〈 /title 〉〈script 〉 a_lert( 1 ) 〈 /script 〉

這樣一來就擺脫了title標(biāo)簽。USERINPUT3被放在一個式樣標(biāo)簽中，任何人都可以在IE中設(shè)置USERINPUT3成下面的樣子：

black; background: url( ' javascript:a_lert( 1 ) ' );

于是他就能夠在Firefox使用它了：

1: expression( a_lert( 1 ) )

同樣的，有時候用戶輸入會作為其它的標(biāo)簽的一部分出現(xiàn)在式樣參數(shù)中，如下所示：

如果您可以將USERINPUT3設(shè)為下面的值，那么就能在IE中運行JavaScript了：

javascript : a_lert(1)

或者對于Visual Basic愛好者，可以這樣使用：

vbscript:MsgBox(1)

Firefox不接受帶有JavaScript:協(xié)議處理程序的background:url()。然而，F(xiàn)irefox允許JavaScript作為表達(dá)式來執(zhí)行，在Firefox中將USERINPUT3A設(shè)為下列值：

); 1:expression(a_lert(1)

USERINPUT4可以直接利用，只要將USERPINUT4設(shè)為：

";a_lert(1);

USERINPUT5被深深嵌入到JavaScript內(nèi)部。為了插入（確保會執(zhí)行的）a_lert(1)函數(shù)，您必須把a(bǔ)_lert(1)放到所有代碼塊之外，并保證JavaScript代碼的前前后后都是合法的，如下所示：

')){}a_lert(1);if(0)

A_lert(1)之前的文本完成了原先的if語句，因此能確保a_lert(1)函數(shù)總是被執(zhí)行。a_lert(1)之后的文本創(chuàng)建了一個if語句用于剩余代碼塊，所以腳本標(biāo)簽之間的全部代碼都是合法的JavaScript代碼。如果不這樣，JavaScript就會因為語法錯誤而無法解釋執(zhí)行。

您可以使用一些詭計來把JavaScript注入到USERINPUT6中，例如，可以使用下面的方法：

"> < script >a_lert(1)< /script >

或者，如果不允許使用尖括號，則使用一個JavaScript事件處理程序，例如onclick事件處理程序，如下所示：

" onclick="a_lert(1)

USERINPUT7 還可以是這樣：

' >< script >a_lert(1)< /script >

或者：

' style='x: expression( a_lert ( 1 ) )

甚至更簡單一些：

javascript: a_lert( 1 )

對于USERINPUT7的前兩條利用方法能保證腳本在裝入頁面時執(zhí)行，最后一種方法要求用戶單擊鏈接。您可以把它們都試一遍，看看是不是在某些情況下有些字符和字符串是不允許的。

USERINPUT8也面臨類似的HTML注入字符串。下面是使用事件處理程序的最佳方式：

notThere' onerror='a_lert( 1 )

XSS防御方法通常是對具有潛在惡意性的字符進(jìn)行轉(zhuǎn)義或者編碼。舉例來說，如果用戶輸入 到一個文本字段，服務(wù)器可能以下列轉(zhuǎn)義后的字符串作為響應(yīng)：

根據(jù)轉(zhuǎn)義后的字符串的所在位置，這些字符串將以本來面目出現(xiàn)并且不會執(zhí)行。轉(zhuǎn)義方法比較復(fù)雜，所以將在后面的對抗措施中加以詳細(xì)討論。大多數(shù)轉(zhuǎn)義例程不是忘記對具有潛在惡意性的字符和字符串進(jìn)行轉(zhuǎn)義，就是使用了錯誤的編碼方法進(jìn)行換碼。例如USERINPUT9，其事件處理程序把HTML實體編碼為ASCII，所以任何人可以用下列兩個字符串上演相同的攻擊：

x'); a_lert ( 1 );

以及：

x'); a_lert( 1 )

最后，USERINPUT10可以用事件處理程序利用，并突破輸入標(biāo)簽，例子如下所示：

x onclick= a_lert ( 1 )

這個例子說明，用戶提供的字符串可以放到HTTP應(yīng)答中的任何地方，看來真是一切皆有可能呀！

如果您在任何前面的實例中成功進(jìn)行了HTML注入，那么該HTML注入就可用于在那個域上的任何地方的XSS。您可以用多種不同的方法來向Web應(yīng)用程序注入JavaScript。如果你的嘗試曾經(jīng)導(dǎo)致頁面格式被破壞，諸如截斷頁面、顯示了除您注入以外的腳本，那么很可能就是找到了一個XSS漏洞。

