[Owasp-turkey] Cross Site Scripting

Oguzhan YILMAZ aspsrc at gmail.com
Wed Nov 14 02:17:00 EST 2007


Burda Cross site scripting ile ilgili güzel bir  örnek ve korunma
yöneteminden bahsedilmiş paylaşayım dedim.
Uzun bir süre web hosting şirketinde çalıştığım için azımsanmayacak kadar
çok web sitesinde bu doğrulamanın kullanıldığını tecrübe ettim. Bu blog'da
çoğunlukla uygulanan korunma yönteminin c.s.s. ye ne kadar açık olduğunu, ne
kadar sömürülebileceğini açıkca gösteriyor.

<html>
<head>
<meta charset=utf-7>
</head>
<form id=foo1 method=get>
</form>
</html>
<%

fooString= Request.querystring("foo")

// LetsStopCrossSiteScripting

            fooString = Replace(fooString, "<", " ")

            fooString = Replace(fooString, ">", " ")

            fooString = Replace(fooString, "%", " ")

            fooString = Replace(fooString, ",", " ")

Response.Write fooString
%>

*Attack Payload :*
?foo=%2bADw-script%2bAD4-alert('got%20cha')%2bADw-/script%2bAD4-

Devamı için :
http://blogs.msdn.com/hackers/archive/2007/11/12/first-line-of-defense-for-web-applications-part-4.aspx

-- 
Oğuzhan
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20071114/9ceea649/attachment.html 


More information about the Owasp-turkey mailing list