CAPEC-245ДетальныйЧерновик
XSS с использованием удвоенных символов
Злоумышленник обходит проверку входных данных, используя удвоенные символы, чтобы осуществить XSS-атаку. Некоторые фильтры не распознают опасные последовательности, если перед ними стоят повторяющиеся символы. Например, удваивая символ «<» перед командой script (<<script или %3C%3script в URL-кодировании), злоумышленник может обойти фильтры некоторых веб-приложений и лишить их возможности распознать тег script. Если целевой сервер уязвим к подобному обходу, злоумышленник может создать специально сформированный URL или иную ловушку, чтобы заставить жертву просмотреть страницу на целевом сервере, где вредоносное содержимое будет выполнено — аналогично обычной XSS-атаке.
Открыть в каталоге с фильтром CAPEC →Связанные уязвимости
CVE-2024-13721Плагин Plethora Plugins Tabs + Accordions для WordPress подвержен хранению межсайтового скриптинга через параметр anchor во всех версиях до 1.1.8 включительно из-за недостаточной очистки входных данных и экранирования выходных данных. Это позволяет аутентифицированным злоумышленникам с уровнем доступа не ниже участника внедрять произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь получает доступ к внедренной странице.
CVE-2022-41676Веб-сайт Raiden MAILD Mail Server имеет недостаточную фильтрацию вводимых пользователем данных в поле почты. Удаленный злоумышленник с общими привилегиями пользователя может отправлять электронные письма с использованием веб-сайта с вредоносным JavaScript в поле ввода, что вызывает XSS (Reflected Cross-Site Scripting) атаку на получателя почты.