在IE中javascript的字符串可以被NULL字符截?cái)?不過(guò)僅僅是getValue的時(shí)候截?cái)?
測(cè)試代碼:
alert('abc\0 def')如果只是這樣最多就是spoofing,但配合IE(<=8)的一個(gè)解析bug和php的[魔術(shù)引號(hào)]就是一個(gè)DOM XSS了.
IE解析bug:
<a href="<body/onload=alert(1)>click</a>
在前面的我分享過(guò)的XSS向量里有提到過(guò),就是當(dāng)解析器不能匹配到一個(gè)標(biāo)簽里屬性值的結(jié)束界定符的時(shí)候會(huì)認(rèn)為這是個(gè)無(wú)效的標(biāo)簽,將其當(dāng)成文本.
<a href=" 變成&lt;a href=&quot; <body/onload=alert(1)>被解析成html.PHP的轉(zhuǎn)義問(wèn)題
在5.3.0之前,php默認(rèn)開(kāi)啟了magic_quotes_gpc.
它不但會(huì)轉(zhuǎn)換" ' 之類的字符,還會(huì)將轉(zhuǎn)義%00轉(zhuǎn)換成\0
在javascript的字符串中\(zhòng)0又會(huì)被轉(zhuǎn)義回去.
注:即便關(guān)閉了魔術(shù)引號(hào),開(kāi)發(fā)者一般也會(huì)實(shí)用addslashes之類的函數(shù),這些函數(shù)同樣會(huì)將%00轉(zhuǎn)換成\0
So
document.write('<img src="<iframe/onload=alert(1)>\0">')
--------------------------------------------------------------------------------
相關(guān)評(píng)論：
--------------------------------------------------------------------------------
Xhm1n9 | 2012-06-29 01:34
實(shí)用的技巧:)
horseluke (微碌) | 2012-06-29 01:53
PHP的輸出轉(zhuǎn)義一般用htmlspecialchars的...addslashes只是數(shù)據(jù)庫(kù)相關(guān)轉(zhuǎn)義，輸出轉(zhuǎn)義用addslashes肯定不能通過(guò)代碼審計(jì)的。
但是............有沒(méi)有人研究過(guò)繞過(guò)strip_tags？見(jiàn)到有人用這個(gè)來(lái)做輸出轉(zhuǎn)義，覺(jué)得不安全，但又說(shuō)不出所以然，更試不出所以然...
Sogili (-_-)Web瘋狂科學(xué)家//mmme.me(-_-) | 2012-06-29 01:58
@horseluke 嗯,不過(guò)htmlspecialchars不會(huì)轉(zhuǎn)換%00,如果真的沒(méi)處理%00就更好玩了.
horseluke (微碌) | 2012-06-29 02:03
@Sogili 不明白，對(duì)XSS不熟悉，求詳解...
Sogili (-_-)Web瘋狂科學(xué)家//mmme.me(-_-) | 2012-06-29 02:09
@horseluke IE可以解析<[0x00]i[0x00]0m[0x00]0g src=xx:x o[0x00]nerror=alert(1)> 可以繞過(guò)很多filter,所以不處理[0x00]是很危險(xiǎn)的.我了解的只是XSS的方面，我想對(duì)服務(wù)端安全影響也不小.
_Evil (性趣是最好的老師.) | 2012-06-29 06:44
web科學(xué)家這個(gè)不錯(cuò) 不過(guò)范圍小了的 只能ie
gainover (">_< ' / & \ 看啥，沒(méi)見(jiàn)過(guò)跨站字符么) | 2012-06-29 07:53
可以在自己電腦上寫個(gè)利用場(chǎng)景試一試

最新評(píng)論