从零开始学web安全(3)_html/css_WEB-ITnose
最近sng要求大家做安全考试,跟xss相关有两个个非常经典的题目:
题目1答案是b,题目2答案是c和d。
看完这两道题如果大家都很轻松的答对了,而且知其所以然,那么这篇文章大家快速浏览下或者直接关掉啦~~
为了解答上面的问题,我们先来学习下面编码相关的知识吧~~
常用编码
常用编码类别的介绍借用一下别人的总结,大概有以下三种,当然还有css编码等,因为css expression现在也很少人用了在这里就不介绍了。
- html实体编码,十进制、十六进制ASCII码或unicode字符编码,样式为“数值;”,例如“
- js编码,有4类:
(a)三个八进制数字,如果不够个数,前面补0,例如“e”编码为“\145”
(b) 两个十六进制数字,如果不够个数,前面补0,例如“e”编码为“\x65”
(c)四个十六进制数字,如果不够个数,前面补0,例如“e”编码为“\u0065”
(d)对于一些控制字符,使用特殊的C类型的转义风格(例如\n和\r)
- url编码,一个百分号和该字符的ASCII编码所对应的2位十六进制数字,例如“/”的URL编码为%2F。我们平时调用的encodeURIComponent等出来的就是url编码。
看完上面的介绍之后估计本来懂的人知道是干嘛的,本来不了解的人估计也觉得并没有什么用。
还是来看看简单的demo吧~~
html实体编码
记得在上篇文章中将到了这个应用到小知识,即是
在html标签属性的值里字符实体是会被转换成相对的字符的。这意味着下面这两个是等价的:
这个东西有什么用呢?比如某些特殊字符单引号双引号之类的被过滤了但是&#并没有被过滤,就可以用字符实体替代进行xss啦~~
js编码
刚刚说到了js编码有好几种,其实不用太care,只要知道有js编码这东西就好了,每一种使用起来效果基本没什么不同。
依然看个非常简单的例子
var body = document.getElementsByTagName('body')[0]; body = 'test'; // 等同于上面那句 body = 'test';
这里用的是js编码中的第三种,js的unicode编码,其他用法一样。我们把 : 编码成了 \u003a ,当进入到js的可执行环境的时候就会被把编码后的 \u003a 重新解析成 : 。
在xss的应用中也是用来绕过过滤。
url编码
这个就比较简单了,我们平时用encodeURIComponent也用了好多次,例如“/”的URL编码为%2F,这个不像前面两个那么常用,但在一些特殊场景也会用到,具体就看看复合编码里面的例子吧。
复合编码
这里要说的复合编码是说前面几种结合起来,这可能是实际场景中用到的最多的了。
依旧来看看一个简单的demo。
var body = document.getElementsByTagName('body')[0]; // test1 // url编码 body = 'test1'; // test2 // url编码 -> js unicode编码 body = 'test2'; // test3 // url编码 -> html字符实体编码 body = 'test3'; // test4 // url编码 -> html字符实体编码 -> js unicode编码 body = 'test4'; // test5 // url编码 -> js unicode编码 -> html字符实体编码 body = 'test5'; // test6 // url编码 -> js unicode编码 body = 'test6'; // test7 // url编码 -> js unicode编码 -> html字符实体编码 body = 'test7';
test1只进行了url编码,在url里面存在url编码可以正常跳转这个是毫无疑问的。
test2我们把 % 编码成了 \u0025 ,发现一样可以顺利跳转,为什么呢?这里是因为这个a标签被插入到body里面的时候已经经过了js可执行环境,即我们在赋值 的这条语句。在插入到body里面的时候我们在dom树里看到的其实和test1没有什么区别。
test3我们把 % 编码成了 % ,发现还是可以顺利跳转,这又是为啥?原因也很简单,这个a标签被插入到body之后,就变成了属性里有html字符实体的场景。我们在讲html实体编码的时候已经说过了,属性里面存在html实体编码在dom树的渲染中是会被解析出来的。打开chrome的调试器我们看到的和test1并没有区别。
test4我们在test3的基础上把第一个 & 通过js unicode编码编程 \u0026 ,发现居然还可以跳转!聪明的读者可能一下子就反应过来了,因为在赋值 的这条语句的时候先经过了js可执行环境,然后到dom中,在js可执行环境里 \u0026 被解码出来了,在渲染a标签的时候解码出来的 & 和后面的 #37 拼接起来,被html实体解码成 % ,url跳转的时候被url解码成特定的字符。也就是说整个过程其实经过了 js unicode解码 -> html字符实体解码 -> url解码。
好吧,你告诉我是先经过js环境,再到html,反过来编码肯定挂了吧。看看我们的test5,我们在test2的基础上把第一个 \ 编码成 \ ,果然挂了!!没有正确跳转。然而仔细一看,之所以没有正确跳转是因为这个url被当成相对路径了,跳转出来的路径是 http://192.168.1.100:8848/http%3A//www.baidu.com , 前面那一串ip端口忽略,后面的地址是对的!只不过被当成了相对路径而已。看来test5这种编码顺序也是可以的?
为了验证上面这个疑问,我测试了一下test1 -> test6 -> test7这个编码顺序,不出意外,正常跳转了。
这时候有些读者可能有点凌乱。先html编码和先js编码看来也没啥区别,瞎逼编就好了。
重新理清下思路,其实我举的这个例子非常特殊,不仅用到了三种编码,编码处理的环境也在不断变化。整个解码过程其实分4步,是这样子的:
inner/*防过滤*/HTML 的js可执行环境时候的js解码 ->
dom渲染时的html字符实体解码 ->
location.href 的js可执行环境时候的js解码 ->
url跳转时候的url解码
看完这个解码顺序大家应该都了解为什么先html编码还是先js编码都可以了吧,并不是瞎逼编的= =
测试题目
回头来看这个题目,如果大家对上面都理解了,估计对这道题目也没有什么疑问。
b为什么是错误的呢,我们来hack它吧~~
看demo:
我们模拟了一个这样的例子,从hash里面作为输入点,然后输出到页面上。首先上面这个没有任何过滤。
我们写了个这样的hash - "onmouseover="alert(1)" 轻松破解
我们简单过滤一下,对单双引号html编码
刚才的破解方法失效了,那答案b不是对的吗?
那怎么破解?我当时被这个先入为主的思维困扰了好久,其实这边并不一定要老想着去闭合html里面的标签,可以闭合js啊!
我们提交这样一个hash - '+alert(1)+'
成功弹窗!结合html字符实体编码 + onclick里面的js可执行环境,是可以被xss的~
其他选项和题目就留给大家自己思考一下,就不一一解释了,应该并没有太大问题。
好吧,这篇就先到这里了~~
下个月继续安全方面的知识分享。大家清明快乐。。。
推荐阅读
-
#WEB安全基础 : HTML/CSS | 0x7HTML5和W3C验证
-
纯CSS3实现图片展示特效_html/css_WEB-ITnose
-
CSS3之圆角_html/css_WEB-ITnose
-
css3中的content和实体_html/css_WEB-ITnose
-
一款纯css3实现的响应式导航_html/css_WEB-ITnose
-
CSS3之弹性布局_html/css_WEB-ITnose
-
CSS3 实现六边形Div图片展示效果_html/css_WEB-ITnose
-
一款简洁的纯css3代码实现的动画导航_html/css_WEB-ITnose
-
自学篇之js 提取复选框和单选框的值 和纯css的3D按钮_html/css_WEB-ITnose
-
一款纯css3实现的机器人看书动画效果_html/css_WEB-ITnose