در سایت های مختلف به موارد مختلفی برای جلوگیری از جعبه ابزارهای XSS مانند دو کاراکتر خاص مانند / < >: "" یا استفاده از طرح های مختلف رمزگذاری، در سایت های مختلف پرداخته ام.
اما بسیاری از این سایت ها توضیح نمی دهند که چرا این حملات ممکن است کار می کند و در چه مواردی. به عنوان مثال من مرورگرهای مدرن را می شناسم که URL های رمزگذاری کاراکترهای خاص را دارند، در حالی که cURL این کار را انجام نمی دهد؛ بنابراین شما نمی توانید PoC را با استفاده از Curl برای ارسال درخواست (یا Burp Proxy) ایجاد کنید.
توضیحات بسیار دقیق در مورد نحوه کد گذاری / پردازش مرورگر داده های ورودی (هر دو POST و GET) و چگونگی استفاده از نرم افزار وب معمولی (PHP) این است: از تجربه کمی در PHP (در حالی که من در دانشگاه بودم) فقط دسترسی به پارامترهایی مانند $ _POST [“query”] بدون حتی فکر کردن در مورد رمزگذاری، شیوه های امنیتی، و غیره
با تشکر از قبل.
