$Text=preg_replace("/\[h1\](.+ )\[\/h1\]/is","\\1",$Text); $Text=preg_replace("/\[h2\](.+ )\[\/h2\]/is","\\1",$Text); $Text=preg_replace("/\[h3\](.+ )\[\/h3\]/is","\\1",$Text); $Text=preg_replace("/\[h4\](.+ )\[\/h4\]/is","\\1",$Text); $Text=preg_replace("/\[h5\](.+ )\[\/h5\]/is","\\1",$Text); $Text=preg_replace("/\[h6\](.+ )\[\/h6\]/is","\\1",$Text); $Text=preg_replace("/\[center\](.+ )\[\/center\]/is","\\1",$Text); $Text=preg_replace("/\[url\](http:\/\/.+ )\[\/url\]/is","\\1",$Text); $Text=preg_replace("/\[url\](.+ )\[\/url\]/is","http:// \\1",$Text); $Text=preg_replace("/\[url=(http:\/\/.+ )\](.*)\[\/url\]/is","\\2",$Text); $Text=preg_replace("/\[url=(.+ )\](.*)\[\/url\]/is","\\2",$Text); $Text=preg_replace("/\[img\](.+ )\[\/img\]/is","",$Text); $Text=preg_replace("/\[color=(.+ )\](.+ )\[\/color\]/is","\\2",$Text); $Text=preg_replace("/\[size=(.+ )\](.+ )\[\/size\]/is","\\2",$Text); …. Return $text; > 由于UBB代码没有对接受的变量进行必要的过滤,针对该漏洞代码的利用也很简单,提交 类似的代码[img]javascript :alert();[/img],代入程序中会被转义成 就形成了所谓的UBB跨站.从利用角度看没什么好说的,但是从防守角度看呢 抛开检查程序 代码这类服务不说,但从标签分析检测来看,[img]这类标签就足以绕过标签检测机制了.由 于UBB代码并不存在于所有的WEB程序中,要想通过一种通用的第三方程序来检测这类跨站攻 击,首先就是要在第三方程序引擎内部实现一个UBB代码的编码还原,先把UBB代码还原成HTML 标签,然后再匹配可能形成攻击的XSSpayload,这样一来就有一部分性能要花在还原标签上, 而且是不考虑所在WEB应用程序的,如果该WEB程序没有UBB代码,那么这一部分性能就白白浪 费了… 那么换一种方法呢 采用学习+模型的检测机制,首先通过一段时间的学习,使得第三方 检测程序能够熟悉被护WEB程序的数据流,建立正常数据流模型,如果该模型中没有出现UBB 代码则采用普通的检测机制,否则就加载UBB还原代码.这样看似是一种智能的检测分析机 制,实际上使得产品的检测代码更加复杂再加上维护和分析模型的成本,造成成功检测比成 功利用攻击要困难的多.仅仅是一个UBB代码的出现就使得XSS检测机制不得不增加很大的 工作量去分析,而实际利用其实并无太大差异,真是道高一尺,魔高一丈啊! 三,POST表单XSS POST跨站也是一种比较常见的跨站方法了,漏洞成因上没什么好分析的,关键是from表 单的一个属性可能给第三方检测XSS的产品带来一块绊脚石,这种问题一般的XSS攻击者是从 来不会考虑的吧,呵呵.这两个表单属性就是: multipart/form-data和application/x-www-form-urlencoded. 先看x-www-form-urlencoded属性,FROM表单的enctype属性指定了表单数据向服务器提 交时所采用的编码类型,默认的属性值是"application/x-www-form-urlencoded",当攻击者 POST一句alert(document.cookie)到服务器的时候,抓包看一下传输的 格式如下: HTTP - Hyper Text Transfer Protocol HTTP Command: POST URI: /xblog/insert.php HTTP Version: HTTP/1.1 Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/xshockwave-flash, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, */* Referer: http://192.168.13.216/xblog/creatnew.php id=4 Accept-Language: zh-cn Content-Type: application/x-www-form-urlencoded Accept-Encoding: gzip, deflate User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322) Host: 192.168.13.216

上一页下一页