一。了解背景
下面两张图,比较html转义和js的转义。
一定要区分清楚的是,内容回写页面,一定要做的是JS转义!!而不仅仅是html转义
从上面两张图可以看出,js里面需要转义到的 单引号',反斜杠\ 均不在html转义字符之列!(如果针对XSS的话,只要对
<
>
'
")
二。<s:property value="xx"/>的稀烂之处
1.这个标签默认是带了html转义的,即完全等同于<s:property value="name" escape="true"/>
2.正确XSS防范做法,应该是后台转义后存储,也就是说存到DB里面的数据,就应该是处理过的!(这里的转义是html&js的综合体):
map.put('<', "<");
map.put('>', ">");
map.put('\'', "'");
map.put('\"', """);
map.put('&', "&");在DB层无sql注入防范的时候,甚至需要是三位一体!
拿上面那个例子来说,用户输入name,DB应该存储下面的内容
<script>alert('xss')</script>但是很不幸,这串字符使用s:property直接输出到页面上,会因为&符号又会促发一次html escape,导致显示问题
这里就只能继续恶心一把了,每个标签写上:<s:property value="name" escape="false"/> ,徒劳耗费键盘。(这种安全的内容回写比较推荐使用${name}的ongl方式直接输出)
三。严防死守
1.org.springframework.web.util.HtmlUtils, spring自带了一个类来处理,其本质需要注意,基于Char的过滤
看看源代码应该很容易理解
StringBuffer escaped = new StringBuffer(input.length() * 2);
for (int i = 0; i < input.length(); ++i) {
char character = input.charAt(i);
String reference = characterEntityReferences.convertToReference(character);
if (reference != null) {
escaped.append(reference);
}
else {
escaped.append(character);
}
a.使用String.replace(xx)的方式是搞不定的。举例来说,字符j的表示方式有下面15种之多:
\6A\06A\006A\0006A\00006A //java形式的16进制编码
jjjjj //十 进制编码
jjjjj //十 六进制编码
b.使用html的过滤方式也是99% OK的,但是像mhtml这样的漏洞,还需要过滤%0d%0a
c.指望过滤<>,过滤scrpit串这些明文,也是靠不住的。
附件是查资料找到的文档,包括:强烈建议一睹为快
1.浅析XSS(Cross Site Script:跨站式攻击)漏洞原理(转)
2.Ajax hacking with XSS
介绍了诸如此类的注入方式,属于眼界开阔篇
<img src="javascript:alert('XSS');">示例:
<img src="javascript:alert('XSS');"> //10进制转码 如图三
<img style="xss:expr/*XSS*/ession([code])"> //css的注释符号 为/**/,其中的内容会被忽略
<style>@im\port'\ja\vasc\ript:alert("XSS")';</style> //css中忽略的符号还有“\”
~~~~~~~~~~~~~~分割~~~~~~~~~~~~~~
p.s.
1.用Jquery的text()取"<script>alert('xss')</script>",会被直接读成<script>alert('xss')</script> 。
2. 这个串如果直接使用$("#xxyy").html()输出,会产生alert框。
3.正确的做法是使用innerHTML函数,可以避免字符串中js被执行:document.getElementById("xxyy").innerHTML=
- JS注入方式.zip (787 KB)
- 下载次数: 176
240
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
