xss尖括号（xss尖括号被url编码）

本文目录一览：

• 1、找人修复ASP网站XSS漏洞
• 2、渗透测试需要学那些知识？
• 3、为什么信息安全这样的行业会有很多高中生都能做的比大部分受过高等教育的大学生强？
• 4、如何修复wordpress4.0跨站脚本执行漏洞
• 5、在PHP的CI框架中，kindeditor自动过滤尖括号，怎么办？

找人修复ASP网站XSS漏洞

Web开发常见的几个漏洞解决方法

平时工作，多数是开发Web项目，由于一般是开发内部使用的业务系统，所以对于安全性一般不是看的很重，基本上由于是内网系统，一般也很少会受到攻击，但有时候一些系统平台，需要外网也要使用，这种情况下，各方面的安全性就要求比较高了，所以往往会交付给一些专门做安全测试的第三方机构进行测试，然后根据反馈的漏洞进行修复，如果你平常对于一些安全漏洞不够了解，那么反馈的结果往往是很残酷的，迫使你必须在很多细节上进行修复完善。本文主要根据本人项目的一些第三方安全测试结果，以及本人针对这些漏洞问题的修复方案，介绍在这方面的一些经验，希望对大家有帮助。

基本上，参加的安全测试（渗透测试）的网站，可能或多或少存在下面几个漏洞：SQL注入漏洞、跨站脚本攻击漏洞、登陆后台管理页面、IIS短文件/文件夹漏洞、系统敏感信息泄露。

1、测试的步骤及内容

这些安全性测试，据了解一般是先收集数据，然后进行相关的渗透测试工作，获取到网站或者系统的一些敏感数据，从而可能达到控制或者破坏系统的目的。

第一步是信息收集，收集如IP地址、DNS记录、软件版本信息、IP段等信息。可以采用方法有：

1）基本网络信息获取；

2）Ping目标网络得到IP地址和TTL等信息；

3）Tcptraceroute和Traceroute 的结果；

4）Whois结果；

5）Netcraft获取目标可能存在的域名、Web及服务器信息；

6）Curl获取目标Web基本信息；

7）Nmap对网站进行端口扫描并判断操作系统类型；

8）Google、Yahoo、Baidu等搜索引擎获取目标信息；

9）FWtester 、Hping3 等工具进行防火墙规则探测；

10）其他。

第二步是进行渗透测试，根据前面获取到的数据，进一步获取网站敏感数据。此阶段如果成功的话，可能获得普通权限。采用方法会有有下面几种

1）常规漏洞扫描和采用商用软件进行检查；

2）结合使用ISS与Nessus等商用或免费的扫描工具进行漏洞扫描；

3）采用SolarWinds对网络设备等进行搜索发现；

4）采用Nikto、Webinspect等软件对Web常见漏洞进行扫描；

5）采用如AppDetectiv之类的商用软件对数据库进行扫描分析；

6）对Web和数据库应用进行分析；

7）采用WebProxy、SPIKEProxy、Webscarab、ParosProxy、Absinthe等工具进行分析；

8）用Ethereal抓包协助分析；

9）用Webscan、Fuzzer进行SQL注入和XSS漏洞初步分析；

10）手工检测SQL注入和XSS漏洞；

11）采用类似OScanner的工具对数据库进行分析；

12）基于通用设备、数据库、操作系统和应用的攻击；采用各种公开及私有的缓冲区溢出程序代码，也采用诸如MetasploitFramework 之类的利用程序集合。

13）基于应用的攻击。基于Web、数据库或特定的B/S或C/S结构的网络应用程序存在的弱点进行攻击。

14）口令猜解技术。进行口令猜解可以采用 X-Scan、Brutus、Hydra、溯雪等工具。

第三步就是尝试由普通权限提升为管理员权限，获得对系统的完全控制权。在时间许可的情况下，必要时从第一阶段重新进行。采用方法

1）口令嗅探与键盘记录。嗅探、键盘记录、木马等软件，功能简单，但要求不被防病毒软件发觉，因此通常需要自行开发或修改。

2）口令破解。有许多著名的口令破解软件，如 L0phtCrack、John the Ripper、Cain 等

以上一些是他们测试的步骤，不过我们不一定要关注这些过程性的东西，我们可能对他们反馈的结果更关注，因为可能会爆发很多安全漏洞等着我们去修复的。

2、SQL注入漏洞的出现和修复

1）SQL注入定义：

SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展，使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐，相当大一部分程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQL Injection，即SQL注入。

