你真的会过滤XSS吗?5分钟深刻理解htmlspecialchars函数

最新推荐文章于 2024-05-04 20:20:27 发布
最新推荐文章于 2024-05-04 20:20:27 发布
阅读量1.9k 收藏 15
点赞数 57
分类专栏: Web安全 文章标签: 网络安全 xss 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cul1n/article/details/136089151
版权

前言

一个很常见的现象 ,我们去搜索如何防御 XSS 攻击的时候,经常会看到一种防御方式就是使用htmlspecialchars,印象里之前在初学阶段,面试官在问及我如何防御 XSS 漏洞的时候,我也最喜欢说使用htmlspcialchars去过滤,那这种过滤方法真的安全吗?

今天在这篇文章里我们主要涉及到讨论 htmlspecialchars的过滤效果及不同效果是否存在漏洞及配套的绕过手法。

Htmlspecialchars 函数介绍

htmlspecialchars 函数是 PHP 中的一个内置函数,它用于将特定的 HTML 字符转换为 HTML 实体字符。在 HTML 中,某些字符如 <, >, ", ', 和 & 具有特殊含义,分别代表HTML的标签、结束标签、字符引用和实体引用。如果想要在 HTML 中输出这些字符而不让它们被浏览器解释为 HTML 标签或字符引用,就需要使用 htmlspecialchars 函数将它们转换为相应的 HTML 实体。
函数的基本语法如下:

htmlspecialchars(string $string, int $quote_style = ENT_COMPAT, string $encoding = 'UTF-8', bool $double_encode = true)

参数说明:

  • $string:需要转换的字符串。
  • $quote_style:指定引号的风格。通常有三个可选值:ENT_COMPATENT_QUOTESENT_NOQUOTESENT_COMPAT 会输出成 &lt;&gt;&quot;&apos;&amp;ENT_QUOTES 会在 ENT_COMPAT 的基础上将单引号也转换为实体字符(&#039;),ENT_NOQUOTES 则不会输出引号。
  • $encoding:设置字符编码,默认是 UTF-8
  • $double_encode:布尔值,指示是否对已经存在的实体进行再次编码。
    使用 htmlspecialchars 函数可以避免跨站脚本攻击(XSS),因为它可以确保用户输入的字符串被正确地处理,不会因为浏览器解释特殊字符而执行不必要的脚本。

函数过滤效果示例

首先我们编写一段最基本的代码,用于接收GET传送的参数comment,其后端处理代码如下:

<?php
if ($_SERVER["REQUEST_METHOD"] == "GET") {
    $comment =$_GET['comment'];

    echo "<h1>您的评论:</h1>";
    echo "<h2 align='center'>没有找到和" . htmlspecialchars($comment) . "相关的结果。</h2>";
}
?>

此时我们构造数据包,向comment参数发送最简单的 XSS 攻击语句,可以从数据包中看到,htmlspecialchars过滤了尖括号:

此时即使前端可以反应我们输入的数据,但是无法被当作 JS 代码执行:

请注意,这里我们使用的是默认的htmlspecialchars,如果alert(1)修改为alert("1"),那么其中的双引号也会被转义。

如何绕过,场景是什么

可以看到过滤是不成功的,那么网上的各种绕过是怎么回事呢?

经过笔者的研究,发现大部分的htmlspecialchars的绕过场景是这样的,后端代码如下:

<?php
if ($_SERVER["REQUEST_METHOD"] == "GET") {
    $comment =$_GET['comment'];
    // 对输入进行HTML实体编码
    echo "<h1>您的评论:</h1>";
    $comment=htmlspecialchars($comment);
    // 这里增加了一个表单输入,以便用户可以输入关键词进行搜索
    echo "<form action='' method='get'>";
    echo "<input type='text' name='keyword' value='$comment'>";
    echo "<input type='submit' value='搜索'>";
    echo "</form>";
}
?>

此时我们再度去传送相同的数据包,会发现如下的返回数据包,在这个数据包中我们传入的内容在经过htmlspecialchars函数处理后,被被赋予到<input> 块中的value ,在这个过程中,尖括号被转义导致无法正常执行想要执行的恶意javascript代码,但是此时我们使用的是默认的htmlspcialchars,在这种情况下,value 是使用单引号闭合的,那我们可以不可以通过单引号闭合去达到绕过的效果呢?

