Un utilisateur m'a envoyé des informations qu'il a postées sur une de mes pages avec des problèmes potentiels de XSS. Cependant, en regardant le code côté serveur, je ne pense pas qu'il puisse passer sans problème dans mon code.
Ils ont dit qu'ils avaient envoyé ça :
forminfo=%27+%7C%7C+%27%27+%7C%7C+%27%25booleantest%3Atrue%2Ctrue%2CtrueJ'ai étudié la question et j'ai compris que %27 est un apostrophe et que %7C est un caractère Pipe, ce qui pourrait être risqué.
Cependant, si les données arrivent dans mon application dans ce format, elle se plante car elle effectue une manipulation de chaîne sur les informations affichées. Il divise la chaîne de caractères en deux points ( :). forminfo est le nom d'un de mes éléments de saisie HTML.
Si c'est arrivé en tant que
forminfo=' || '' || '%booleantest:true,true,truealors c'est plus clair et je peux mieux voir ce qu'ils ont envoyé et comment le code traiterait l'entrée.
C'est pourquoi ils disent qu'ils ont posté des données de manière cryptée ? Mon application saurait-elle comment traiter les données cryptées et les décrypter d'une manière ou d'une autre ?
Ils n'ont pas eu d'erreur mais si j'exécute le code moi-même, il y a une erreur.
Pouvez-vous expliquer ce qui a pu se passer ?