SQL注入有时候，在地址参数输入，或者控件输入都有可能进行。如在链接后加入’号，页面报错，并暴露出网站的物理路径在很多时候，很常见，当然如果关闭了Web.Config的CustomErrors的时候，可能就不会看到。

另外，Sql注入是很常见的一个攻击，因此，如果对页面参数的转换或者没有经过处理，直接把数据丢给Sql语句去执行，那么可能就会暴露敏感的信息给对方了。如下面两个页面可能就会被添加注入攻击。

① and (select top 1 name from TestD ... type='U' and status0)0 得到第一个用户建立表的名称，并与整数进行比较，显然abc.asp工作异常，但在异常中却可以发现表的名称。假设发现的表名是xyz，则

② and (select top 1 name from TestDB.dbo.sysobjects ... tatus0 and name not in('xyz'))0 可以得到第二个用户建立的表的名称，同理就可得到所有用建立的表的名称。

为了屏蔽危险Sql语句的执行，可能需要对进行严格的转换，例如如果是整形的，就严格把它转换为整数，然后在操作，这样可以避免一些潜在的危险，另外对构造的sql语句必须进行Sql注入语句的过滤，如我的框架（Winform开发框架、Web开发框架等）里面就内置了对这些有害的语句和符号进行清除工作，由于是在基类进行了过滤，因此基本上子类都不用关心也可以避免了这些常规的攻击了。

/// summary

/// 验证是否存在注入代码(条件语句）

/// /summary

/// param name="inputData"/param

public bool HasInjectionData(string inputData)

{

if (string.IsNullOrEmpty(inputData))

return false;

//里面定义恶意字符集合

//验证inputData是否包含恶意集合

if (Regex.IsMatch(inputData.ToLower(), GetRegexString()))

{

return true;

}

else

{

return false;

}

}

/// summary

/// 获取正则表达式

/// /summary

/// returns/returns

private static string GetRegexString()

{

//构造SQL的注入关键字符

string[] strBadChar =

{

//"select\\s",

//"from\\s",

"insert\\s",

"delete\\s",

"update\\s",

"drop\\s",

"truncate\\s",

"exec\\s",

"count\\(",

"declare\\s",

"asc\\(",

"mid\\(",

"char\\(",

"net user",

"xp_cmdshell",

"/add\\s",

"exec master.dbo.xp_cmdshell",

"net localgroup administrators"

};

//构造正则表达式

string str_Regex = ".*(";

for (int i = 0; i strBadChar.Length - 1; i++)

{

str_Regex += strBadChar[i] + "|";

}

str_Regex += strBadChar[strBadChar.Length - 1] + ").*";

return str_Regex;

}

上面的语句用于判别常规的Sql攻击字符，我在数据库操作的基类里面，只需要判别即可，如下面的一个根据条件语句查找数据库记录的函数。

/// summary

/// 根据条件查询数据库,并返回对象集合

/// /summary

/// param name="condition"查询的条件/param

/// param name="orderBy"自定义排序语句，如Order By Name Desc；如不指定，则使用默认排序/param

/// param name="paramList"参数列表/param

/// returns指定对象的集合/returns

public virtual ListT Find(string condition, string orderBy, IDbDataParameter[] paramList)

{

if (HasInjectionData(condition))

{

LogTextHelper.Error(string.Format("检测出SQL注入的恶意数据, {0}", condition));

throw new Exception("检测出SQL注入的恶意数据");

}

...........................

