寬位元組XSS跨站攻擊

Micr067發表於2020-05-14

簡介

寬位元組跨站漏洞多發生在GB系統編碼。對於GBK編碼，字元是由兩個位元組構成，在%df遇到%5c時，由於%df的ascii大於128，所以會自動拼接%5c，吃掉反斜線。而%27 %20小於ascii(128)的字元就會保留。通常都會用反斜線來轉義惡意字串，但是如果被吃掉後，轉義失敗，惡意的xss程式碼可以繼續執行。

什麼是寬位元組

GB2312、GBK、GB18030、BIG5、Shift_JIS等這些都是常說的寬位元組，實際為兩位元組。（英文字母佔據一個位元組，漢字佔據兩個位元組）。寬位元組帶來的安全問題主要是吃ASCII字元（一位元組）的現象。

寬位元組SQL隱碼攻擊

先來複習下寬位元組注入的形成原理：

防禦方式：將 ' 轉換為 \'

繞過方式：將 \消滅

常規編碼

輸入	處理	編碼	帶入SQL	結果
'	`\'`	%5c%27	id=1`\'` and	不能注入

GBK編碼

MySQL在使用GBK編碼時，會認為兩個字元為一個漢字。

輸入	處理	編碼	帶入SQL	結果
%df'	`%df\'`	%df%5c%27（運）	id=運' and	能注入

兩個字元組合，認為是一個漢字

注：前一個ASCII碼大於128才能到漢字的範圍。

寬位元組XSS漏洞

寬位元組XSS與寬位元組SQL隱碼攻擊的不同在於寬位元組注入主要是通過

吃掉轉義符再正常注入SQL語句，而寬位元組XSS主要使用吃掉轉義符後注入惡意xss程式碼。

案例1：

一般情況下，當我們發現一個輸入框，想要插入xss程式碼在裡面：

<input type="text" id="name" value=""/>

通常做法是通過閉合前面的雙引號和註釋掉後面的雙引號來觸發

" /><script>alert(1)</script>//

但是開發人員一般為了防範我們在其中插入惡意程式碼，會在顯示之前使用過濾器對我們的輸入進行轉義，我們閉合使用的"被轉義為\",這樣就導致我們沒法閉合。

如果使用了GBK等編碼，我們就可以利用寬位元組xss。構造如下payload：

%c0%22 /><script>alert(1)</script>//

%c0和%df一樣，也是超出了GBK的範圍，此時在執行過濾操作時，原始碼就變成了

<input type="text" id="name" value="%c0%5c%22 /><script>alert(1)</script>//">

當過濾器發現了%22，然後加入轉義（%5c）,但在解析的時候碰到%c0,於是%5c與%c0合併成一個特殊字元，我們的"得以保留。

<input type="text" id="name" value="%c0%5c%22 /><script>alert(1)</script>//">

案例二：

下面是一個PHP的例子，在magic_quotes_gpc=On的情況下，如何處罰XSS？

<?php header("Content-Type: text/html;charset=GBK"); ?> 
<head> 
<title>gb xss</title> 
</head> 
<script> a="<?php echo $_GET['x'];?>"; 
</script>

我們會想到，需要使用閉合雙引號的方法：

gb.php?x=1";alert(1)//

在magic_quotes_gpc=Off 時原始碼會變成：

<script> a="1";alert(1)//";</script>

由於magic_quotes_gpc=On，雙引號被轉義成\"導致閉合失敗

<script> a="1\";alert(1)//";</script>

由於網頁頭部指定了GBK編碼，GBK編碼第一位元組（高位元組）的範圍是0x81～0xFE，第二位元組（低位元組）的範圍是0x40～0x7E與0x80～0xFE。

gb.php?x=1%81";alert(1)//

此時當雙引號會繼續被轉義為\",最終程式碼如下：

<script> a="1[0x81]\";alert(1)//";</script>

[0x81]\ 組合成了一個合法字元，於是我們的被保留下來就會產生閉合，我們就成功觸發了xss。

GB2312是被GBK相容的，它的高位範圍是0xA1～0xF7，低位範圍是0xA1～0xFE（0x5C不在該範圍內），把上面的PHP程式碼的GBK改為GB2312，在瀏覽器中處理行為同GBK，也許是由於GBK相容GB2312，瀏覽器都做了同樣的相容：把GB2312統一按GBK行為處理。

