一次存储型XSS的攻防实战(2)-木庄网络博客

那么黑客该如何继续进行攻击呢？

答案是：大小写绕过

1	`<sCrIPt>alert(1)</ScripT>`

因为js是不区分大小写的，所以我们的大小写不影响脚本的执行。

成功弹框！

0×02、使用str_ireplace()函数进行不区分大小写地过滤script关键字

作为一名优秀的开发，发现了问题当然要及时改正，不区分大小写不就行了嘛。

后端代码修正如下：

1	`$nickname` `=` `str_ireplace("script",` `"", @$_POST['nickname']);//昵称`

str_ireplace()函数类似于上面的str_replace（），但是它不区分大小写。

那么，黑客该如何绕过？

答案是：双写script

1	`<Sscriptcript>alert(1)</Sscriptcript>`

原理就是str_ireplace()函数只找出了中间的script关键字，前面的S和后面的cript组合在一起，构成了新的Script关键字。

弹框成功！

0×03、使用preg_replace()函数进行正则表达式过滤script关键字

1	`$nickname` `= preg_replace(` `"/<(.)s(.)c(.)r(.)i(.)p(.)t/i",` `"", @$_POST['nickname']);//昵称`

显然，弹框失败。

攻击者如何再一次绕过？

答案是：用img标签的oneerror属性

1	`<img src=x onerror=alert(1)>`

0×04、过滤alert关键字

看到这里，不知道你烦了没有，以开发的角度来讲，我都有点烦。大黑阔你不是喜欢弹窗么？我过滤alert关键字看你怎么弹！

1 2	`$nickname` `= preg_replace(` `"/<(.)s(.)c(.)r(.)i(.)p(.)t/i",` `"", @$_POST['nickname']);//昵称` `$nickname` `= preg_replace(` `"(.)a(.)l(.)e(.)r(.*)t/i",` `"",` `$nickname);//昵称`

那么，攻击者该怎么办呢？

答案是：编码绕过

1 2	`<a href=javascript:alert(` `1)>a</a>`

当点击页面上的超链接时，会弹框。

但是为什么呢？

这种编码方式为字符编码

字符编码：十进制、十六进制ASCII码或unicode 字符编码，样式为“&#数值;”, 例如“j”可以编码为“j”或“j ”

上述代码解码之后如下：

1	`<a href=javascript:alert(1)>a</a>`

你能明显感觉到限制：由于使用到了a标签，所以只有点击时，才会弹框。

作为一个大黑阔，我们当然是不满意的，能不能让所有进入这个页面的人都弹框？

当然可以了：用iframe标签编码

1 2	`<iframe src=javascript:alert(1` `)>`

这种写法，同样既没有script关键字，又没有alert关键字。

可以看到弹框成功！

可是你也能看到，由于使用了iframe标签，留言板的样式已经变形了。实战中尽量不要用。

0×05、过滤特殊字符

优秀的开发，永不认输！你个小小的黑阔，不就是会插入js代码么？我过滤特殊字符，看你代码咋被解析？

可是我不想手撸代码来列举那么多特殊字符怎么办？

php给我们提供了htmlentities()函数：

1	`$nickname` `= htmlentities(@$_POST['nickname']);//昵称`

htmlentities()函数的作用是把字符转换为 HTML 实体。

看到这里，你可能还是不明白HTML字符实体是什么。我举个例子吧，当你想在HTML页面上显示一个小于号（<）时，浏览器会认为这是标签的一部分（因为所有标签都由大于号，标签名和小于号构成），因此，为了能在页面上显示这个小于号（<），我们引入了HTML字符实体的概念，能够在页面上显示类似于小于号（<）这样的特殊符号，而不会影响到页面标签的解析。

可以看到，我们输入的内容全部显示在页面上了。