xss的过滤和绕过（2）

xss的过滤和绕过

分类

过滤主要有两层，分别为WAF层和代码层，WAF（web应用防火墙）通常是在外部，在主机或者网络硬件上，对HTTP请求进行过滤拦截，而代码层是在编写web应用的过程中，直接实现或者音乐第三方库，对用户输入进行过滤，但是JavaScript语法非常灵活，所以对于普通的正则匹配，字符串比较，很难拦截xss。

1.富文本过滤

在发送邮件或者博客的情景下，用户有需求实现富文本的编辑，比如插入超链接，图片，视频等资源。为了实现这种富文本编辑，大多数编辑器都允许用户直接编辑HTML，插入比如video标签，根据我们之前提到的xss的基本原理，这就引入了xss漏洞。常见的过滤方式是用户输入的标签进行限制，如果采用黑名单的方式，我们可以寻找黑名单中遗漏的标签，在https://portswigger.net/web-security/cross-site-scripting/cheat-sheet这个表中列举了大量的可以用于执行JavaScript的标签和属性，并给出了适用于哪些浏览器

如果过滤器本身存在缺陷，比如将黑名单内容替换为空，我们可以采用喜闻乐见的双写绕过(只适用于非常简单的一种情况)

```php

<?php

function filter($payload){

$data=str_replace("script","",$ payload);

return $data;

}

$name=filter($ _GET['name']);

echo "hello $name";

```

这段代码试图通过str_replace函数移除"script"字符串,输入name=name=<scriscriptpt>alert('xss')</scricriptpt>

2.注入点在标签属性中

如果没有过滤"<"和">",可以直接引入新的标签，如果尖括号被过滤，可以插入新的事件属性，比如onload,onmousemove等。而且标签的属性字段支持HTML编码，可以通过这个来绕过一些过滤。

比如

```

< img src=x οnerrοr="alert(1)">

```

这里onerror的内容就是对alert（1）进行HTML编码之后的结果，最后仍然可以成功触发弹窗。

src=x表示一个不存在路径，然后onerror，需要用一些工具对这个字符串进行HTML编码，通过HTML编码绕过过滤

3.注入点在script标签中

如果注入点被引号包裹，可以像绕过sql注入一样，先闭合引号再用分号结束语句之后插入代码

如果引号也被过滤，且一行存在两个注入点的情况下

var url = 'http://xxxx/?name=\<?= $name?\>'+'\address?>'$

可以用反斜杠使得第一个引号被转义，从第二个引号开始插入我们的代码

var url = 'http://xxxx/?name=\\'+';alert(1);\\\\'

如果存在单词黑名单，比如不允许出现eval等字符，可以使用unicode编码绕过

4.CSP过滤及其绕过

1.CSP（Content Security Policy，内容安全策略）是一个额外的安全层，用于检测并缓解某些特定类型的注入，包括XSS和数据注入等。

CSP被设计成完全向后兼容。不支持CSP的浏览器会忽略相关策略，并正常运行，采用默认的同源策略。

为了使CSP可用，需要配置HTTP头部配置Content-Security-Policy字段，除此之外还可以使用Meta标签来配置该策略。

从前面的例子可以看出，XSS防御绝非易事,CSP应运而生。CSP可以看作是为了防备XSS,额外添加的一些页面渲染和javascript执行的规则。

具体的策略文档可以在https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Headers/Content-Security-Policy这里找到

2.如果我们配置下面的请求头

```php

<?php

header("Content-Security-Policy;script-src'self'");

```

这表示CSP策略要求，网站的script来源只能是当前域名下的资源，内联和外链的script将禁止执行。

3.Content-Security-Policy: <policy-directive>;<policy-directive>

指令：获取指令、文档指令、导航指令

connect-src 定义了请求、XMLHttpRequest、WebSocket 和 EventSource 的连接来源

font-src 设置允许通过@font-face加载的字体源地址

frame-src 设置允许通过类似<frame>和<iframe>标签加载的内嵌内容的源地址

img-src 限制图片和图标的源代码

child-src 定义了web workers以及嵌套的浏览上下文（如<frame>和<iframe>）的源

media-src 限制通过<audio> <video> 或<track>标签加载的媒体文件的源代码

object-src 限制<object> <embed> <applet>标签的源地址

script-src 限制JavaScript的源地址

default-src 默认的加载策略

4.绕过script-src'self',self"意味着只允许加载同域名目录下的脚本。所以我们可以寻找文件上传（可以绕过cell或者使用jsonp接口）或jsonp接口（跨域用的）

需要注意的是，如果图片上传接口，即访问资源时Content-Type为image/png，浏览器会拒绝将其作为脚本来执行。

而JSONP接口通常采用?callback=xxxx的方式传递参数

如：xxx({"result":"success"})

当使用类似alert(1); // alert(1) (("result":"success") )这样的代码进行传参时，会产生特定的返回结果。