网络安全技术 细谈跨站脚本攻击与防御(下)

你看，只要发现以javascript等脚本属性的形式都会被过滤掉，失去了:的脚本代码是起不了作用的！这样完美了么？事实上Html属性的值，注意是值而不是属性本身是支持&#ASCii这种形式表示的，譬如上面的代码可以换成这样：

<img src="javascript:alert(/xss/)" width=100>

　　代码又执行了，呵呵！看来你漏掉了点什么哦，加上这个代码吧！

replace(str,"&","&")

　　行了，&失去它原来的意义了，用户不能以其他方式表示Html属性值了哦！等等，这样的过滤真可以相信么？只要发现这种过滤的关键字机制，饶过就是简单的问题了：

<img src="javas cript:alert(/xss/)" width=100>

　　没有javascript关键字了哦！注意中间那个是tab键弄出来的！关键字被拆分了哦！这是个很麻烦的问题，很多人忘记了这些特殊的字符，呵呵！有人想到要过滤空格了，在过滤之前我们再看看其他的一些东西吧！也许我们现在所处的src属性已经无法利用了，但是我们依然可以产生自己的属性或者事件机制哦！依然是可以执行Html代码的，首先说说事件机制吧：

<img src="#" onerror=alert(/xss/)>

　　这样依然可以执行代码的哦！明白问题出在哪了，不是么？有的程序员仿佛明白了，注意我说的是仿佛，动网就是一个典型的例子，事件属性不是要onerror么？很多人开始用正则表达式了，发现关键的词如onerror就会做转换或者提示用户不执行，是不是没有机会了呢？
当然不是的，事件只是让代码运行的一种方法而不是所有的，可以定义事件了那么也就可以实现自己弄出自己的属性了，试试下面的：

<img src="#" style="Xss:expression(alert(/xss/));">

　　呵呵，还是执行了哦！在做关键字过滤之后有人发现是不是属性之间分隔要用到空格，好，他们把空格堵死了（这样认为的人很多，呵呵）！将空格转成&nbsp;是个很普遍的方法？是么？甚至还可以让别人无法关键字拆分，不要太自信了，试试下面的代码看看如何：

<img src="#"/**/onerror=alert(/xss/) width=100>

　　嘿嘿，Good Work!这好象是利用了脚本里注释会被当作一个空白来表示造成的！那怎么办呢？上面提到的好象一直都是在进行被动的攻击防御，为什么不抓住他的本源出来呢？哪里出了问题哪里堵上！

　　上面的问题好象本质上就是一个东西，那就是用户超越了他所处的标签，也就是数据和代码的混淆，对付这种混淆的办法就是限制监牢，让用户在一个安全的空间内活动，这通过上面的分析大家也可能已经知道，只要在过滤了<>这两个人人都会去杀的字符之后就可以把用户的输入在输出的时候放到""之间，现在的一般的程序都是这样做的，譬如将会转化成<img src="http://www.loveshell.net">这是个好的安全习惯，然后呢？就要让用户的输入处在安全的领域里了，这可以通过过滤用户输入里""实现，但是不要忘记了，这个标签本身也是不安全的，过滤掉空格和tab键就不用担心关键字被拆分饶过了，然后就是用文章中提到的办法过滤掉script关键字，最后就是防止用户通过&#这样的形式饶过检查，转换掉&吧！

　　在文章中开始提到的图里可以看到，数据的转换和过滤是可以在3个地方进行转换的，在接受数据的时候可以转换下，在进入数据库的时候可以转换下，在输出数据的时候也可以转换下，但是困惑在哪里呢？不得不面对一个问题就是许多时候程序员舍不得为安全做出那么大的应用上的牺牲，安全是要有代价的，譬如现在邮箱的就不愿意舍弃html标签，所以他们侧重于XSS的IDS检测的性质，只要发现不安全的东西就会转化，但是攻击是无法预知的，漂亮的东西总是脆弱的，有限制，肯定就有人会饶过，呵呵。本文没什么技术含量，只是希望搞安全的脚本人员能更加的了解Xss，跨站，不是那么简单滴！