危险的查询字符串是什么样的？

Question

我想看看我的编码是否有效，但是我制作的示例在返回页面后只是恢复为未编码。

<a href="http://search.msn.com/results.aspx%3fq%3dIamBad">Click Here!</a>

变回

<a href="http://search.msn.com/results.aspx?q=IamBad">Click Here!</a>

编辑

UrlEncode 不可信的输入用于 URL（例如 查询字符串）单击 这里！

http://msdn.microsoft.com/en-us/library/aa973813.aspx

所以我的问题是我正在尝试查看是否有问题（即为什么它使查询字符串部分再次看起来正常）。

是不是因为查询字符串中没有任何异常。还是有什么东西把它重新编码回原来的形式？

Answer 1

您根本不会重新显示通过表单提交或通过查询字符串输入的用户输入，直接将其重新显示给该用户或将其存储在数据库中，然后将其显示给站点的其他用户。

假设你有一个像这样的超链接

/default.aspx?message=%3cscript%3ealert('Hello+world')%3b%3c%2fscript%3e

你做不想做的就是这个

string message = Request.QueryString["message"];
if (!string.IsNullOrEmpty(message))
    directlyDisplayedLiteral.Text = message; 

因为会发生的是，当页面加载时，用户会看到屏幕上弹出一个消息框。这个脚本产生的只是一个愚蠢的小消息框，但它可能对您的用户做其他恶意的事情。

相反，您希望在显示输入之前对其进行编码，这样它就变得无害了。

string message = Request.QueryString["message"];
if (!string.IsNullOrEmpty(message))
    directlyDisplayedLiteral.Text = Server.HtmlEncode(message); 

所以所有发生的事情就是<script>alert('Hello world');</script> 被写入屏幕，这实际上是HTML 中的<script>alert('Hello world');</script>。没有消息框，没有实际执行的脚本，只是屏幕上的良性文本。

Answer 2

下面是一个危险的查询字符串示例。

<a href="results.aspx?q=<script>alert('Attack')</script>">Click Here!</a>

您真正应该测试的不仅仅是 URL 是否被编码 - 而是当攻击在您的页面上执行时会发生什么。