[Owasp-turkey] Cross Site Scripting

• Previous message: [Owasp-turkey] 1 yeni ceviri
• Next message: [Owasp-turkey] WGG Ankara ve Izmir etkinlikleri sonrasi
• Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

Burda Cross site scripting ile ilgili güzel bir  örnek ve korunma
yöneteminden bahsedilmiş paylaşayım dedim.
Uzun bir süre web hosting şirketinde çalıştığım için azımsanmayacak kadar
çok web sitesinde bu doğrulamanın kullanıldığını tecrübe ettim. Bu blog'da
çoğunlukla uygulanan korunma yönteminin c.s.s. ye ne kadar açık olduğunu, ne
kadar sömürülebileceğini açıkca gösteriyor.

<html>
<head>
<meta charset=utf-7>
</head>
<form id=foo1 method=get>
</form>
</html>
<%

fooString= Request.querystring("foo")

// LetsStopCrossSiteScripting

            fooString = Replace(fooString, "<", " ")

            fooString = Replace(fooString, ">", " ")

            fooString = Replace(fooString, "%", " ")

            fooString = Replace(fooString, ",", " ")

Response.Write fooString
%>

*Attack Payload :*
?foo=%2bADw-script%2bAD4-alert('got%20cha')%2bADw-/script%2bAD4-

Devamı için :
http://blogs.msdn.com/hackers/archive/2007/11/12/first-line-of-defense-for-web-applications-part-4.aspx

-- 
Oğuzhan
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20071114/9ceea649/attachment.html 

• Previous message: [Owasp-turkey] 1 yeni ceviri
• Next message: [Owasp-turkey] WGG Ankara ve Izmir etkinlikleri sonrasi
• Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]