寬位元組注入防禦

1、使用utf-8，編碼寬位元組注入；

ps：不僅gbk，韓文、日文等都是寬位元組，都有可能存在寬位元組注入漏洞。

2、過濾客戶端提交的危險字元。

參考連結：

https://blog.csdn.net/qq_29419013/article/details/81205291

https://www.uedbox.com/post/14488/

http://book.2cto.com/201301/14515.html

http://itindex.net/detail/47408-xss-%E5%AD%A6%E4%B9%A0-xss

XSS跨站指令碼攻擊介紹
2021-12-05
指令碼
Spring中防止跨站指令碼 (XSS)攻擊
2024-03-27
Spring指令碼
聊兩句XSS（跨站指令碼攻擊）
2020-12-27
指令碼
Web安全之跨站指令碼攻擊（XSS）
2019-02-28
Web指令碼
簡單易懂的XSS(跨站指令碼攻擊)
2020-10-29
指令碼
總結 XSS 與 CSRF 兩種跨站攻擊
2018-12-06
如何進行滲透測試XSS跨站攻擊檢測
2019-10-08
最新寬位元組注入攻擊和程式碼分析技術
2024-03-12
在Linux中，如何檢測和防止SQL隱碼攻擊和跨站指令碼（XSS）攻擊？
2024-04-09
LinuxSQL指令碼
[Asp.Net Core] 網站中的XSS跨站指令碼攻擊和防範
2023-04-14
ASP.NET網站指令碼
如何防止XSS攻擊
2022-05-23
什麼是XSS攻擊?XSS攻擊有哪幾種型別?
2021-08-05
型別
網站安全公司對於網站XSS攻擊處理方案
2020-11-26
網站
寬位元組注入
2018-08-06
前端攻擊 XSS 深入解析
2018-04-12
前端
XSS攻擊有什麼特點?XSS攻擊分為幾個型別?
2023-09-28
型別
CBC位元組翻轉攻擊-101Approach
2020-08-19
APP
XSS攻擊和CSRF攻擊有什麼區別?
2024-01-29
什麼是XSS攻擊?其攻擊原理有哪些?
2023-03-10
跨域及相關攻擊&防禦總結（JSONP、CORS、CSRF、XSS）
2019-03-14
跨域JSONCORS
常見Flash XSS攻擊方式
2020-08-19
XSS與SQL隱碼攻擊
2020-12-25
SQL
asp.net 站點如何有效簡潔的防止XSS攻擊
2019-05-11
ASP.NET
網站安全漏洞之SESSION防跨站攻擊獲取
2020-12-29
網站Session
React 防注入攻擊 XSS攻擊（放心大膽的用吧）
2020-10-12
React
【web安全】深入淺出XSS攻擊
2019-05-02
Web
Web 安全漏洞之 XSS 攻擊
2018-11-19
Web
常見網路攻擊：XSS 篇
2018-05-03
前端面試查漏補缺--(七) XSS攻擊與CSRF攻擊
2019-02-23
前端面試
JeecgBoot抵禦XSS攻擊實現方案
2022-05-13
boot
詳解Xss 及SpringBoot 防範Xss攻擊（附全部程式碼）
2023-03-07
Spring Boot
10分鐘走進安全/滲透測試：用最簡單的話聊一聊(XSS)跨站指令碼攻擊
2021-04-25
指令碼
【技術乾貨】XSS攻擊、CSRF攻擊基本概念及防範方法
2022-04-01
XSS 與 CSRF 攻擊——有什麼區別?
2022-07-13
web安全之XSS攻擊原理及防範
2019-05-22
Web
前端安全 — 淺談JavaScript攔截XSS攻擊
2021-06-15
前端JavaScript
這一次，徹底理解XSS攻擊
2020-12-31
前端安全系列（一）：如何防止XSS攻擊？
2018-10-16
前端

寬位元組XSS跨站攻擊

簡介

什麼是寬位元組

寬位元組SQL隱碼攻擊

寬位元組XSS漏洞

寬位元組注入防禦

相關文章