字符编码带来的安全隐患——一个谷歌XSS漏洞

最新推荐文章于 2022-11-18 19:00:56 发布
最新推荐文章于 2022-11-18 19:00:56 发布
阅读量3.2k 收藏
点赞数
分类专栏: php 安全 翻译 文章标签: html header php url string 浏览器
php 同时被 3 个专栏收录
25 篇文章 0 订阅
订阅专栏
安全
5 篇文章 0 订阅
订阅专栏
翻译
1 篇文章 0 订阅
订阅专栏

本文翻译自 http://shiflett.org/blog/2005/dec/googles-xss-vulnerability

多年以前谷歌曾爆出一个XSS漏洞证明了字符编码设置的重要性。

但直到2011年,这种漏洞还是时有发生。

一个典型的例子参见淘宝UTF7漏洞跨站注入漏洞:http://xiaohaizi.org/article/550.html


正文:

PHP 函数 htmlentities() 第三个参数声明了字符的编码:

(yukon12345:这个函数是过滤HTML特殊字符,转化成html编码字符集。比如’会转化为')

<?php 

$html = array(); 

$html['username']= htmlentities($clean['username'],

                                ENT_QUOTES,

                                 'UTF-8'); 

echo"<p>Welcome back, {$html['username']}.</p>"; 

?>


这个例子用了UTF-8,因此Content-Type header本来应该在服务器或HTML文档声明为

Content-Type:text/html; charset=UTF-8

 

有研究者用Watchfire 查看到谷歌并没有声明文字编码。同时他们也发现如果你用下面一个URL链接访问(这个链接并不存在)

http://google.com/url?EVIL

 

你会看到一个返回页面:

 

Forbidden

 

Your client doesnot have permission to get URL /url?EVIL from this server.

 

但谷歌并没有很好的处理含utf7编码的恶意提交。因为上面那个php过滤函数针对的是UTF-8。

同时由于谷歌没有在返回页面charset里声明编码方式,

如果使用IE浏览器,它会自动判断前4096字节的字符,找到UTF7编码的字符的话,IE将forbidden页面以UTF-7方式编码呈现。这样就绕过了谷歌的防XSS措施,导致敏感字符没有被过滤。

这个故事说明,你必须确保你转码程序和数据发送系统的编码一致性。

换句话说,

使用htmlentities()时保持编码一致性, 或者使用 mysql_real_escape_string() (取决于你的选择)

