sw1982

浏览: 511198 次
性别:
来自: 深圳

最近访客更多访客>>

chenliqiang

leileishizhutou

yangky281

polo2008

博主相关

博客

微博

相册

留言

关于我

文章分类

社区版块

存档分类

XSS转码 && struts2 property标签的bug

博客分类：

技术点滴

jQuery CSS Spring HTML Ajax

一。了解背景

下面两张图，比较html转义和js的转义。

一定要区分清楚的是，内容回写页面，一定要做的是JS转义！！而不仅仅是html转义

从上面两张图可以看出，js里面需要转义到的单引号'，反斜杠\ 均不在html转义字符之列！（如果针对XSS的话，只要对

"）

二。<s:property value="xx"/>的稀烂之处

1.这个标签默认是带了html转义的，即完全等同于<s:property value="name" escape="true"/>

2.正确XSS防范做法，应该是后台转义后存储，也就是说存到DB里面的数据，就应该是处理过的！（这里的转义是html&js的综合体）：

map.put('<', "&lt;");
map.put('>', "&gt;");
map.put('\'', "&#39;");
map.put('\"', "&quot;");
map.put('&', "&amp;");

在DB层无sql注入防范的时候，甚至需要是三位一体！

拿上面那个例子来说，用户输入name，DB应该存储下面的内容

&lt;script&gt;alert(&#39;xss&#39;)&lt;/script&gt;

但是很不幸，这串字符使用s:property直接输出到页面上，会因为&符号又会促发一次html escape，导致显示问题

这里就只能继续恶心一把了，每个标签写上：<s:property value="name" escape="false"/> ,徒劳耗费键盘。(这种安全的内容回写比较推荐使用${name}的ongl方式直接输出)

三。严防死守

1.org.springframework.web.util.HtmlUtils, spring自带了一个类来处理，其本质需要注意，基于Char的过滤

看看源代码应该很容易理解

 StringBuffer escaped = new StringBuffer(input.length() * 2);
     for (int i = 0; i < input.length(); ++i) {
       char character = input.charAt(i);
       String reference = characterEntityReferences.convertToReference(character);
       if (reference != null) {
          escaped.append(reference);
       }
       else {
          escaped.append(character);
       }

a.使用String.replace(xx)的方式是搞不定的。举例来说，字符j的表示方式有下面15种之多：

\6A\06A\006A\0006A\00006A            //java形式的16进制编码

&#106;&#0106;&#00106;&#000106;&#0000106;           //十 进制编码

&#x6A;&#x06A;&#x006A;&#x0006A;&#x00006A;           //十 六进制编码

b.使用html的过滤方式也是99% OK的，但是像mhtml这样的漏洞，还需要过滤%0d%0a

c.指望过滤<>,过滤scrpit串这些明文，也是靠不住的。

附件是查资料找到的文档，包括：强烈建议一睹为快

1.浅析XSS(Cross Site Script:跨站式攻击)漏洞原理（转）

2.Ajax hacking with XSS

介绍了诸如此类的注入方式，属于眼界开阔篇

<img src="javascript:alert('XSS');">示例：

    <img src="&#106&#97&#118&#97&#115&#99&#114&#105&#112&#116&#58&#97&#108&#101&#114&#116&#40&#39&#88&#83&#83&#39&#41&#59"> //10进制转码 如图三

<img style="xss:expr/*XSS*/ession([code])">            //css的注释符号 为/**/，其中的内容会被忽略

　　<style>@im\port'\ja\vasc\ript:alert("XSS")';</style>            //css中忽略的符号还有“\”

~~~~~~~~~~~~~~分割~~~~~~~~~~~~~~

p.s.

1.用Jquery的text()取"<script>alert('xss')</script>"，会被直接读成<script>alert('xss')</script> 。

2. 这个串如果直接使用$("#xxyy").html()输出，会产生alert框。

3.正确的做法是使用innerHTML函数，可以避免字符串中js被执行：document.getElementById("xxyy").innerHTML=

JS注入方式.zip (787 KB)
下载次数: 195

查看图片附件

分享到：

类模板语言的变量替换~简易java实现 | 小折腾一下swing

2011-03-25 15:36
浏览 6681
评论(1)
分类:编程语言
查看更多

1 楼高军威 2014-11-19

发表评论

您还没有登录,请您登录后再发表评论

最近访客更多访客>>

博主相关

文章分类

社区版块

存档分类

最新评论

XSS转码 && struts2 property标签的bug

一。了解背景

二。<s:property value="xx"/>的稀烂之处

三。严防死守

评论

发表评论

相关推荐

最近访客 更多访客>>

博主相关

文章分类

社区版块

存档分类

最新评论

XSS转码 && struts2 property标签的bug

一。了解背景

二。<s:property value="xx"/>的稀烂之处

三。严防死守

评论

发表评论

相关推荐

Nginx rewrite permanent

ZmEu漏洞扫描

Continuous Integration with Xcode 5

Httpclient4.3实例。 每个版本接口变更都巨大

nginx proxy_http_version

ubuntu一键升级到13.10的教训

【PHP】Codeigniter : Unable to locate the model you have specified

springMVC + jsonP

PC端 浏览器Agent切换工具

Spring3.x中的几个异步执行

Mybatis Cache探究

spring3-基于注解的AOP

HttpClient4 POST数据及问题

struts2-ognl mark

类模板语言的变量替换~简易java实现

小折腾一下swing

FileUploadInterceptor ~mark陷阱

新浪微博技术架构分析-转载

谨慎使用SocketChannel的read方法

页面使用struts2标签的悲剧bug

最近访客更多访客>>

Httpclient4.3实例。每个版本接口变更都巨大

PC端浏览器Agent切换工具