Web应用进行XSS漏洞测试(2)

& 转成 &
“ 转成 "
< 转成 <
> 转成 >
‘ 转成 '

　　当直接调用 htmlspecialchars($str)时, & " < > 被转义。

　　当设置 ENT_QUOTES 标记时, 即调用htmlspecialchars($str, ENT_QUOTES)时，单引号也被转义。

　　当设置 ENT_NOQUOTES 标记时，单引号和双引号都不会被转义。即调用 htmlspecialchars($str, ENT_NOQUOTES)时，只有& < > 被转义。

　　不同背景下的动态内容的 XSS 攻击及解决方案

　　XSS 攻击输入与动态内容所处的代码背景相关，譬如动态内容为表单元素属性的值、位于 HTML 正文、或是 Javascript 代码段中等等。

　　HTML标记的属性为动态内容

　　Web 应用中，"input"、"style"、"color" 等 HTML 标记的属性都可能为动态内容，其中"input" 标记的 "value" 属性通常为动态内容。

　　例子1

<form…><INPUT type=text name="msg" id="msg" size=10 maxlength=8 value="<?= $msg?>"></form>

　　攻击XSS输入

Hello"><script>evil_script()</script>

　　将动态内容替换

　　将 $msg 替换为恶意 XSS 输入:

<form…><INPUT type=text name="msg" id="msg" size=10 maxlength=8 
value="Hello"><script>evil_script()</script>"></form>

　　例子2

<form…><INPUT type=text name="msg" id="msg" size=10 maxlength=8 value=<?= $msg?>></form>

　　攻击 XSS 输入

Hello onmouseover=evil_script()

　　将动态内容替换

　　将 $msg 替换为恶意 XSS 输入:

<form…><INPUT type=text name="msg" id="msg" size=10 maxlength=8 
value=Hello onmouseover=evil_script()></form>

　　分析

　　从例子 1 可以看到其 XSS攻击输入中包含了 HTML 特殊字符 < > "

　　从例子 2 可以看到其 XSS 攻击输入中没有包含上节中提到的五种 HTML 字符， 但是 "value"属性值没有使用双引号包围。

　　解决方案

　　调用htmlspecialchars($str, ENT_QUOTES)将以下 5 种 HTML 特殊字符 < > &‘ “ 转义;同时使属性值被双引号包围。譬如：

<form…><INPUT type=text name="msg" id="msg" size=10 maxlength=8 
value="<?= htmlspecialchars($msg, ENT_QUOTES))?>"></form>

　　注意事项

　　将 input 的 value 进行转义，必须考虑显示和存储数据的一致性问题，即显示在浏览器端和存储在服务器端后台的数据可能因为转义而变得不一致。譬如存储在服务器端的后台原始数据包含了以上 5 种特殊字符，但是没有转义，为了防止 XSS 攻击，在浏览器端输出时对 HTML 特殊字符进行了转义：

原文转自：http://www.uml.org.cn/Test/201407161.asp