[转]以新浪为例浅谈XSS

随着网络时代的飞速发展,网络安全问题越来越受大家的关注，而SQL注入的攻击也随着各种防注入的出现开始慢慢的离我们而去，从而XSS跨站脚本攻击也慢慢的开始在最近几年崛起，也应对了’没有绝对的安全’这句话。

XSS攻击：它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。

大家刚接触XSS的时候和我大概也差不多，都是在不断的在各种搜索栏，地址栏中或者注册栏中疯狂的使用

<script>alert('xss')</script>

之类的语句进行测试，从而得到的效果几乎80%都是

<script>alert('xss')</script&gt

出现这样的，或者是scriptalertxssscript再或者是scriptalert(‘xss’)script。在大家看来只要能输入的地方大多数都是这样输入的，其实这存在着一个问题。

例如，在dom输出的也许是：

<input type="text" value="搜索内容">

过滤了<>那么就完全没办法，使用

<script>alert('xss')</script>

之类的语句，怎么办？我们思考一下，在input标签中有一个触发和点击事件，我们也可以考虑下使用闭合value中的内容来增加一个点击事件，

好，我们 直接来看下例如：我们搜索的内容是aaaa，那么标签中应该是这样显示的：

<input type="text" value="aaaa">

我们来改一下aaaa。我们改为：

aaaa" onclick=javascript:alert('xss')

那么在：

<input type="text" value="aaaa">

中会出现的就是：

<input type="text" value="aaaa" onclick=javascript:alert('xss')>

当用户点击我们的搜索框的时候就会弹出一个XSS的对话框，这个只是测试，之后如何调用js获取cookie或者是钓鱼之类都是靠大家的想象力去做，再如 果，当程序员过滤了script或者是”怎么办？一般搜索的地方都会在一个script标签中出现，例如：新浪网知识人某问题搜索的地方，过滤了”经过测试发现没有过滤’，这个就是一个线索，然后在审核元素中发现在我们 搜索的时候新浪会在一个script标签中给一个这样的东西：

 <script>
 function thisinit()
 {$("syzs1").value = 50 - document.login.title.value.length;
 $("syzs2").value = 3000 - document.login.description.value.length;
 getTitleContent ('aaaa', '0');
 getTitleClass('0');
 autotenms();}
 </script>

我们可以很明显的看到我们所搜索的aaaa出现在了这里面，我们现在来简单的构造一下，再构造之前和大家说一下一些关于javascript的东西， 在javascript中，当一行语句出现错误的时候其他一些js语句是无法执行的，//是js中的注释，首先教大家的是一种简单的方法。

getTitleContent ('aaaa', '0');

我们首先将这条语句先结束掉，然后在执行我们的js代码，我们直接来写 首先，aaaa’,’0′)这样，我们就已经结束了这条语句，程序会认为是一条完整的语句，这只是第一步，因为我们这些程序会变成这样getTitleContent (‘aaaa’,’0′)’, ’0′);这样说会报错的对吧，我们继续来写

aaaa','0');alert('xss')//aaaa

，这样程序就会变成了

getTitleContent ('aaaa','0');alert('xss')//aaaa，', '0');

我们来分析一下，首先程序先执行

getTitleContent ('aaaa','0');

然后执行alert，最后因为我们注释掉了

//aaaa，', '0');

所以后面的东西程序不会理会。这样，我们的程序就没有错了，xss自然就触发了。
说完这个，再说一种情况，如果程序过滤了//和;一号店的搜索地方就是这样的(前面日记中也有提到)搜索的地方也出现了一个script标签，这样的：

 <script>
 trackerContainer.addParameter(new Parameter("internalKeyword","aaaa"));
 </script>

按照刚才我们的思路是这样写的对吧

trackerContainer.addParameter(new Parameter("internalKeyword","aaa"));alert('xss)//aaa"));

思路没错，但是人家过滤了//和;人家也想到了这一点，怎么办呢？其实在XSS中还有一种方法，就是+执行语句+这样一个东西，也就是连接符。例如

<script>
var b='123';
document.write('a'+b+'a');
</script>

在html中会显示a123a 我们看到的是字符串a和一个+b+和一个字符串a啊，怎么会出现123呢？？？因为我们的b是一个变量，里面赋值了字符串123，然后+b+是插入到我们 的aa中间，所以输出的是a123a。

好，我们知道了这个原理之后，我们就大概知道我们下面应该做什么了，也就是：

trackerContainer.addParameter(new Parameter("internalKeyword","aaaa"+alert('xss')+"a"));

这样，我们应该在搜索的地方怎么写呢？我猜聪明的你们应该想到了，是这样的

aaa"+alert('xss')+"a

，这样写就写好了，也许眼睛尖的人会看到一个地方就是”a为什么要这样写？ 这个很简单，因为本来程序将我们搜索的地方放在了”"中，如果我们再加一个”的话就变成了

trackerContainer.addParameter(new Parameter("internalKeyword","aaaa"+alert('xss')+"a""));

程序就自然而然的出错了。

同样，一号店，乐视，多玩，中国知网，都存在这样的漏洞

[via@习科]