ブラウザのxss検出を回避する方法

Question

最近のほとんどのブラウザーは、xssの試み（URL内のスクリプトコード）を検出し、実行を阻止します。これに関する既知の標準的な方法はありますか、それともxss攻撃は現在ほとんど不可能ですか？

stanko · Accepted Answer

標準的な方法はありませんが、方法はあります。正確に回避するために何をしなければならないかは、ブラウザとバージョンによって異なります。このリンクでは、Google Chromeの保護機能を回避するための例をいくつか紹介しています。

このブログ投稿の例の前提条件は、XSSに使用できるリンクに2つのGETパラメーターがあることです。攻撃者がGETパラメータaとbに対して以下を送信する場合、Chromeはそれをブロックします：

a=<script>alert(1)</script>&b=something

しかし、aおよびbパラメータが次のように変更された場合：

a=<script>void('&b=');alert(1);</script>

... ChromeはXSSを検出しません。私は今それをテストし、それは動作します。

Bhuvanesh · Answer

[〜＃〜] xss [〜＃〜]攻撃はまだ可能です。このため、あなたは通過できます OWASPのトップ10脆弱性プロジェクト201 、これは依然としてトップ3の脆弱性です。

しかし、今日の最新のブラウザは[〜＃〜] xss [〜＃〜]とSame-Originに非常に熱心です-policyあなたのウェブサイトはこの攻撃に対する保護がありません。

[〜＃〜] xss [〜＃〜]の場合、すべてのブラウザがXSS Filters新しいバージョンでは。サイトでXSSを見つけるには、このフィルターを無効にし、XSSの脆弱性をテストする必要があります。

IEおよびFirefox でXSSフィルターを無効にするためにこれを読み、xssの脆弱性をテストします。