谷歌已经修复了这个漏洞。


yukon12345:外国人的找错方式真的很特别。另外这篇文章是2005年的了,翻译一下是因为我之后翻译的一本书里有提及字符编码的安全性。


步慢生错
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
关于前端开发的特殊符号
07-28
里面有一些你可能会用到的特殊符号的,这些字符属于unicode字符集,你的文档需要声明为”utf-8“
xss漏洞安全编码系列详解
06-10
结合在csdn上web渗透测试课程(https://edu.csdn.net/course/detail/8064该课程主要讲解攻击过程),讲解xss的攻击原理及漏洞编码,现场带领大家编写补丁代码,真正在代码层面上杜绝该类漏洞的存在。
字符集错误引起的问题
学得越多,忘得越多;忘得越多,知道的越少
11-20 246
如果字符集设置错误则会出现: 一是常见的乱码 二是com.mysql.jdbc.MysqlDataTruncation: Data truncation: Data too long for column 'user_name' at row 1 三是查询时出现字符集不匹配 如:http://japi.iteye.com/blog/521713...
谷歌决定不修复这个Chromium浏览器XSS漏洞
最新发布
smellycat000的专栏
11-18 279
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士安全研究员 Michal Bentkowski 发布文章指出,如果能够诱骗 Chromium 浏览器用户在开发者面板中插入简单的 JavaScript 命令,则恶意人员能够在网站子域名中发动XSS攻击。虽然该漏洞难以遭利用且谷歌决定不修复,但透过该案例,我们可以看到浏览器安全的复杂性。同源策略和站点隔离Chromium浏览器具有多种XSS攻击防御...
如何:通过将HTML编码应用于字符串来防止Web应用程序中的脚本漏洞
weixin_30906701的博客
12-19 121
当用户可以将可执行代码(或脚本)添加到您的应用程序中时,会发生大多数脚本攻击。默认情况下,ASP.NET提供请求验证,如果表单发布包含任何HTML,则会引发错误。 您可以通过以下方式帮助防止脚本漏洞利用: 1,对表单变量,查询字符串变量和cookie值执行参数验证。此验证应包括两种类型的验证:验证变量可以转换为预期类型(例如,转换为整数,转换为日期时间等),以及验证预期范围或格式。例如,...
html 没指定字符集 导致的 xss,小心字符集导致浏览器软件跨站脚本攻击
weixin_32392867的博客
06-19 244
在一般的web程序里,显示数据给浏览器的时候都会指定一个字符集,在国内平时我们用到的字符集有utf-8,GBK,gb2312等等,字符集指示了浏览器该如何对待返回的数据。其中gb2312和GBK字符集使用得非常广泛,但是经证明,IE在处理这些宽字符集的时候存在问题,导致可能程序的一些安全规则被Bypass掉,引发严重的跨站脚本安全漏洞。在IE里,如果它遇到一个字符,它是指定字符集里的第一位的时候,...
XSS漏洞挖掘与安全防护.pdf
08-08
XSS相关漏洞一直是无法忽略的问题,即使再好的开发工程师也避免不了写出”不安全”的代码,这次议题将深入浅出的介绍一下XSS漏洞形成与危害。
JSP安全开发之XSS漏洞详解
10-21
在JSP开发中,XSS(Cross Site Scripting)漏洞是一种常见的安全问题,它...然而,安全是一个持续的过程,需要不断更新和改进以应对新的威胁。因此,开发者应时刻关注最新的安全标准和技术,以确保应用程序的安全性。
奇安信安全扫描漏洞解决路径遍历和存储型xss和反射xss攻击漏洞
11-09
亲测可用,中级漏洞,解决服务器段请求伪造 final String forURL = ESAPI.encoder().encodeForURL(url); restTemplate.exchange(forURL, HttpMethod.GET,new HttpEntity<String>(headers), List.class, params);
UTF-7 编码解码工具
03-14
UTF-7,编码解码工具,可直接用于跨站脚本攻击xss
数据科学家常犯的十大编码错误
读芯术的博客
08-13 833
全文共3475字,预计学习时长7分钟 图片来源:unsplash.com/@mattyfours 数据科学家比软件工程师更加擅长统计学,也比统计学家更加擅长软件工程。如果能有效避免在编码过程中的错误,你一定成为一个优秀的数据科学家! 文中每个示例的详细输出和代码可以在github和交互式笔记本中找到。该代码使用数据工作流管理库d6tflow,数据与数据集管理库d6tpipe共享。 传送...
XSS字符集的那些事儿
weixin_33969116的博客
03-08 462
mramydnei · 2014/03/29 13:190x00 前言在文章的开头,我想对上次发布了一个结论及其离谱但还算及时被删除了的 文章(关于跨域字符集继承的那篇)道个歉。也希望没有测试就去转载的那些人,可以把那个文章删除了。防止更多人对跨域字符集产生了错误的理解。不过作为谢罪,我也又重新整理了一篇文章,这也是一直以特别想写的一篇。但是觉得这个题目对我来说还是有点大,所以就一直没有下的去手。...
Web安全-XSS-基础05
qq_45927819的博客
02-16 1513
XSS Challenges靶场练习stage 1(无过滤)stage 2(属性中的XSS注入)stage 3(选择列表中的 XSS 注入)4.Stage #4 在隐藏域中注入 XSS5.Stage 5 (限制输入长度的解决方法)6.Stage 6 (限制输入 <> XSS的注入)7.Stage 7 (限制输入引号的 XSS 注入)8.Stage 8 (JavaScript伪协议)9.Stage 9 (UTF-7编码注入)10.Stage 10 (绕过关键字domain) 靶场:https://
【应用安全——XSS】——UTF-7 XSS
Fly_鹏程万里
02-22 1627
受影响浏览器版本为IE6,影响范围较小。 如果在Content-Type中没有设置charset,如下: Content-Type:text/html 在meta标签中也没有设置字符集 &lt;meta http-equiv=”Content-Type” content=”text/html; charset=utf-8″ /&gt; 就可以通过字符集抢占的方式使浏览器以UTF-7解析。...
XSS 绕过常用语句
Mr.Huang_的博客
09-16 2862
XSS 绕过常用语句 写在最前面::: 下文中 alert 都可以由 prompt 代替 最常用的 XSS 漏洞测试代码: <script>prompt("XSS")</script> <SCRIPT SRC=http://damit5.ml/xss.js></SCRIPT> 在输入(Input)标签里 <INPUT type="text" value='<SCRIPT>alert("XSS")</SCRIPT>'>
如何解决UTF-7漏洞
caoliangbo的博客
07-25 1213
又有应用被扫描到这个漏洞了,这个漏洞太低调,经常被大家忽略。且遇到后找不到解决方案。 整理下。   1:设置HTTP RESPONSE : Content-Type:json   2:组织UTF-7 BOM 在response 的最前面加上换行或空格   3:组织页面里在&lt;meta&gt; 前设置chaset ...
CTFUTF7-XSS
qq_39480875的博客
08-09 1149
CTF零基础入门指导第二节 CTFUTF7-XSS 【实验思路】 UTF-7:这是一种使用7位ASCII码对Unicode码进行转换的编码。它的设计目标仍然是为了在只能传递7为编码的邮件网关中传递信息。UTF-7对英语字母、数字和常见符号直接显示,而对其他符号用修正的Base64编码。符号+和-号控制编码过程的开始和暂停。所以乱码中如果夹有英文单词,并且相伴有+号和-号,这就有可能是UTF-...
about utf7-BOM string injection
weixin_34192816的博客
02-13 155
about utf7-BOM string injection 在一次和大牛Mario Heiderich的交流中,他问我知不知道“+/v8”,那时候我对这个一无所知,于是他就发我大牛Gareth Heyes'的一paper《XSS Lightsabre techniques》,在ppt的34页里: CSS expressions with UTF-7 • ...
手动探索:Web安全测试实战——SQL注入、XSS与文件上传漏洞防范
本文将深入探讨"web安全——手动测试"这一主题,主要关注以下几个关键点: 1. **安全测试与传统测试的区别**: - 目标不同:传统测试侧重于发现软件的功能缺陷(bug),而安全测试更关注识别和评估潜在的安全威胁...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值