Muito interessante essa questão. Participe do desafio.
INGLES
An input validation mechanism designed to block cross-site scripting
attacks performs the following sequence of steps on an item of input:
1. Strip any <script> expressions that appear.
2. Truncate the input to 50 characters.
3. Remove any quotation marks within the input.
4. URL-decode the input.
5. If any items were deleted, return to step 1.
Can you bypass this validation mechanism to smuggle the following data
past it?
“><script>alert(“foo”)</script>
PORTUGUÊS
Um mecanismo de validação de entrada é projetado para bloquear um ataque de cross-site scripting realizando a seguinte seqüência de etapas quando o usuário fornece uma informação como entrada:
1. Tira as expressões <script> que aparecem.
2. Truncar a entrada em 50 caracteres.
3. Remove todas as aspas.
4. Usa o URL-decode para decodificar a entrada.
5. Se todos os itens foram excluídos, voltar ao passo 1.
Você pode burlar este mecanismo de validação para que a expressão abaixo seja aceita?
“><script>alert(“foo”)</script>
Lançado o desafio.
Bom Proveito.
Nenhum comentário:
Postar um comentário