El navegador ofrece una función para eliminar patrones sospechoso de ataques de Cross-site Scripting en los parámetros brindados a cada página web.
En la prueba de concepto publicada en Bugtraq se explica que el truco consiste en insertar nullbytes en medio de la cadena de ataque de XSS cada vez que se construye un enlace a través del tag A, de la siguiente manera:
[a href = '= http://localhost/ieb/blah.php?a alerta [s[NULL]cript] (1) [/s[NULL]cript]'] ClickMe [/a]Actualmente no hay una solución para esta vulnerabilidad.
Cristian de la Redacción de Segu-Info
No hay comentarios:
Publicar un comentario