Tuesday, July 24, 2012

Thủ thuật nhỏ với XSS



Bữa nay vô tình ở cty thì tự dưng nhớ ra “thằng ôn” XSS này.
Ngoài mấy cái như escape, urlencode, modify html tag,…
Nó gọi là Data URL Scheme.
Bằng cách mã hóa base64 đoạn javascript sau đó gọi nó ra như một URL
Khi tương tác với các thẻ html (a href, iframe src, img src, style ,…) có sử dụng URLcó sử dụng data scheme base64, trình duyệt sẽ decode và thực thi đoạn mã javascript được nhúng đó.
Format của thằng này như sau:
data:[][;charset=][;base64],

Test nào


No comments:

Post a Comment

Quí đọc giả đọc xong, nếu thấy chút thú vị thì tác giả cũng mong được chút comment lấy làm kích lệ