Выполнение межсайтового скриптинга с использованием сущности html

Question

У меня вопрос по XSS:

1. Когда я читаю HTML-сущность, которая должна предотвращать XSS, но при чтении со следующего сайта: https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet#HTML_entities Я вижу, что они предлагают один обход, например, используя следующий метод:

   "<IMG SRC=javascript:alert(&quot;XSS&quot;)>"
   

html-объекту здесь нужна защита от XSS?

2. Можно ли вводить XSS с помощью HEX?

Спасибо

Answer 1

1. Используя вышеуказанную полезную нагрузку < >, оба эти символа будут преобразованы в < и >, которые экранируют вход, и у них не будет возможности запустить XSS. Конечно, сущности Html используются для предотвращения XSS-атак, но существуют сценарии, которые различаются и зависят от того, как веб-сайт обрабатывает ввод.

2. Да, вполне возможно использовать HEX для инъекции XSS.

   <a href=&#x6A&#x61&#x76&#x61&#x73&#x63&#x72&#x69&#x70&#x74&#x3A&#x61&#x6C&#x65&#x72&#x74&#x28&#x27&#x58&#x53&#x53&#x27&#x29>Click Here</a>