XSS解决方案系列之一:淘宝.百度.腾讯的解决方案之瑕疵

【声明】
1. 只是技术研究,没有攻击哪家公司之意
2. 本文不涉及漏洞公布,不影响以上公司的任何应用安全之相关事宜
3. 本人没兴趣炒作,举这三大公司为例表明本人认为它们是中国互相网企业当中的佼佼者,也容易被更多的人读懂
4. 如果您觉得我的文章影响了你的公司的某个方面,请以邮件的形式告知我,我将修改本文
5. 本文未经本人以书面形式同意,禁止其它网站转载,本文格式,诚请编辑修订,以增加可读性。
好,我们进入正题,在本人过去的经验及现实工作当中总结来看,解决XSS问题需要遵循的最基本的原则是:
1. 避免用户输入的脚本再次展示于客户端之时非设计预期的执行
2. 任何时候不应该改变用户的输入
3. 何时展示何时解决
【解释一下】对于上述原则不是本人编造的,而是业界的共识(未必是我们伟大祖国的业界共识,但这确实是业界的共识),以下将分别以例证的方式说明以上三条XSS解决方案的基本原则。今天就来个倒序吧,一个一个看:

【上述原则之3 比较容易理解,许多公司已经解决了XSS问题,但是解决的不完整,或者说不完美,有后患,以实例来看以下:
步骤:
1) 打开www.soso.com
2) 输入字符串:159753125521<script>alert(“‘”)</script>
3) 打开资源文件,如下图:
XSS解决方案系列之一:淘宝.百度.腾讯的解决方案之瑕疵

图中的部分代码:
<script>var __kw = '159753125521%3A%3Cscript%3Ealert%28%22%27%22%29%3C%2Fscript%3E',__kw8 =encodeURIComponent("159753125521:<script>alert(\"'\")<\/script>")...
可以看出,代码片段中的编码(此处的编码是指:Encoding或者叫转义)从解决问题的原则角度来说,有点早,毕竟:变量__kw将在何时使用,何处使用,你可能在编码(此处的编码是指:写代码)的时候可以预料,但是随着时间的推移,可能会被其它的开发人员使用,使用的语法环境是否适合使用URL+Javascript编码(此处的编码是指:Encoding或者叫转义)就很难说了。
【上述原则之2 我们提供的应用平台应该是这样的:
1. 允许用户输入任何值而不影响本应用的正常运行,也不改变输入的输入,至少不应该让用户感觉到你改变了用户的输入
2. 出于对应用设计的考虑,禁止用户输入特定的保留字符,对于此种情况,应用平台理应以友好的方式告知用户以提示用户不要输入不可以接受的字符,而不是直接改变用户的输入而用户觉得莫名其妙,比如淘宝网,打开淘宝首页,按以下步骤进行:
1) 打开www.taobao.com
2) 字符串:159753125521<script>alert(“‘”)</script>
3) 在淘宝的输入框里输入以上2)字符串(此类例子,我一般使用Google Chrome浏览,不同浏览器有可能在处理URL时有不同的方式),你也可以在Chrome里直接运行以下URL:
http://s.taobao.com/search?q=159753125521<script>alert("'")</script>
得到的结果是搜索框的搜索值变成了:159753125521 script alert( ) /script,截图如下:
XSS解决方案系列之一:淘宝.百度.腾讯的解决方案之瑕疵

其资源文件里也同样如此,截图如下:
XSS解决方案系列之一:淘宝.百度.腾讯的解决方案之瑕疵

以上表明,淘宝在处理XSS问题时,因为方法不当而改变了用户的输入。
【上述原则之1 意思也不难理解,这个问题比较敏感,如果我举出一个例子似乎就意味着这地方有漏洞,有没有办法举出一个例子却是一个几乎不能被利用的漏洞呢? 貌似有,步骤:
1) 打开www.baidu.com
2)输入字符串 <script>alert(“‘”)</script>//<!–159753159753
3)点击搜索,观察现象,细节我就不分析了,现象上看,貌似某处的被字符串 // 或者<!– 起了作用而导致后续代码被注释,我只是猜测啊,不负责的,仅供交流。
结果是这样的:
XSS解决方案系列之一:淘宝.百度.腾讯的解决方案之瑕疵

正确的提示页应该是:

XSS解决方案系列之一:淘宝.百度.腾讯的解决方案之瑕疵

分类:默认分类 时间:2012-01-05 人气:15
本文关键词:
分享到:

相关文章

  • webshell + xss 猥琐刷某投票 2012-01-02

    团队成员发来一个投票的地址,需要撸某某网站的一个某某投票,果断看了下,ip限制了,看到post 数据包       额 随便找个大流量shell post 数据 Js代码 <script type="text/javascript" src="http://code.jquery.com/jquery-latest.js"></script> 2 <script type="text/javascript"> 3 $(document).ready(funct

