xss编码-浏览器解析原理
在IE中,HTML本身的渲染是由mshtml.dll来解释生成对象并展示出来的,而JS的代码会交给Jscript9.dll去解释执行。大家可以参考MVC结构,模型就是HTML中定义得那些元素,View就是我们看到得输入框、超链接的样子(可理解为style),这些都是在mshtml.dll中在匹配、分析、生成的,而Control就由Jscript9.DLL来完成,所以JS引擎不过就是把生成的模型和View按照树形组织并管理起来。
日常中引起执行JS代码的场景:
1 | 1 <script> |
那么在执行时,mshtml.dll到底把值字符串到底以什么形式传给jscript9.dll去解释执行的呢?在IE中,所有Javascript代码编译均由jscript9!ScriptEngine::DefaultCompile函数编译,此函数断下时,esp+4的值即指向由mshtml传过来的JS代码字符串。
- 对于script标签定义的JS,可以泛理解为IE会直接产生script对象,之后把innerHTML,也就是JS代码内容直接原封不动传给JS引擎去解释执行。
- 在javascript伪协议形式,全部字符串可以是任意的URL编码和实体字符。
- 在事件类型中,JS代码并不是直接解释直接,而是被封装成了一个名为onclick的function,参数是event,函数体即用户代码。查看字符串,可看到只有实体字符被还原解码,其他均无处理。可得出结论:在事件触发的情况下,只有实体字符是亲儿子,只认识解码实体字符。
最终结论就是:在IE解析HTML时,只对所有实体编码做出解码,在解析URL时,会解码URL编码,script标签时,原始文本均不做处理!
下面摘自网络的一段XSS姿势。我们结合分析结论做出解释
| 1 | [](javascript:alert(2)) |
浏览器在拿到URL后,全字符串做URL解码,会得到javascript:开头的字符串 | Y |
|---|---|---|---|
| 2 | `` | 同上 | N |
| 3 | `` | 现浏览器只认<,这里根本没有在文本里扫描到<,故根本就不是对象,不产生IMG元素 | N |
| 4 | <script>alert(5)</script> |
只扫描到了textarea类型,产生了textarea,其余字符串只是作为值字符串,值里含有<字符。 | N |
| 5 | <script>alert(6)</script> |
探测到了textarea对象的定义,故成对匹配出来中间的内容作为了属性来看待。 | N |
高级部分
| 6 | Button |
一切值原始文本均会做出实体解码。 | Y |
|---|---|---|---|
| 7 | Button |
事件触发情形,只解码实体编码 | N |
| 8 | alert(9); |
在script标签里,原封不动交给js引擎。 | N |
| 9 | \u0061\u006c\u0065\u0072\u0074(10); |
在script标签里,原封不动交给js引擎。之后涉及JS引擎对字符串的解码。不做详细讨论。 | Y |
| 10 | \u0061\u006c\u0065\u0072\u0074\u0028\u0031\u0031\u0029 |
同上 | N |
| 11 | \u0061\u006c\u0065\u0072\u0074(\u0031\u0032) |
同9 | N |
| 12 | alert('13\u0027) |
同9 | N |
| 13 | alert('14\u000a') |
同9,稍微提一下,JS引擎解析也是查找调用(函数)的过程。不做详细讨论 | Y |
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 Rick!
相关推荐
2020-03-27
CORS与jsonp
https://juejin.im/post/5cb5c40ff265da03a158210e
2020-02-05
cookie机制
Cookie 的实现机制 Cookie 是由客户端保存的小型文本文件,其内容为一系列的键值对。 Cookie是由HTTP服务器设置的,保存在浏览器中, 在用户访问其他页面时,会在HTTP请求中附上该服务器之前设置的Cookie。 Cookie的实现标准定义在 RFC2109: HTTP State Management Mechanism 中。 那么Cookie是怎样工作的呢?下面给出整个Cookie的传递流程: 浏览器向某个URL发起HTTP请求(可以是任何请求,比如GET一个页面、POST一个登录表单等) 对应的服务器收到该HTTP请求,并计算应当返回给浏览器的HTTP响应。 HTTP响应包括请求头和请求体两部分,可以参见:读 HTTP 协议。 在响应头加入Set-Cookie字段,它的值是要设置的Cookie。 在 RFC2109 6.3 Implementation Limits 中提到: UserAgent(浏览器就是一种用户代理)至少应支持300项Cookie,...
2020-01-29
web条件式请求-时间
If-Unmodified-Since HTTP协议中的 If-Unmodified-Since 消息头用于请求之中,使得当前请求成为条件式请求:只有当资源在指定的时间之后没有进行过修改的情况下,服务器才会返回请求的资源,或是接受 POST 或其他 non-safe 方法的请求。如果所请求的资源在指定的时间之后发生了修改,那么会返回 412 (Precondition Failed) 错误。 常见的应用场景有两种: 与 non-safe 方法如 POST 搭配使用,可以用来优化并发控制,例如在某些wiki应用中的做法:假如在原始副本获取之后,服务器上所存储的文档已经被修改,那么对其作出的编辑会被拒绝提交。 与含有 If-Range 消息头的范围请求搭配使用,用来确保新的请求片段来自于未经修改的文档。 指令 "Mon", "Tue", "Wed", "Thu", "Fri", "Sat" 或 "Sun" 之一 (区分大小写)。 两位数字表示的天数, 例如"04" or "23"。 "Jan", "Feb", "Mar", "Apr",...
2020-02-25
CSRF漏洞
什么是CSRF CSRF(Cross-site request forgery)跨站请求伪造,也被称为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。CSRF通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。 下图是一次完整的CSRF攻击示意图。用户登录并访问了一正常网站,登录成功后,网站返回用户的身份标识Cookie给用户。当用户访问到恶意网站时,恶意网站强制用户去向正常网站发送恶意请求。由于用户此时拥有正常网站的Cookie,所以就相当于攻击者盗用了用户身份,去访问了正常(目标)网站。 一次完整的CSRF攻击,需要受害用户需要完成两个步骤: 1.登录正常网站,并在本地生成Cookie。 2.在不退出正常网站的情况下,访问恶意网站。 CSRF 背景与介绍 CSRF(Cross Site Request...
2020-05-07
CTF中的htaccess
服务器中间件为apache,因此想到了传.htaceess来解析php,通常我们用 .htaccess来解析非php后缀文件时用到 AddType application/x-httpd-php .ppp 或者 123<FilesMatch "shell.jpg"> SetHandler application/x-httpd-php</FilesMatch> auto_append_file和auto_prepend_file 相关bypass 如果文件末尾被自动加上一句话,会导致服务器500错误,这时候可以在最后添加#\ 将换行转义成普通字符 如果特殊字符被实体编码, 可以通过特殊编码来绕过 相关比赛 XNUCA2019Qualifier
2022-05-18
CVE-2020-17523_Apache_Shiro身份认证绕过
CVE-2019-12422 漏洞描述 Shiro RememberMe 反序列化漏洞 漏洞成因 由于Apache Shiro cookie中通过 AES-128-CBC 模式加密的rememberMe字段存在问题,用户可通过Padding Oracle 加密生成的攻击代码来构造恶意的rememberMe字段,并重新请求网站,进行反序列化攻击,最终导致任意代码执行。 shiro对于Cookie处理做了如下实现: 123456789101112131415161718192021222324252627282930protected byte[] decrypt(byte[] encrypted) { byte[] serialized = encrypted; CipherService cipherService = getCipherService(); if (cipherService != null) { ByteSource byteSource = cipherService.decrypt(encrypted,...
评论