Internet Explorer 9 XSS Filter Bypass
El 18 de octubre, Jean Pascal Pereira ha descubierto una forma de saltear el filtro de XSS implementado por Internet Explorer 9.
El navegador ofrece una función para eliminar patrones sospechoso de ataques de Cross-site Scripting en los parámetros brindados a cada página web.
En la prueba de concepto publicada en Bugtraq se explica que el truco consiste en insertar nullbytes en medio de la cadena de ataque de XSS cada vez que se construye un enlace a través del tag A, de la siguiente manera:
Actualmente no hay una solución para esta vulnerabilidad.
Cristian de la Redacción de Segu-Info
El navegador ofrece una función para eliminar patrones sospechoso de ataques de Cross-site Scripting en los parámetros brindados a cada página web.
En la prueba de concepto publicada en Bugtraq se explica que el truco consiste en insertar nullbytes en medio de la cadena de ataque de XSS cada vez que se construye un enlace a través del tag A, de la siguiente manera:
[a href = '= http://localhost/ieb/blah.php?a alerta [s[NULL]cript] (1) [/s[NULL]cript]'] ClickMe [/a]
Actualmente no hay una solución para esta vulnerabilidad.
Cristian de la Redacción de Segu-Info
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!