First page Back Continue Last page Overview Graphics
Our Favorite XSS Filters and How to Attack Them
Eduardo Vela et David Lindsay (IBM X-Force)
Etat des lieux des XSS et de leurs filtres
- Côté client : IE8 (inclus), Firefox (NoScript), Opera
- Côté serveur : PHP-IDS, mod_sec
Contournement des règles de filtrage par plusieurs stratégies :
- En utilisant des règles HTML :
- <img src='x:alert(alt)' onerror=eval(src) alt=0>
- <object data="javascript:alert(0)">
- Par le JavaScript :
- alert(document.cookie) <=> alert(document['cookie']) <=>with(document) alert(cookie)