  • 计世网sql注射,xss大礼包集合 2012-01-04

    多个sql注射+大量xss+一个上传,后台泄露,报错等。 面对G哥,压力大,果断翻硬盘找啊。找。 不说了。看详情。 注射漏洞: http://www.ccw.com.cn/oa/category/index.php?categoryId=165'%20or%20'1'= http://internet.ccw.com.cn/commlist/index.php?categoryId=1393'%20or%20% http://cio.ccw.com.cn/gq/index.php?nodeId=

  • 百度某分站储存型xss可以加载外部任意js文件 2012-01-05

    漏洞测试地址:http://pro.baidu.com/blog/article/282.html 百度基本上全站都已经部署了httponly了,所以xss的威力已经大大折扣了。 不过这里是自动触发的xss,并且可以加载任意外部js文件。去利用js代码执行一些用户的操作,或者钓鱼下还是可以的。 修复方案: 那个位置貌似除了script,其他啥都没过滤,加强过滤

  • jeecms官方论坛逻辑与定向xss 2012-01-07

    逻辑错误。外加N个 XSS跨站 http://bbs.jeecms.com 登陆了以后有一个积分。在积分兑换的时候。出现了逻辑错误。我没太仔细看代码。应为你们论坛不停的弹窗。烦 附送一个xss指定用户的漏洞 修复方案: 求礼物。求给力

  • 腾讯WEBQQ的持久劫持:反射型XSS到XSS后门的实现 2012-01-08

    -------------------第一章,这是个什么奇葩的功能----------------------- 1. 进入WEBQQ之后,首先是对聊天功能进行了测试,未发现和百度HI一样的问题。 2. 而后,查看了WEBQQ的设置功能--》主题设置--》自定义。 3. 竟然拿一个网页做背景, 看来开发人员这么相信自己水平。 我随手试了下,可以拿百度直接做背景。 当然这本身不会带来安全问题,因为,跨域无法访问cookies数据。但是不能想象,这里的代码肯定是<iframe src="htt

  • Colorwork存储型XSS漏洞可获取其他用户权限(3枚打包) 2012-01-13

    之前小伙伴报了那个XSS倒是修复了,但很明显是指哪补哪…… 其他位置依旧存在过滤不严的问题,可用于获取其他用户权限。 后天考试了,今天来赞个人品,顺便跟清华的学长学姐混个脸熟~ (PS:其实我还测试了半天的越权,想那么多地方总该会有,可是没找到555) 日历、任务、签名处未过滤,导致存储型XSS 别的伙伴进入团队时会中招。 可获得Cookie劫持账户。 修复方案: #1、文档那个地方应该还有,可能你们服务器出了些问题所以打不开那个网页了…… #2、过滤危险字符。 #3、自查啊!在同一个地方跌倒两

  • 傲游浏览器xss 0day 2012-01-13

    遨游浏览器某功能才存在存储型xss。 可致留后门。 一时兴起,挖了一上午,找到了一个漏洞(本人傲游版本v3.3.9.1000)。 没给出exp,不过再花点时间,研究一下遨游的sandbox代码,就能写出来了。 遨游浏览器的收藏夹,容许用户建文件夹,我之前试了 ">'><embed> 没效果,也没看源码就拉到了。今天兴起,看源码,是这样: 于是新建文件夹 "> onmouseover='javascript:alert(/xss by tmxk.org</SPA

  • 反射型xss明打十九楼各种超级版主 2012-01-15

    1.首先找到十九楼一个反射型xss: http://www.19lou.com/search/user?ageType=4&searchType=user&gender=<script>alert(1)</script>&keyword=111122222221 配合获取cookie的一个js,将cookie发送到我的服务器上 2.然后吧这个url转换为一个短地址 3. 把这个链接站内信给水阿姨,我发现我2了,我设置的cookie长度500不够接收

  • 专业解读PHP168 XSS跨站及利用 2012-01-17

    (一)软件测试环境以及搭建   测试环境:本地 XAMPP 1.7.1   测试软件:PHP168整站v5.0   软件下载地址 http://down2.php168.com/v2008.rar   PHP.ini 配置: magic_quotes_gpc Off(On或者Off对持久型XSS并无没影响) ;register_globals Off ;safe_mode Off ;   (二)XSS跨站基础   1、XSS攻击定义   XSS又叫CSS (Cross Site Script)

Copyright (C) quwantang.com, All Rights Reserved.

趣玩堂 版权所有 京ICP备15002868号

processed in 0.058 (s). 10 q(s)