}

以上只是防止Sql攻击的一个方面，还有就是坚持使用参数化的方式进行赋值，这样很大程度上减少可能受到SQL注入攻击。

Database db = CreateDatabase();

DbCommand command = db.GetSqlStringCommand(sql);

command.Parameters.AddRange(param);

3、跨站脚本攻击漏洞出现和修复

跨站脚本攻击，又称XSS代码攻击，也是一种常见的脚本注入攻击。例如在下面的界面上，很多输入框是可以随意输入内容的，特别是一些文本编辑框里面，可以输入例如scriptalert('这是一个页面弹出警告');/script这样的内容，如果在一些首页出现很多这样内容，而又不经过处理，那么页面就不断的弹框，更有甚者，在里面执行一个无限循环的脚本函数，直到页面耗尽资源为止，类似这样的攻击都是很常见的，所以我们如果是在外网或者很有危险的网络上发布程序，一般都需要对这些问题进行修复。

XSS代码攻击还可能会窃取或操纵客户会话和 Cookie，它们可能用于模仿合法用户，从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。

[建议措施]

清理用户输入，并过滤出 JavaScript 代码。我们建议您过滤下列字符：

[1] （尖括号）

[2] "（引号）

[3] '（单引号）

[4] %（百分比符号）

[5] ;（分号）

[6] ()（括号）

[7] （ 符号）

[8] +（加号）

为了避免上述的XSS代码攻击，解决办法是可以使用HttpUitility的HtmlEncode或者最好使用微软发布的AntiXSSLibrary进行处理，这个更安全。

微软反跨站脚本库（AntiXSSLibrary）是一种编码库，旨在帮助保护开发人员保护他们的基于Web的应用不被XSS攻击。

编码方法

使用场景

示例

HtmlEncode(String)

不受信任的HTML代码。 a href=””Click Here [不受信任的输入]/a

HtmlAttributeEncode(String)

不受信任的HTML属性

hr noshade size=[不受信任的输入]

JavaScriptEncode(String)

不受信任的输入在JavaScript中使用

script type=”text/javascript”

…

[Untrusted input]

…

/script

UrlEncode(String)

不受信任的URL

a href=”[Untrusted input]”Cnblogs.com/a

VisualBasicScriptEncode(String)

不受信任的输入在VBScript中使用

script type=”text/vbscript” language=”vbscript”

…

[Untrusted input]

…

/script

XmlEncode(String)

不受信任的输入用于XML输出

xml_tag[Untrusted input]/xml_tag

XmlAttributeEncode(String)

不 受信任的输入用作XML属性

xml_tag attribute=[Untrusted input]Some Text/xml_tag

protected void Page_Load(object sender, EventArgs e)

{

this.lblName.Text = Encoder.HtmlEncode("scriptalert('OK');/SCRIPT");

}

例如上面的内容，赋值给一个Lable控件，不会出现弹框的操作。

但是，我们虽然显示的时候设置了转义，输入如果要限制它们怎么办呢，也是使用AntiXSSLibrary里面的HtmlSanitizationLibrary类库Sanitizer.GetSafeHtmlFragment即可。

protected void btnPost_Click(object sender, EventArgs e)

{

this.lblName.Text = Sanitizer.GetSafeHtmlFragment(txtName.Text);

}

这样对于特殊脚本的内容，会自动剔除过滤，而不会记录了，从而达到我们想要的目的。

4、IIS短文件/文件夹漏洞出现和修复

通过猜解，可能会得出一些重要的网页文件地址，如可能在/Pages/Security/下存在UserList.aspx和MenuList.aspx文件。

[建议措施]

1）禁止url中使用“~”或它的Unicode编码。

2）关闭windows的8.3格式功能。

修复可以参考下面的做法，或者找相关运维部门进行处理即可。

5、系统敏感信息泄露出现和修复

如果页面继承一般的page，而没有进行Session判断，那么可能会被攻击者获取到页面地址，进而获取到例如用户名等重要数据的。

一般避免这种方式是对于一些需要登录才能访问到的页面，一定要进行Session判断，可能很容易给漏掉了。如我在Web框架里面，就是继承一个BasePage，BasePage 统一对页面进行一个登录判断。

public partial class UserList : BasePage

{

protected void Page_Load(object sender, EventArgs e)

{

...............

