[转]以新浪为例浅谈XSS

随着网络时代的飞速发展,网络安全问题越来越受大家的关注,而SQL注入的攻击也随着各种防注入的出现开始慢慢的离我们而去,从而XSS跨站脚本攻击也慢慢的开始在最近几年崛起,也应对了’没有绝对的安全’这句话。

XSS攻击:它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。

大家刚接触XSS的时候和我大概也差不多,都是在不断的在各种搜索栏,地址栏中或者注册栏中疯狂的使用

<script>alert(xss)</script>

之类的语句进行测试,从而得到的效果几乎80%都是

&lt;script&gt;alert(&#39;xss&#39;)&lt;/script&gt

出现这样的,或者是scriptalertxssscript再或者是scriptalert(‘xss’)script。在大家看来只要能输入的地方大多数都是这样输入的,其实这存在着一个问题。

例如,在dom输出的也许是:

<input type="text" value="搜索内容">

过滤了<>那么就完全没办法,使用

<script>alert(xss)</script>

之类的语句,怎么办?我们思考一下,在input标签中有一个触发和点击事件,我们也可以考虑下使用闭合value中的内容来增加一个点击事件,

好,我们 直接来看下例如:我们搜索的内容是aaaa,那么标签中应该是这样显示的:

<input type="text" value="aaaa">

我们来改一下aaaa。我们改为:

aaaa" onclick=javascript:alert(‘xss‘)

那么在:

<input type="text" value="aaaa">

中会出现的就是:

<input type="text" value="aaaa" onclick=javascript:alert(‘xss‘)>

当用户点击我们的搜索框的时候就会弹出一个XSS的对话框,这个只是测试,之后如何调用js获取cookie或者是钓鱼之类都是靠大家的想象力去做,再如 果,当程序员过滤了script或者是”怎么办?一般搜索的地方都会在一个script标签中出现,例如:新浪网知识人某问题搜索的地方,过滤了”经过测试发现没有过滤’,这个就是一个线索,然后在审核元素中发现在我们 搜索的时候新浪会在一个script标签中给一个这样的东西:

[转]以新浪为例浅谈XSS
1 <script>
2 function thisinit()
3 {$("syzs1").value = 50 - document.login.title.value.length;
4 $("syzs2").value = 3000 - document.login.description.value.length;
5 getTitleContent (aaaa, 0);
6 getTitleClass(0);
7 autotenms();}
8 </script>
[转]以新浪为例浅谈XSS

我们可以很明显的看到我们所搜索的aaaa出现在了这里面,我们现在来简单的构造一下,再构造之前和大家说一下一些关于javascript的东西, 在javascript中,当一行语句出现错误的时候其他一些js语句是无法执行的,//是js中的注释,首先教大家的是一种简单的方法。

getTitleContent (‘aaaa‘, ‘0‘);

我们首先将这条语句先结束掉,然后在执行我们的js代码,我们直接来写 首先,aaaa’,’0′)这样,我们就已经结束了这条语句,程序会认为是一条完整的语句,这只是第一步,因为我们这些程序会变成这样getTitleContent (‘aaaa’,’0′)’, ’0′);这样说会报错的对吧,我们继续来写

aaaa‘,‘0‘);alert(‘xss‘)//aaaa

,这样程序就会变成了

getTitleContent (‘aaaa‘,‘0‘);alert(‘xss‘)//aaaa,‘, ‘0‘);

我们来分析一下,首先程序先执行

getTitleContent (‘aaaa‘,‘0‘);

然后执行alert,最后因为我们注释掉了

//aaaa,‘, ‘0‘);

所以后面的东西程序不会理会。这样,我们的程序就没有错了,xss自然就触发了。
说完这个,再说一种情况,如果程序过滤了//和;一号店的搜索地方就是这样的(前面日记中也有提到)搜索的地方也出现了一个script标签,这样的:

1 <script>
2 trackerContainer.addParameter(new Parameter("internalKeyword","aaaa"));
3 </script>

按照刚才我们的思路是这样写的对吧

trackerContainer.addParameter(new Parameter("internalKeyword","aaa"));alert(‘xss)//aaa"));

思路没错,但是人家过滤了//和;人家也想到了这一点,怎么办呢?其实在XSS中还有一种方法,就是+执行语句+这样一个东西,也就是连接符。例如

<script>
var b=123;
document.write(a+b+a);
</script>

在html中会显示a123a 我们看到的是字符串a和一个+b+和一个字符串a啊,怎么会出现123呢???因为我们的b是一个变量,里面赋值了字符串123,然后+b+是插入到我们 的aa中间,所以输出的是a123a。

好,我们知道了这个原理之后,我们就大概知道我们下面应该做什么了,也就是:

trackerContainer.addParameter(new Parameter("internalKeyword","aaaa"+alert(‘xss‘)+"a"));

这样,我们应该在搜索的地方怎么写呢?我猜聪明的你们应该想到了,是这样的

aaa"+alert(‘xss‘)+"a

,这样写就写好了,也许眼睛尖的人会看到一个地方就是”a为什么要这样写? 这个很简单,因为本来程序将我们搜索的地方放在了”"中,如果我们再加一个”的话就变成了

trackerContainer.addParameter(new Parameter("internalKeyword","aaaa"+alert(‘xss‘)+"a""));

程序就自然而然的出错了。

[转]以新浪为例浅谈XSS

同样,一号店,乐视,多玩,中国知网,都存在这样的漏洞

[via@习科]

[转]以新浪为例浅谈XSS

上一篇:JavaWeb——JavaWeb开发入门


下一篇:sqlserver子查询报错