以上想法付诸实践,构造恶意 payload 如下:

http://xxx.COM/xss.php?comment=' onmouseover=javascript:alert(123) >

发送数据包后返回的数据包如下,可以看到闭合完成:

访问目标网页,触发 XSS 漏洞:

思考,如果 input标签里闭合方式是双引号还可以完成吗?此时我们修改后端代码如下:

<?php
if ($_SERVER["REQUEST_METHOD"] == "GET") {
    $comment =$_GET['comment'];
    $comment=htmlspecialchars($comment);
    // 对输入进行HTML实体编码
    echo "<h1>您的评论:</h1>";
    // 这里增加了一个表单输入,以便用户可以输入关键词进行搜索
    echo "<form action='' method='get'>";
    echo '<input type="text" name="keyword" value="$comment">';
    echo "<input type='submit' value='搜索'>";
    echo "</form>";
}
?>

可以看到返回的数据包中,双引号被转义,而前端也无法正常执行恶意的Javascript代码,因此达到防御的效果:

思考,如何防御第一种使用单引号闭合的效果?

此时我们关注到这样一个参数,

  • $quote_style:指定引号的风格。通常有三个可选值:ENT_COMPATENT_QUOTESENT_NOQUOTESENT_COMPAT 会输出成 &lt;&gt;&quot;&apos;&amp;ENT_QUOTES 会在 ENT_COMPAT 的基础上将单引号也转换为实体字符(&#039;),ENT_NOQUOTES 则不会输出引号。

也就是说,如果不设置这个参数,默认只过滤双引号而不过滤单引号,那么此时我们修改后端代码如下:

<?php
if ($_SERVER["REQUEST_METHOD"] == "GET") {
    $comment =$_GET['comment'];
    // 对输入进行HTML实体编码
    echo "<h1>您的评论:</h1>";
    $comment=htmlspecialchars($comment,int $quote_style = ENT_QUOTES);
    // 这里增加了一个表单输入,以便用户可以输入关键词进行搜索
    echo "<form action='' method='get'>";
    echo "<input type='text' name='keyword' value='$comment'>";
    echo "<input type='submit' value='搜索'>";
    echo "</form>";
}
?>

此时再此发送恶意的单引号过滤方法,那么返回的数据包如下,可以看到之前的绕过方法已经不奏效了,无法达到绕过。

因此其实对htmlspecialchars 的理解就很简单了,这个函数默认过滤尖括号,井号等危险符号,同时过滤双引号,想要绕过的话,需要在有单引号参数赋值的情况下通过构造闭合去绕过,如果这个函数设置了额外的参数,比如连单引号也转义,那么就无法绕过。

总结

在本篇文章里,我们主要学习了htmlspcialchars函数的过滤效果、默认的过滤和额外过滤效果的不同,以及特定情况下的绕过手法,XSS 博大精深,攻防之间需要从业人员更多的钻研和心血。

