    3. 0
      jobo
      1. 0
        dedlfix
        1. 0
          jobo
        2. 0
          Auge