/// summary

/// BasePage 集成自权限基础抽象类FPage，其他页面则集成自BasePage

/// /summary

public class BasePage : FPage

{

/// summary

/// 默认构造函数

/// /summary

public BasePage()

{

this.IsFunctionControl = true;//默认页面启动权限认证

}

/// summary

/// 检查用户是否登录

/// /summary

private void CheckLogin()

{

if (string.IsNullOrEmpty(Permission.Identity))

{

string url = string.Format("{0}/Pages/CommonPage/Login.aspx?userRequest={1}",

Request.ApplicationPath.TrimEnd('/'), HttpUtility.UrlEncode(Request.Url.ToString()));

Response.Redirect(url);

}

}

/// summary

/// 覆盖HasFunction方法以使权限类判断是否具有某功能点的权限

/// /summary

/// param name="functionId"/param

/// returns/returns

protected override bool HasFunction(string functionId)

{

CheckLogin();

bool breturn = false;

try

{

breturn = Permission.HasFunction(functionId);

}

catch (Exception)

{

Helper.Alerts(this, "BasePage调用权限系统的HasFunction函数出错");

}

return breturn;

}

protected override void OnInit(EventArgs e)

{

Response.Cache.SetNoStore(); //清除缓存

base.OnInit(e);

CheckLogin();

}

否则可能会受到攻击，并通过抓包软件发现页面数据，获得一些重要的用户名或者相关信息。

还有一个值得注意的地方，就是一般这种不是很安全的网络，最好要求输入比较复杂一点的密码（强制要求），例如不能全部是数字密码或者不能是纯字符，对位数也要求多一点，因为很多人输入12345678,123456，123这样的密码，很容易被猜出来并登录系统，造成不必要的损失。

