i春秋url地址编码问题

i春秋学院是国内比较知名的安全培训平台，前段时间看了下网站，顺便手工简单测试常见的XSS，发现网站搜索功能比较有意思。

实际上是对用户输入的内容HTML编码和URL编码的处理方式在这里不合理，提交到乌云被拒绝了，由于确实没啥危害，所以技术BLOG记录下。

如搜索：http://www.ichunqiu.com/search/ab<>，搜索内容为ab<>，页面会把<>作html编码后在页面展示，这样看起一切正常。

如：

 

但通过屡次分析，发现把搜索的内容用URL屡次编码或html屡次编码后，服务端后台都会自动解码而后输出到客户端，那是否能够把恶意的标签经过屡次编码后来搜索，伪造一个URL地址，达到XSS的攻击效果呢。

结果通过屡次测试，发现虽然屡次URL和HTML编码后，后台会自动解码，但输出到客户端前，会再次对输出的内容作安全性检测，致使不能XSS。

好比输入：%25253Cimg%20src%253D"http%3A%2F%2Fwww.baidu.com%2Flogin%2Flogout"%25253E

该内容是标签：<img src="http://www.baidu.com/login/logout">，通过URL屡次编码的效果，实际把英文字母用HTML屡次编码同样能够，以前测试的时候用iframe,javascript等，都通过html屡次编码字母内容也能够绕过，但输出到客户端时服务端又作了处理，因此致使不能XSS。

效果以下：

 

要是把img里的内容换成<img src="http://www.ichunqiu.com/login/logout">，则访问这个的地址会自动退出该网站。

最终没有对用户和网站形成任何安全影响，但以为html这样处理的方式适合多文本框输入输出的处理方式，不适合对搜索内容的编码处理方式。