Quindi abbiamo il cheat sheet XSS per testare il nostro filtro XSS, ma a parte una pagina benigna di esempio non riesco a trovare dati di test malvagi o malformati per assicurarmi che il mio codice UTF-8 possa gestire dati che si comportano male.
Dove posso trovare dei buoni uh .. cattivi dati con cui testare? O cos'è una sequenza complicata di caratteri?
~𝘈Ḇ𝖢𝕯٤ḞԍНǏ𝙅ƘԸⲘ𝙉০Ρ𝗤Ɍ𝓢ȚЦ𝒱Ѡ𝓧ƳȤѧᖯć𝗱ễ𝑓𝙜Ⴙ𝞲𝑗𝒌ļṃʼnо𝞎𝒒ᵲꜱ𝙩ừ𝗏ŵ𝒙𝒚ź1234567890!@#$%^&*()-_=+[{]};:'",<.>/?~ АḂ Ⲥ𝗗𝖤𝗙 ꞠꓧȊ𝐉𝜥ꓡ𝑀𝑵Ǭ𝙿𝑄Ŗ𝑆𝒯𝖴𝘝𝘞ꓫŸ𝜡ả𝘢ƀ𝖼ḋếᵮℊ𝙝 Ꭵ𝕛 кιṃ դ ⱺ𝓅𝘲𝕣𝖘ŧ𝑢ṽẉ𝘅 ყ ž1234567890! @ # $% ^ & * () -_ = + [{]}; : '", <.> /? ~Ѧ𝙱ƇᗞΣℱԍҤ١𝔍К𝓛𝓜ƝȎ𝚸𝑄Ṛ𝓢ṮṺƲᏔꓫ𝚈𝚭𝜶Ꮟçძ𝑒𝖿𝗀ḧ𝗂𝐣ҝɭḿ𝕟𝐨𝝔𝕢ṛ𝓼тú𝔳ẃ⤬𝝲𝗓1234567890!@#$%^&*()-_=+[{]};:'",<.>/?~ 𝖠Β𝒞𝘋𝙴𝓕ĢȞỈ𝕵ꓗʟ𝙼ℕ০𝚸𝗤 Հꓢ ṰǓⅤ𝔚 Ⲭ𝑌𝙕𝘢𝕤
Risposte:
Dai un'occhiata allo stress test del decodificatore UTF-8 di Markus Kuhn
Vedi anche Come fa un file con caratteri cinesi a sapere quanti byte usare per carattere? - senza dubbio, ci sono anche altre domande SO che potrebbero aiutare.
In UTF-8, ottieni i seguenti tipi di byte:
Binary Hex Comments
0xxxxxxx 0x00..0x7F Only byte of a 1-byte character encoding
10xxxxxx 0x80..0xBF Continuation bytes (1-3 continuation bytes)
110xxxxx 0xC0..0xDF First byte of a 2-byte character encoding
1110xxxx 0xE0..0xEF First byte of a 3-byte character encoding
11110xxx 0xF0..0xF4 First byte of a 4-byte character encoding
(L'ultima riga sembra che dovrebbe leggere 0xF0..0xF7; tuttavia, l'intervallo di 21 bit di Unicode (U + 0000 - U + 10FFFF) significa che il valore massimo valido è 0xF4; i valori 0xF5..0xF7 non possono verificarsi in valido UTF-8.)
Controllare se una particolare sequenza di byte è valida UTF-8 significa che devi pensare a:
In UTF-8 valido, i byte 0xF5..0xFF non possono verificarsi.
Esistono più rappresentazioni possibili per alcuni personaggi. Ad esempio, il carattere Unicode U + 0000 (ASCII NUL) potrebbe essere rappresentato da:
0x00
0xC0 0x80
0xE0 0x80 0x80
0xF0 0x80 0x80 0x80
Tuttavia, lo standard Unicode afferma chiaramente che le ultime tre alternative non sono accettabili perché non sono minime. Accade così che i byte 0xC0 e 0xC1 non possano mai apparire in UTF-8 valido perché gli unici caratteri che potrebbero essere codificati da questi sono codificati minimamente come caratteri a byte singolo nell'intervallo 0x00..0x7F.
All'interno del Basic Multi-lingual Plane (BMP), i valori Unicode U + D800 - U + DFFF sono riservati ai surrogati UTF-16 e non possono essere codificati in UTF-8 valido. Se fossero validi in UTF-8 (che, sottolineo, non lo sono), allora i surrogati sarebbero codificati:
Quindi, i tuoi dati BAD dovrebbero contenere campioni che violano queste varie prescrizioni.
Si noti che un contrassegno di ordine dei byte (BOM) U + FEFF, noto anche come spazio senza interruzioni di larghezza zero (ZWNBSP), non può apparire non codificato in UTF-8: i byte 0xFF e 0xFE non sono consentiti in UTF-8 valido. Uno ZWNBSP codificato può apparire in un file UTF-8 come 0xEF 0xBB 0xBF, ma la distinta componenti è completamente superflua in UTF-8.
Ci sono anche alcuni non caratteri in Unicode. U + FFFE e U + FFFF sono due di questi non caratteri (e gli ultimi due punti di codice in ciascun piano, U + 1FFFE, U + 1FFFF, U + 2FFFE, U + 2FFFF, ... U + 10FFFE, U + 10FFFF sono altri ). Normalmente non dovrebbero apparire nei dati Unicode per lo scambio di dati, ma possono apparire in uso privato. Vedi il collegamento FAQ Unicode per molti sordidi dettagli, inclusa la storia piuttosto complessa dei non caratteri in Unicode. ( Corrigendum # 9: Clarification About Noncharacters , che è stato rilasciato nel gennaio 2013, fa quello che suggerisce il titolo - chiarisce il significato dei non-personaggi.)
Puoi utilizzare questo pratico strumento online di Jeffrey Bergamini per convertire qualsiasi testo in una strana stringa UTF8 di omoglifi.
Un tipico
Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua.
diventare così:
Ḽơᶉëᶆ ȋṕšᶙṁ ḍỡḽǭᵳ ʂǐť ӓṁệẗ, ĉṓɲṩḙċťᶒțûɾ ấɖḯƥĭṩčįɳġ ḝłįʈ, șếᶑ ᶁⱺ ẽḭŭŝḿꝋď ṫĕᶆᶈṓɍ ỉñḉīḑȋᵭṵńť ṷŧ ḹẩḇőꝛế éȶ đꝍꞎôꝛȇ ᵯáꞡᶇā ąⱡîɋṹẵ.
L'articolo UTF-8 di Wikipedia ha un buon riepilogo di quali sequenze di byte sono valide / non valide. Un altro articolo che vale la pena leggere è W3C I18N FAQ: Multilingual Forms .
Fuori dalla mia testa:
0xff e 0xfe
Byte singoli ad alto bit
Rappresentazione multibyte di caratteri a basso byte: un buon modo per contrabbandare i valori nulli dopo i primi controlli
Contrassegni per byte: li ignorerai?