四、重定向器中的反射式HTML注入

HTML注入的另一個大舞臺是重定向器。有些重定向器允許用戶重定向到任何URL。 遺憾的是，JavaScript:a_lert(1)是一個合法的URL。許多重定向器會對URL進(jìn)行解析，以確定重定向到那里是否安全。這些解析器以及他們的程序員并不總是人們想象的那么聰明，所以像下面的URL：

javascript://www.anywhere.com/%0da_lert( 1 )

以及這個：

javascript://http://www.trustedsite.com/trustedDirectory/%0da_lert( 1 )

可能被接受。在上面的例子中，任何字符串都可以放置在JavaScript注解所用的雙斜杠之間以及URL編碼的換行符(%0d)之間。#p#

五、移動式應(yīng)用中的HTML注入

有些流行的Web應(yīng)用程序被移植到移動通信領(lǐng)域。這些移動式應(yīng)用一般具有相同的功能，但是安全特性更差，并且仍然可以通過諸如IE 以及Firefox之類的瀏覽器進(jìn)行訪問。 因此，它們是HTML注入攻擊以及跨站請求偽造的理想攻擊目標(biāo)。

通常情況下，移動式應(yīng)用作為主要的Web應(yīng)用程序運行在相同的域上，因此移動式應(yīng)用中的任何HTML注入都能夠訪問整個域，包括運行在該域上的主要的Web應(yīng)用程序或者其它的Web應(yīng)用程序。

六、在Ajax響應(yīng)以及錯誤信息中的HTML注入

并非所有HTTP應(yīng)答都會顯示給用戶。類似AJAX響應(yīng)以及超文本傳輸協(xié)議（http）錯誤消息這些頁面通常會被開發(fā)人員所忽視。開發(fā)人員可能沒有考慮為AJAX響應(yīng)提供HTML注入保護(hù)，因為這些請求通常不是由用戶直接使用的。然而，攻擊者可以用先前的代碼片斷模仿AJAX的GET以及POST請求。

同樣的，超文本傳輸協(xié)議（http）錯誤響應(yīng)，諸如HTTP 404（Not Found）、HTTP 502(Server Error)等等，通常也會被開發(fā)人員所忽略。開發(fā)人員傾向于假定一切都是HTTP 200(OK)。您可以嘗試觸發(fā)其它的響應(yīng)，而非僅僅HTTP 200，然后試著注入腳本。

七、使用UTF-7編碼進(jìn)行HTML注入

如果用戶的IE自動選擇編碼集，那么攻擊者就能規(guī)避大多數(shù)HTML注入預(yù)防措施。就像前面提到的那樣，HTML注入的預(yù)防措施一般依賴于對潛在的有害字符進(jìn)行轉(zhuǎn)義處理。然而，UTF-7編碼技術(shù)使用了無法正常轉(zhuǎn)義的通用字符，而這些通用字符有時無法被某些Web應(yīng)用程序進(jìn)行換碼。 的UTF-7轉(zhuǎn)義版本將是下面的樣子：

+ADw-script+AD4-a_lert(1)+ADw-/script+AD4-

注意，這是一種不常見的攻擊，因為用戶一般不會打開自動選擇編碼技術(shù)選項。當(dāng)然，也存在其他的利用字符編碼可變長度的UTF編碼攻擊技術(shù)，但是這要求對UTF有著深入廣泛的理解，所以它超出了本文的討論范圍。然而，這個問題說明其它編碼（例如MIME類型）的疏漏也是能引起HTML注入的。

八、利用MIME 類型不匹配來進(jìn)行HTML注入

IE具有許多令人驚訝的未公開特性，例如，IE7 以及之前的版本嘗試加載一個圖像或者其它的非HTML的響應(yīng)并且失敗時，它會將該響應(yīng)作為HTML對待。為了弄明白這個情況，我們可以創(chuàng)建一個文本文件，并包含下列內(nèi)容：

之后，將其保存為alert.jpg，然后在IE的URL地址欄中或一個iframe中裝載的這個“圖像”，這就會導(dǎo)致這里的JavaScript被執(zhí)行。
注意，如果該文件是從一個圖像標(biāo)簽加載的話，它就不會作為腳本執(zhí)行了。

一般說來，當(dāng)您試圖上載這樣的一個文件到一個圖像托管服務(wù)時，該服務(wù)將拒絕這個文件，因為它根本就不是一個圖像。但是圖像托管服務(wù)通常情況下會忽視文件的擴(kuò)展名，而只通過文件的幻數(shù)（開始幾個字節(jié)）來確定文件類型。

因此，攻擊者可以避開它，方法是用GIF注釋中的HTML來創(chuàng)建一個GIF圖像，然后將這個GIF保存為.jpg文件擴(kuò)展名的文件。下面是一個單像素的GIF文件，如下所示：