6、总结性建议

针对上面发现的问题，提出下面几条建议。

1）在服务器与网络的接口处配置防火墙，用于阻断外界用户对服务器的扫描和探测。

2）限制网站后台访问权限，如：禁止公网IP访问后台；禁止服务员使用弱口令。

3）对用户输入的数据进行全面安全检查或过滤，尤其注意检查是否包含SQL 或XSS特殊字符。这些检查或过滤必须在服务器端完成。

4）关闭windows的8.3格式功能。

5）限制敏感页面或目录的访问权限。

渗透测试需要学那些知识？

web黑客渗透测试入门需要学哪些？

学习web渗透，就是从零散到整体。我们入门门槛比较低，学会用工具就可以了。但是从入门到另一个层次就比较难了，也是大部分脚本小子迷茫的地方。

在web渗透的核心那就是思路，大量的思路来源是来自于自己的知识积累和丰富的经验。 学而不思则罔思而不学则殆。

当我找到了一个注入点：

首先放进工具一点，工具提示不存在注入。很奇怪，明明是存在的，发个某大牛，某大你不想说话并向你扔了个链接，你发现居然爆出了帐号密码。

太多的人都是处于这个超级小白阶段，这个阶段处于菜鸟阶段，我称为打哪是哪。

我来问问：

brup suite你会用？你会用来做什么，爆破？你知道怎么抓包分析post注入吗？你知道绕过上传时brup suite的神奇之处吗？

sqlmap 你会用？你会用来做什么，-u？-dbs？你知道怎么在sqlmap中执行sql语句吗？你知道sqlmap怎么反弹shell吗？

xss 你都懂？你知道xss平台那么多模块都有什么妙用吗？你知道尖括号过滤都有哪些绕过方式吗？

入门学习思考 可能遇到的问题 和新手需知：

你知道svn源代码泄露是什么？通过审计代码能做到什么吗？

你知道在发现st2漏洞命令执行时出现目录限制的时候怎么突破吗？有多少种方式可以突破，在什么样的场景下容易出现，如果有杀软怎么绕过吗？

你知道在3306允许外链的情况下可以爆破吗？你以为扫描器会把端口的风险都列出来给你吗？

你知道一个缜密的邮箱伪造社工可能就能导致网站沦陷吗？

你知道遇到weblogic等弱口令的时候如何去部署war拿shell吗？

你知道各种java中间件的端口是哪些吗？各种反序列化漏洞是怎么样快速定位数据库配置文件的吗？

你知道填充Oracle漏洞的利用方法吗？你知道扫描器都是误报吗？你知道手工怎么测试漏洞真实存在吗？

你知道oa系统都有哪些通用注入和无限制getshell吗？

你知道phpmyadmin可以爆破吗？什么样的版本可以爆路径，什么样的版本几乎拿不到shell吗？

太多太多了，我上面提到的也只是web方面的冰山一角，后面的提权、内网等等难题如海。

为什么信息安全这样的行业会有很多高中生都能做的比大部分受过高等教育的大学生强？

为什么信息安全领域经常有高中生曝光？

高中生中确实有对安全有深厚兴趣并在某一方面取得成就的，但这类消息中绝大部分并没想象中的那样NB。不少“高中生高手”都是在习得基本攻击技术之后，尝试各种网站，最终终于碰到一个能拿下的了，不知深浅地改了主页，由此出名。此类人可以算是“脚本小子”，碰到一个算一个，运气好点，胆大点，就能成为人们眼中的高手。

再退一步讲，安全又是个攻防不对等的领域——几十块钱的锁，几分钱的铁丝就能打开；在拥有相关技术的前提下，破解一款软件的成本往往低于开发这款软件（想想那些盗版软件吧）。这就使得安全领域相比其他领域，更容易出现短时间获得某一方面专精的技能，这样的技能既容易过时，又无法系统性地解决问题，想要成为专家，依然需要更深厚的知识基础（详见第三节）。

信息安全专业的大学生都干嘛去了？

和其他专业的学生一样，很多人进入信息安全专业都是因为高考报志愿时一知半解的选择。最后招进来的都是对安全不感兴趣甚至对计算机都不感兴趣的学生；那些从小搞黑的少年，高中NB之后大学就考不上啦（开玩笑）。

请再看看上面那张截图的本学院课程，除了xx安全原理这种背书课之外，有多少是和信息安全相关的？完全就是CS+EE的课程嘛！人家软件学院还学如何溢出，怎么编写不被溢出的程序，我们专业一半的人都讲不出溢出的基本原理是啥！（唉说多了都是泪）

由于专业敏感性，以及国内高校重教学、轻实践的问题，完全没有攻防相关的课程。我们是不培养黑客，但你连黑客攻击手段都不知道，怎么防御呢？？？

于是90%的学生和计算机专业的学生做一样的事，找一样的工作。（唉答主已经转职成纯码农了……）

另外有10%的少年，则在这样的艰苦环境下，自学成才，成为我国信息安全领域的希望……（请看下一节）

“大学生级别”的信息安全都搞啥？

在信息安全领域，黑客啊攻击啊其实并非核心。核心是各类系统原理（操作系统、网络）、密码学（对称、非对称加密原理及其背后的数学理论）、各类安全架构（PKI、身份认证协议）等。这些都要有人做，研究生干的就是这些，以安全之名，做系统之实。（著名的GFW算是“非黑客信息安全”的代表，说白了，就是监听流量，代发RST包嘛，放到计算机系也是能做出来的）

上述领域才算全面的信息安全行业，这些事情高中生就做不了了，大学生做了，也没人关心= =。

在狭义信息安全领域，那些10%的有兴趣、有技术的少年，还是有一些发挥空间的，但也需要比高中生更多的知识基础。

比如进行XSS攻击，业余级水平是发现一网站尖括号没转义，放个alert就证明了。专业级面对的，可能是一个防范严密的网站，可能要了解引擎解析原理，甚至要看浏览器源代码，从底层hack——都是XSS，能一样么？

