【web安全】第二弹:XSS攻防中的复合编码问题
最近一直在研究XSS的攻防,特别是dom xss,问题慢慢的迁移到浏览器编码解码顺序上去。javascript
今儿被人放鸽子,无奈在KFC看了两个小时的资料,忽然有种豁然开朗的感受。html
参考资料先贴出来:java
1. http://www.freebuf.com/articles/web/43285.htmlweb
2. http://www.freebuf.com/articles/web/10121.html浏览器
3. http://www.wooyun.org/whitehats/%E5%BF%83%E4%BC%A4%E7%9A%84%E7%98%A6%E5%AD%90安全
4. 道哥:白帽子讲Web安全服务器
5. 编码转换工具:http://app.baidu.com/app/enter?appid=280383app
一般在XSS防护中,输出在HTML标签中或HTML属性中的状况最为常见,浏览器也只会进行HTML解码,只须要对输出进行HTML编码就能够解决XSS问题。但若是涉及输出在脚本或者URL中的时候就要进行其余方式的编码。本文的重点就是研究在复杂环境中输出变量的编码问题。dom
【基本知识----常见编码及原由】xss
HTML编码
在呈现HTML页面时,有时候须要显示一些特殊的字符,例如”<”和”&”,由于它们是HTML专用字符,须要经过必定的方式来实现,HTML编码由此诞生。HTML编码只是一种函数体现,用于将字符转换成HTML实体。例如想要显示<script>,在代码中须要写成“<script>“。为了防止XSS,至少要转换如下字符:
| 字符 |
HTML实体 |
| < |
< |
| > |
> |
| ‘ |
' |
| “ |
" |
| & |
& |
同时字符编码也是实现HTML编码的一种形式。十进制、十六进制ASCII码或unicode字符编码,样式为“&#数值;”。例如想要显示<script>,在代码中能够写成“<script>”或者“<script>”。
Javascript编码
JavascriptEncode能够采用跟HtmlEncode不一样的编码方式,即便用“\”对特殊字符进行转义。也能够转换成对应的字符编码。js提供了四种字符编码的策略:
一、三个八进制数字,若是不够个数,前面补0,例如“e”编码为“\145”
二、两个十六进制数字,若是不够个数,前面补0,例如“e”编码为“\x65”
三、四个十六进制数字,若是不够个数,前面补0,例如“e”编码为“\u0065”
四、对于一些控制字符,使用特殊的C类型的转义风格(例如\n和\r)
URL编码
Url参数字符串中使用key=value键值对这样的形式来传参,键值对之间以&符号分隔,如/s?q=abc&ie=utf-8。若是你的value字符串中包含了=或者&,那么势必会形成接收Url的服务器解析错误,所以必须将引发歧义的&和=符号进行转义,也就是对其进行编码。字符编码方式为:%号后面加上字符的十六进制来替换这些有冲突的字符,例如将空格替换为%20。
【浏览器解析原理】
浏览器在接收到一个HTML文件时,会从头开始对文档进行解析。遇到javascript时,会调用javascript解析器进行解析。遇到相似Onclick等须要触发才会执行的代码会跳过,事件被触发时才会被解析。
【实例一】
<a href="#" onclick="{$value}">天气不错</a>
浏览器解析时,onclick中的内容被当作HTML来解析。在点击连接以后,调用javascript解析器来解析$value。
因此解码的顺序:HTML解码->JavaScript解码。
因此正确的防护对策为:JavaScript编码->HTML编码。
【实例二】
<div id="bb"></div>
<script>
document.getElementById('bb').innerHTML="{$value}";
</script>
浏览器解析时,$value位于JavaScript中,先被Javascript解码。后$value被赋值到HTML中,进行HTML解码。
因此解码顺序为:JavaScript解码->HTML解码
因此正确的防护对策为:HTML编码->JavaScript编码
【实例三】
<td onclick=”openUrl(add.do?userName=’{$value}’);”>11</td>
浏览器解析时,$value位于Javascript中,但因为是在onclick中,因此先以HTML的身份被解码。被点击以后,先被JavaScript解码。因为$value仍是URL的一部分,因此还会被URL解码。
因此解码顺序为:HTML解码->JavaScript解码->URL解码
因此正确的防护对策为:URL编码->JavaScript编码->HTML编码
【写在最后】
在编码不合理的状况下的绕过方法在参考资料里写的很清楚啦,这篇文章只是整理一下思路哈~
这几天尝试着去挖挖漏洞好啦~\(^o^)/~
- 1. web 安全问题(二):XSS攻击
- 2. Web安全之XSS攻防
- 3. Web安全的攻与防——XSS
- 4. web安全-XSS攻击及防护
- 5. 应用安全-Web安全-XSS(跨站攻击)攻防整理
- 6. XSS跨站攻防安全
- 7. Python全栈(五)Web安全攻防之9.XSS攻击(下)
- 8. Web安全漏洞与防御-XSS(二)——Session攻击
- 9. web安全三,XSS攻击
- 10. Web安全之XSS攻击
- 更多相关文章...
- • C# 不安全代码 - C#教程
- • XML 编码 - XML 教程
- • Scala 中文乱码解决
- • IntelliJ IDEA中SpringBoot properties文件不能自动提示问题解决
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. 升级Gradle后报错Gradle‘s dependency cache may be corrupt (this sometimes occurs
- 2. Smarter, Not Harder
- 3. mac-2019-react-native 本地环境搭建(xcode-11.1和android studio3.5.2中Genymotion2.12.1 和VirtualBox-5.2.34 )
- 4. 查看文件中关键字前后几行的内容
- 5. XXE萌新进阶全攻略
- 6. Installation failed due to: ‘Connection refused: connect‘安卓studio端口占用
- 7. zabbix5.0通过agent监控winserve12
- 8. IT行业UI前景、潜力如何?
- 9. Mac Swig 3.0.12 安装
- 10. Windows上FreeRDP-WebConnect是一个开源HTML5代理,它提供对使用RDP的任何Windows服务器和工作站的Web访问