Javascript字符串截断 with DOM XSS的方法介绍
乌云 发布时间:2012-06-29 16:30:59 作者:佚名 
我要评论
我要评论在IE中javascript的字符串可以被NULL字符截断,不过仅仅是getValue的时候截断.
在IE中javascript的字符串可以被NULL字符截断,不过仅仅是getValue的时候截断.
测试代码:
alert('abc\0 def')如果只是这样最多就是spoofing,但配合IE(<=8)的一个解析bug和php的[魔术引号]就是一个DOM XSS了.
IE解析bug:
<a href="<body/onload=alert(1)>click</a>
在前面的我分享过的XSS向量里有提到过,就是当解析器不能匹配到一个标签里属性值的结束界定符的时候会认为这是个无效的标签,将其当成文本.
<a href=" 变成<a href=" <body/onload=alert(1)>被解析成html.PHP的转义问题
在5.3.0之前,php默认开启了magic_quotes_gpc.
它不但会转换" ' 之类的字符,还会将转义%00转换成\0
在javascript的字符串中\0又会被转义回去.
注:即便关闭了魔术引号,开发者一般也会实用addslashes之类的函数,这些函数同样会将%00转换成\0
So
document.write('<img src="<iframe/onload=alert(1)>\0">')
--------------------------------------------------------------------------------
相关评论:
--------------------------------------------------------------------------------
Xhm1n9 | 2012-06-29 01:34
实用的技巧:)
horseluke (微碌) | 2012-06-29 01:53
PHP的输出转义一般用htmlspecialchars的...addslashes只是数据库相关转义,输出转义用addslashes肯定不能通过代码审计的。
但是............有没有人研究过绕过strip_tags?见到有人用这个来做输出转义,觉得不安全,但又说不出所以然,更试不出所以然...
Sogili (-_-)Web疯狂科学家//mmme.me(-_-) | 2012-06-29 01:58
@horseluke 嗯,不过htmlspecialchars不会转换%00,如果真的没处理%00就更好玩了.
horseluke (微碌) | 2012-06-29 02:03
@Sogili 不明白,对XSS不熟悉,求详解...
Sogili (-_-)Web疯狂科学家//mmme.me(-_-) | 2012-06-29 02:09
@horseluke IE可以解析<[0x00]i[0x00]0m[0x00]0g src=xx:x o[0x00]nerror=alert(1)> 可以绕过很多filter,所以不处理[0x00]是很危险的.我了解的只是XSS的方面,我想对服务端安全影响也不小.
_Evil (性趣是最好的老师.) | 2012-06-29 06:44
web科学家这个不错 不过范围小了的 只能ie
gainover (">_< ' / & \ 看啥,没见过跨站字符么) | 2012-06-29 07:53
可以在自己电脑上写个利用场景试一试
测试代码:
alert('abc\0 def')如果只是这样最多就是spoofing,但配合IE(<=8)的一个解析bug和php的[魔术引号]就是一个DOM XSS了.
IE解析bug:
<a href="<body/onload=alert(1)>click</a>
在前面的我分享过的XSS向量里有提到过,就是当解析器不能匹配到一个标签里属性值的结束界定符的时候会认为这是个无效的标签,将其当成文本.
<a href=" 变成<a href=" <body/onload=alert(1)>被解析成html.PHP的转义问题
在5.3.0之前,php默认开启了magic_quotes_gpc.
它不但会转换" ' 之类的字符,还会将转义%00转换成\0
在javascript的字符串中\0又会被转义回去.
注:即便关闭了魔术引号,开发者一般也会实用addslashes之类的函数,这些函数同样会将%00转换成\0
So
document.write('<img src="<iframe/onload=alert(1)>\0">')
--------------------------------------------------------------------------------
相关评论:
--------------------------------------------------------------------------------
Xhm1n9 | 2012-06-29 01:34
实用的技巧:)
horseluke (微碌) | 2012-06-29 01:53
PHP的输出转义一般用htmlspecialchars的...addslashes只是数据库相关转义,输出转义用addslashes肯定不能通过代码审计的。
但是............有没有人研究过绕过strip_tags?见到有人用这个来做输出转义,觉得不安全,但又说不出所以然,更试不出所以然...
Sogili (-_-)Web疯狂科学家//mmme.me(-_-) | 2012-06-29 01:58
@horseluke 嗯,不过htmlspecialchars不会转换%00,如果真的没处理%00就更好玩了.
horseluke (微碌) | 2012-06-29 02:03
@Sogili 不明白,对XSS不熟悉,求详解...
Sogili (-_-)Web疯狂科学家//mmme.me(-_-) | 2012-06-29 02:09
@horseluke IE可以解析<[0x00]i[0x00]0m[0x00]0g src=xx:x o[0x00]nerror=alert(1)> 可以绕过很多filter,所以不处理[0x00]是很危险的.我了解的只是XSS的方面,我想对服务端安全影响也不小.
_Evil (性趣是最好的老师.) | 2012-06-29 06:44
web科学家这个不错 不过范围小了的 只能ie
gainover (">_< ' / & \ 看啥,没见过跨站字符么) | 2012-06-29 07:53
可以在自己电脑上写个利用场景试一试
相关文章
局域网共享安全方式之用局域网文件共享系统实现共享文件夹安全设置
现在很多单位都有文件服务器,经常会共享文件让局域网用户访问。那么,如何才能保护局域网内共享文件夹的安全性呢?下面通过本文给大家分享局域网共享安全方式之用局域网文2017-05-11- 这篇文章主要介绍了IIS的FastCGI漏洞处理方法,需要的朋友可以参考下2017-04-30
IIS PHP fastcgi模式 pathinfo取值错误任意代码执行漏洞修复方法
这篇文章主要介绍了PHP fastcgi模式 pathinfo取值错误任意代码执行漏洞,需要的朋友可以参考下2017-04-30- IIS短文件名泄露漏洞,IIS上实现上存在文件枚举漏洞,攻击者可利用此漏洞枚举获取服务器根目录中的文件,这里为大家分享一下安装方法,需要的朋友可以参考下2017-04-23
用mcafee麦咖啡设置服务器基本用户安全(防止新建用户与修改密码)
这篇文章主要介绍了用麦咖啡设置服务器基本用户安全(防止新建用户与修改密码),需要的朋友可以参考下2017-02-26- 这篇文章主要介绍了防范黑客入侵,关闭端口封锁大门 黑客无法入侵的相关资料,需要的朋友可以参考下2016-10-31
- 大家都知道现在市场上的网络性能监控工具大有所在,这为现在的IT行业的人员提供了很多便利,帮助IT管理团队监控网络性能,并且帮助IT管理人员确定系统性能的瓶颈所在,进而2016-10-19
- 虽然现在网络很发达,但对我们普通人而言,也就是10多年的上网历史,好多人还没意识到信息安全的重要性。那么如何保证自己的上网安全?下面小编为大家分享10条防范自救,一2016-10-12
- 这篇文章主要介绍了远离病毒 八项基本原则的相关资料,需要的朋友可以参考下2016-10-08
- 这篇文章主要介绍了Linux 防范病毒的方法的相关资料,需要的朋友可以参考下2016-10-08
最新评论