狭义信息安全领域的代表，公开的有ctf比赛。达到这种水平的少年，不乱搞，做事低调，日后有望成为职业安全人员；除了比赛获奖、上报漏洞，很少见闻这些人黑掉啥啥啥。结果呢，又没人知道他们厉害了……

总之大学生及以上群体中，信息安全领域高手大有人在，只是不以“高中生黑网站”的方式出现而已。

如何修复wordpress4.0跨站脚本执行漏洞

WordPress是著名的开源CMS（内容管理）系统。近日，在4.0版本以下的Wordpress被发现存在跨站脚本漏洞（XSS），新版本的Wordpress已经修复了这些问题。为了安全起见，建议站长们尽早更新到WP新版本。 该漏洞是由芬兰IT公司Klikki Oy的CEO Jouko Pynnonen发现的，只存在于Wordpress4.0以下的版本中。据调查得知全球有86%的Wordpress网站都感染了这一漏洞，也就意味着全球数百万的网站都存在着潜在的危险。一些知名网站也使用了Wordpress软件，如Time、UPS、NBC Sports、CNN、Techcrunch 和FreeBuf:） 漏洞概述 WordPress中存在一系列的跨站脚本漏洞，攻击者利用跨站脚本伪造请求以欺骗用户更改登录密码，或者盗取管理员权限。 如Jouko Pynnonen解释道： 当博客管理员查看评论时，评论中的漏洞代码会自动在其Web浏览器上运行。然后恶意代码会偷偷接管管理员账户，从而执行管理员操作。 为了证明他们的观点，研究人员创建了一个漏洞利用程序（exploits）。利用这个exploits，他们创建了一个新的WordPress管理员账户，改变了当前管理员密码，并在服务器上执行了攻击PHP代码。 漏洞分析 问题出在wordpress的留言处，通常情况下留言是允许一些html标签的，比如、、等等，然而标签中有一些属性是在白名单里的，比如标签允许href属性，但是onmouseover属性是不允许的。 但是在一个字符串格式化函数wptexturize()上出现了问题，这个函数会在每一个留言上执行，函数的功能是把当前的字符转义成html实体，比如把“”转义为“”。为了防止干扰html格式，wptexturize()首先会以html标签为标准把文本分成若干段，除了html标签，还有方括号标签比如[code]。分割的功能是由下列正则表达式完成的。 在wp-includes/formatting.php代码的第156行： $textarr = preg_split(‘/(.*|\[.*\])/Us’, $text, -1, PREG_SPLIT_DELIM_CAPTURE); 但是如果文章中混合着尖括号和方括号[]会造成转义混淆，导致部分代码没有转义。 攻击者可以通过这个漏洞在允许的HTML标签中注入样式参数形成XSS攻击，比如通过建立一个透明的标签覆盖窗口，捕捉onmouseover事件。 漏洞利用测试 以下代码可以用于测试 [[” NOT VULNERABLE] 修复建议 这一漏洞很容易被攻击者利用，WordPress官方建议用户尽快更新补丁，而在新版WordPress 4.0.1已经修复了所有的漏洞。 WordPress官方于11月20日发布了官方补丁，目前大多数的WordPress网站上都会收到补丁更新提醒通知；如果有一些其他原因使得你无法更新补丁，Klikki Oy公司还提供了另外一个解决方案（workaround）可以修复该漏洞。 wptexturize可以通过在wp-includes/formatting.php开头增加一个返回参数避免这个问题： function wptexturize($text) { return $text; // ADD THIS LINE global $wp_cockneyreplace; 额外提醒 如果你使用的是WP-Statistics WordPress插件，你也应该更新补丁。因为这些插件上也存在跨站脚本漏洞，攻击者同样可以实施攻击。

在PHP的CI框架中，kindeditor自动过滤尖括号，怎么办？

你看看application/config/config.php 文件启用了 XSS 过滤

$config['global_xss_filtering'] = TRUE;

或者您 $this-input-post( 'c', TRUE );

都会自动过滤一些特殊附号的。