今天所做的努力
都是在为明天积蓄力量

XXS绕过htmlspecialchars

xss攻击很多场景下htmlspecialchars过滤未必能奏效。
场景1:
源码如下:

  1. <?php
  2. $name = $_GET["name"];
  3. $name = htmlspecialchars($name);
  4. ?>
  5. <input type='text' value='<?php echo $name?>'>

htmlspecialchars默认配置是不过滤单引号的。只有设置了:quotestyle 选项为ENT_QUOTES才会过滤单引号,如果此时你的输出为
那么仍然会绕过htmlspecialchars()函数的检查,从而造成一个反射型的xss。那么仍然会绕过htmlspecialchars()函数的检查,从而造成一个反射型的xss。
场景2:
仅仅用htmlspecialchars函数的地方错用了该函数导致的xss,源码如下:

  1. <meta http-equiv=Content-Type content="text/html;charset=gbk">
  2. <script src="http://wooyun.org/js/jquery-1.4.2.min.js"></script>
  3. <?php
  4. $name = $_GET["name"];
  5. echo "<script type='text/javascript'>
  6. $(document).ready(function(){
  7. $('#text').html(".htmlspecialchars($name).");
  8. })
  9. </script>";
  10. ?>


此处调用了html()做输出,仅考虑单引号双引号以及尖括号显然已经不够了,还必须得考虑别的因素在里面,此时应该再使用json_encode()函数进行处理。即:

  1. $('#text').html(".htmlspecialchars($name).");
  2. 修改为
  3. $('#text').html(".json_encode(htmlspecialchars($name)).");

处理之后,里边的代码就不会被当成js执行。
场景3:客户端造成的htmlspecialchars失效:
Opera浏览器跨域字符集继承漏洞
此类漏洞已经不是单凭htmlspecialchars函数就能防御的了。
上面3个场景仅仅只是较为常见的,还有一些别的场景可能会导致htmlspecialchars失效。尤其是各种编码转换、富文本、进入数据库再取出数据库这些地方等等。
最后,建议题主结合实际场景,去进行不同的环境测试,最后得出是否能绕过的结论。:)

赞(0)
未经允许不得转载:流觞博客 » XXS绕过htmlspecialchars
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

今天所做的努力都是在为明天积蓄力量

联系我们留言建议