[WEB] Bypass XSS(Quotation&apstrophe filtering) with JS Regular expression

[WEB] Bypass XSS(Quotation&apstrophe filtering) 
with JS Regular expression

: Reflect XSS 포인트에서 싱글쿼터와 더블쿼터가 필터링되어 문자열을 표기하지 못해 공격을 진행하지 못할경우, 정규표현식을 이용해 우회가 가능합니다.

별거 아니더라도, 한끝 차이로 인해 '취약하다', '취약하지 않다'를 판단해야하는 입장에서는 이러한 우회패턴 하나하나가 중요하다고 생각합니다.

 

 ___Summary.

:

JS에서는 슬래쉬와 슬래쉬 사이의 문자를 별도의 변수가 아닌 String으로 인식하게 됩니다.
이를 이용하여, 싱글쿼터와 더블쿼터를 대체할 시 Reflect XSS 취약점을 발견할 수 있습니다.

 

Ex)

<script> document.location.href=/\/\/aboutsc.tistory.com/ </script>

 

___Reference.

:

1) https://www.hahwul.com/2017/01/web-hacking-bypass-xssquotation.html

[WEB HACKING] Bypass XSS(Quotation&Apostrophe filtering) with JS Regular expression [자바스크립트 정규표현식을 이��