颠勺厨子
关注
  • 57
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php过滤htmlspecialchars() 函数实现把预定义的字符转换为 HTML 实体用法分析
10-16
`htmlspecialchars()` 函数的基本语法如下: ```php htmlspecialchars(string $string, int $flags = ENT_COMPAT, string $encoding = 'UTF-8', bool $double_encode = true) ``` 1. **$string**:必需参数,表示...
渗透测试-xss绕过和htmlspecialchars函数绕过
lza20001103的博客
04-24 4681
xss绕过和htmlspecialchars函数绕过
在php中$的实体字符是,php htmlspecialchars()函数将特殊字符转换为HTML实体
weixin_36081485的博客
03-11 118
htmlspecialchars()函数定义及用法在php中,htmlspecialchars()函数是使用来把一些预定义的字符转换为HTML实体,返回转换后的新字符串,原字符串不变。如果 string 包含无效的编码,则返回一个空的字符串,除非设置了 ENT_IGNORE 或者 ENT_SUBSTITUTE 标志。被转换的预定义的字符有&:转换为&":转换为"':转换为成为 '&...
Xss漏洞常见绕过过滤攻击场景
最新发布
chaottop的博客
05-04 1724
在某些情况下,后台作的过滤非常简单,只对一些特殊的字符串作黑名单过滤,导致可直接通过字母大小写绕过后台的过滤。如下例子
PHP字符串函数htmlspecialchars( 把特殊字符转换为HTML实体)
ztnhnr的专栏
07-12 1559
在PHP中,字符串函数 htmlspecialchars() 用于把一些预定义的字符转换为 HTML 实体。 函数语法: htmlspecialchars(string$string[,int$flags=ENT_COMPAT|ENT_HTML401[,string$encoding=ini_get("default_charset")[,bool$double_encode=TRUE]]]):string 函数参数说明: 参数 ...
PHP中str_split()函数的用法讲解
菜鸟教程
04-08 1164
更多python、PHP、JAVA教程请到友情连接: 菜鸟教程https://www.piaodoo.com 茂名一技http://www.enechn.comppt制作教程步骤 http://www.tpyjn.cn 兴化论坛http://www.yimoge.cn 电白论坛 http://www.fcdzs.com表格制作excel教程 http://www.tsgmyy.cn 学习通 http://www.hssi.net/ PHP str_split() 函数 实例 把字符串 "Hello"
XSShtmlspecialchars
天天学安全专属博客
10-06 2590
XSShtmlspecialchars,详细讲解htmlspecialchars
htmlspecialchars详解
天天学安全专属博客
03-23 5903
1.首先看下面的代码 <?php $str = "This is <br> text"; echo htmlspecialchars($str); ?> 你运行一下发现显示完全正确,显示为: This is <br> text 你查看源代码发现: This is &lt;br&gt; text htmlspecialchars()的作用就是显示完全正确,但是源码改变,具体改变规则如下: '&amp
htmlspecialchars()
dissmmp的博客
04-03 1485
当你编辑文本的时候自然而然的用到html标签,而有的时候,我们不希望html标签被浏览器识别,所以我们就用到了这个函数。我们可以利用这个函数html标签转化为浏览器不能识别的字符,或者可以这么理解,利用这个函数转化以后,html标签就可以在浏览器原样输出了。htmlspecialchars()函数,具有三个参数,第一个参数为必选参数,表示待处理的字符串,第二个参数为可选参数,专门针对字符串中的...
htmlspecialchars() 函数的用法及过滤XSS的问题
滴水石穿
08-31 5939
htmlspecialchars()函数的功能如下: htmlspecialchars() 函数把预定义的字符转换为 HTML 实体。 预定义的字符是: & (和号)成为 & " (双引号)成为 " ' (单引号)成为 ' < (小于)成为 < > (大于)成为 > 它的语法如下: htmlspecialchars(string,flags,char...
php下过滤HTML代码的函数
10-30
在上述代码中,这个功能被多个`str_replace()`调用实现,但更推荐使用`htmlspecialchars()`函数,因为它覆盖了更多的特殊字符并提供更好的安全性。使用方法如下: ```php $string = htmlspecialchars($string, ENT_...
CI框架安全过滤函数示例
10-18
在本文中,我们将深入探讨CI框架(CodeIgniter)的安全过滤函数,以及如何利用它们来保护应用程序免受潜在的安全威胁,如跨站脚本攻击(XSS)和SQL注入。CodeIgniter是一个流行的PHP框架,它提供了一系列内置的工具...
php处理xss攻击过滤.rar
01-18