00000000 47 49 46 38 39 61 01 00 01 00 80 00 00 ff ff ff |GIF89a..........|

00000010 ff ff ff 21 fe 19 3c 73 63 72 69 70 74 3e 61 6c |...!.. .|

00000030 2c 00 00 00 00 01 00 01 00 00 02 02 44 01 00 3b |,...........D..;|

將其命名為test.jpg，并在IE中加載它，這會導(dǎo)致執(zhí)行這段JavaScript。這也是注入Flash跨域政策的一種好方法。只要把Flash安全策略的XML內(nèi)容放入GIF注釋，并保證這個GIF文件不包含擴(kuò)展的ASCII字符或者字節(jié)NULL即可。您還可以把HTML注入到未壓縮的圖像文件（諸如XPM以及BMP文件）的圖像數(shù)據(jù)部分，而不是注解中。

九、使用Flash進(jìn)行HTML注入

在大多數(shù)HTML注入情形中，攻擊者可以注入任意的HTML。舉例來說，攻擊可以注入一個對象和/或嵌入一個標(biāo)簽來加載該域上的Flash應(yīng)用程序。 下面是一個例子：

這里的HTML有些繁瑣，但是它將JavaScript應(yīng)用程序具有的控制權(quán)賦予一個Flash應(yīng)用程序，例如(經(jīng)過ExternalInterface類)讀取Cookie、(經(jīng)過ExternalInterface類)改變web頁面外觀、(經(jīng)過XML類)讀取用戶私人數(shù)據(jù)以及(經(jīng)過XML類)以受害者的名義建立HTTP請求。

然而，F(xiàn)lash應(yīng)用程序有時候會提供更多的功能。例如，flash應(yīng)用程序可以通過Socket類創(chuàng)建原始的套按字連接。這允許攻擊者構(gòu)造他們的完整的HTTP數(shù)據(jù)包（包括通過ExternalInterface類竊取Cookie）或者連接到電腦允許的其它端口上。

注意，Socket連接只能建立到達(dá)惡意腳本所源自的域的連接，除非攻擊者為完成攻擊還反射了一個不安全的跨域策略文件。

有些開發(fā)人員通過把響應(yīng)的MIME類型設(shè)置為text/plain或者除text /html以外的任何東西來防止AJAX響應(yīng)被注入HTML。HTML注入將無法進(jìn)行，因為瀏覽器不會把響應(yīng)解釋為HTML。然而，F(xiàn)lash并不關(guān)心跨域策略文件是哪種MIME類型，所以攻擊者有可能使用AJAX響應(yīng)來反射一個不安全的跨域策略文件。

這允許惡意的Flash應(yīng)用程序以受害者名義向有弱點的Web應(yīng)用程序發(fā)送請求，讀取該域上的任意的頁面，并創(chuàng)建到達(dá)該域的套按字連接。這種類型的攻擊的威脅相對較弱，因為惡意的Flash應(yīng)用程序不能竊取Cookie(但是它仍然可以以用戶的名義來完成任何動作)，而且它不能在受害的用戶前模仿成應(yīng)用程序，除非惡意的Flash應(yīng)用程序?qū)⒂脩糁囟ㄏ虻揭粋€攻擊者控制下的域。

然而，到目前為止，HTML注入所能做的最邪惡的事情還是在受害用戶目前把自己裝扮成Web應(yīng)用程序，當(dāng)然，通過其它方法也可以達(dá)到此目的，比如反射一個不安全的跨域策略文件，并使用ActionScript的XML類發(fā)送HTTP的GET和POST請求并且讀取響應(yīng)。 在下一節(jié)中，我們描述攻擊是如何作惡的。

十、結(jié)束語

在瀏覽器中已經(jīng)建立了一些安全措施——即同源策略和Cookie安全模型。此外，一些瀏覽器插件，諸如Flash Player、Outlook Express 以及Acrobat Reader等，帶來了更多的安全問題和安全措施。然而，如果攻擊者可以強(qiáng)迫用戶執(zhí)行源自特定域的JavaScript的話，這些額外的安全措施總是傾向于削弱同源策略的力量。

跨站點腳本攻擊（XSS）技術(shù)能夠強(qiáng)迫用戶執(zhí)行攻擊者以受害者名義在某個域上選擇的腳本，如JavaScript、VBScript、ActionScript，等等。XSS要求某個域上的Web應(yīng)用程序能夠提供（即供應(yīng)、返回）被攻擊者所控制的字符。

因此，攻擊者可以向頁面注入代碼，而這些代碼將來會在這個有弱點的域的上下文中執(zhí)行。而本文將介紹跨站腳本漏洞利用的過程，并對HTML注入進(jìn)行深入分析；我們將在下篇中詳細(xì)介紹跨站腳本的危害，以及攻擊者是如何誘騙受害者的，以及針對跨站腳本攻擊的防御措施。

【51CTO.COM 獨家特稿，轉(zhuǎn)載請注明出處及作者！】