6

这个问题确实出现了:
为什么浏览器会修改包含 &#x 的 HTML 元素的 ID?

给定以下网页:

<html>
  <head>
    <script type="text/javascript">
      // --------------------------------------------------------
      // could calling this method produce an XSS attack?
      // --------------------------------------------------------
      function decodeEntity(text){
        text = text.replace(/<(.*?)>/g,''); // strip out all HTML tags, to prevent possible XSS
        var div = document.createElement('div');
        div.innerHTML = text;
        return div.textContent?div.textContent:div.innerText;
      }
      function echoValue(){
        var e = document.getElementById(decodeEntity("/path/&#x24;whatever"));
        if(e) {
          alert(e.innerHTML);
        }
        else {
          alert("not found\n");
        }
      }
    </script>
  </head>
  <body>
    <p id="/path/&#x24;whatever">The Value</p>
    <button onclick="echoValue()">Tell me</button>
  </body>
</html>

元素的包含为了防止 XSS 攻击而转义的字符id<p>HTML 部分和 JS 部分由服务器生成,服务器在这两个部分上插入相同的转义值(可能来自不安全的源)。

&#x服务器以以下格式转义以下字符范围:

  • 0x00 – 0x2D
  • 0x3A – 0x40
  • 0x5B – 0x5E
  • 0x60
  • 0x7B – 0xFF
  • 0x0100 – 0xFFFF

换句话说:唯一没有转义的字符是:

  • 0x2E – 0x39 ( ., /, 0123456789)
  • 0x41 – 0x5A ( AZ)
  • 0x5F ( _)
  • 0x61 – 0x7A ( az)

现在,我必须<p>通过 javascript 访问它。引用问题中的函数echoValue()总是失败,因为浏览器在 HTML 部分中转换&#x24;$,但&#x24;在 JS 部分中保留它。

因此,Gareth想出了一个简单有效的答案

decodeEntity()我担心的是,当使用引用答案中提供的函数时,通过转义动态字符串消除的 XSS 攻击的可能性会再次出现。

有人可以指出是否存在安全问题(哪个?)或没有(为什么不?)?

4

2 回答 2

4

我首先建议您查看以下讨论 JavaScript 中的 HTML 卫生和 Javascript 中的 XSS 的链接:

安全第一课: 不要重新发明轮子。如果以前做过某些事情,那么他们可能比您的临时解决方案做得更好。

尽管我无法从脑海中找到一种方法来利用您的简单正则表达式,但我并不相信它真的能捕捉到所有情况。第一个链接提供了一个更详细的解决方案,并且已经过彻底的审查和测试。

我还建议您查看XSS Filter Evasion Cheat Sheet。向您展示人们可能会想出什么样的讨厌的东西。

于 2013-01-25T13:02:55.593 回答
0

您对输入应用的额外约束可能会导致此攻击失败,但假设对 的任意输入decodeEntity,以下是运行脚本的示例:

decodeEntity("<img onerror='alert(\"test\")'\nsrc='test'>")

这是因为/<(.*?)>/只有在<>位于同一行时才匹配。

于 2013-01-25T13:02:07.653 回答