4. **使用预定义的安全函数**:PHP社区维护了一些库,如`htmlspecialchars`、`strip_tags`和`htmlentities`,这些函数可以帮助过滤和转义用户输入,防止XSS攻击。 5. **避免直接输出用户数据**:在生成HTML时,始终...
第十节 xss filter过滤器-01
09-15
XSS_Filter_过滤器详解 在Web应用程序中,XSS(Cross-Site ...通过使用 htmlspecialchars() 函数htmlentities() 函数、strip_tags() 函数和自定义 XSS Filter,可以有效地防止 XSS 攻击,保护 Web 应用程序的安全。
php shtmlspecialchars 函数 详解
wolinxuebin的专栏
07-23 4651
作者:林子木  wolinxuebin 转载请保留:http://blog.csdn.net/wolinxuebin     由于还是码农新人,所以还未开始正式的编写大的工程代码,所以老员工给了我一个去年写的大的PHP工程的工程代码,先看下。抱着必须扫清每个死角的心里,下午碰到了 shtmlspecialchars()函数,网上一查挺多人都在用的,但不是PHP自带的,而是莫比较官方的写的
XSS绕过之PHP htmlspecialchars() 函数
Yoo_666的博客
07-13 7609
文章目录前言htmlspecialchars()函数定义语法用法预定义的字符参数可用的引号类型:实例默认编码( 仅编码双引号)编码双引号和单引号相关靶场推荐 前言 xss-lab靶场中从第二关开始就开始设置利用htmlspecialchars()函数进行实体转换的防御措施,但大多数都可以利用单引号绕过,本文针对htmlspecialchars()函数xss中绕过而展开,并未对htmlspecialchars() 函数进行完整介绍,若想对htmlspecialchars()函数进行深入学习,点击下方链接右转
Pikachu xsshtmlspecialchars
SS_liang的博客
01-07 427
是一个 PHP 函数,用于将特殊字符转换为 HTML 实体,以防止跨站脚本攻击(XSS)。它将 HTML 中的一些特殊字符转换为对应的 HTML 实体,这样浏览器将它们作为文本而不是 HTML 代码来解析。这有助于防止用户输入的恶意脚本被执行。主要用途包括在显示用户输入的文本时,确保用户输入不被解释为 HTML 或 JavaScript 代码,从而防止 XSS 攻击。输入的内容被处理后被输出到input标签里的value属性值里面。前面的 ' 用来闭合herf里的 '然后点击就出现弹窗了。
XSS攻击绕过过滤方法大全(转)
热门推荐
mingyqf的博客
04-20 2万+
XSS攻击绕过过滤方法大全(约100种) 虽然说很多网站为了避免XSS的攻击,对用户的输入都采取了过滤,但是,万事总有可能,只要有一定的条件,我们就可以构造经过编码后的语句来进行XSS注入。 这篇文章的主要目的是给专业安全测试人员提供一份跨站脚本漏洞检测指南。文章的初始内容是由RSnake提供给 OWASP,内容基于他的XSS备忘录,现在此XSS备忘录将由OWASP维护和完善它。 OWASP 的第一个防御备忘录项目:XSS (Cross Site Scripting)Prevention Cheat She
XSS漏洞基础
m0_62092622的博客
01-22 2668
概念 XSS,跨站脚本攻击 (Cross Site Scripting),是一种经常出现在 web 应用中的计算机安全漏洞,它允许恶意 web 用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括 HTML 代码和客户端脚本。 攻击者利用 XSS 漏洞旁路掉访问控制——例如同源策略 (same origin policy)。这种类型的漏洞由于被骇客用来编写危害性更大的 phishing 攻击而变得广为人知。 对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的 “缓冲区溢出攻击 “,而 Jav
存储型XSS漏洞已经被注入恶意代码,可以怎样处理已有问题,并预防后续注入? A.在接收用户输入内容时,使用htmlspecialchars0函数过滤,在输出内容时,使用stripslashes0函数过滤 B.在数据库中找到对应的恶意代码并清除,输入时使用htmlspecialcharst0函数过滤 C.在接收用户输入内容时,使用htmlspecialchars(0函数过滤 D.在数据库中找到对应的恶意代码并清除,输出时使用htmlspecialchars(函数过滤
06-02
存储型XSS漏洞已经被注入恶意代码,可以通过以下措施处理已有问题,并预防后续注入: D.在数据库中找到对应的恶意代码并清除,输出时使用htmlspecialchars()函数过滤。 存储型XSS漏洞是指攻击者将恶意代码提交到目标网站的数据库中,当用户访问网站时,网站从数据库中读取数据并显示在页面中,恶意代码被执行,从而导致安全漏洞。因此,处理存储型XSS漏洞的关键在于清除恶意代码,并在输出时使用合适的过滤函数。 具体的处理措施如下: 1.在数据库中找到对应的恶意代码,并清除。可以使用SQL语句或者数据库管理工具进行操作。 2.在输出时使用htmlspecialchars()函数过滤特殊字符,这样可以将特殊字符转换为HTML实体,从而避免恶意代码被执行。 预防存储型XSS漏洞的方法包括: 1.对用户输入的数据进行过滤和验证,可以使用正则表达式、过滤函数等方式进行过滤,避免恶意代码被注入。 2.使用安全的编程语言和框架,这些语言和框架内置了许多安全机制,可以有效地防止XSS攻击。 3.定期对网站进行安全检查和漏洞扫描,及时发现和修复安全漏洞。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值