解析順序問題

    其實(shí)哪都一樣，不一定是web世界，前后端解釋型語言，還有HTTP頭部等，

瀏覽器差異帶來的XSS風(fēng)險(xiǎn)1

。都有個(gè)解析順序的問題，從上到下，從左到右，從右到左。一旦順序能被干擾，就有可能出現(xiàn)安全問題。比如字符集編碼問題、content-type問題、標(biāo)簽屬性type問題等等。

    隨便說兩句跑題的，下面才是正文:)

    一些標(biāo)準(zhǔn)實(shí)現(xiàn)差異問題

    瀏覽器們都想獨(dú)霸世界，有些標(biāo)準(zhǔn)的實(shí)現(xiàn)各行其道，導(dǎo)致總是會(huì)出現(xiàn)些差異。如果程序員沒意識(shí)到這些差異，可能就會(huì)引入安全隱患。這部分很多。最近發(fā)現(xiàn)瀏覽器們對(duì)這個(gè)地址的解析差異：

    !@$%">http://www.0×37.com:8989/test.php?c=’”`<>!@$%^*(){}[]:;.,?~

    發(fā)送請(qǐng)求時(shí)，抓包發(fā)現(xiàn)，瀏覽器們的默認(rèn)行為：

    FireFox

    GET /test.php?c=%27%22%60%3C%3E!@$%^*(){}[]:;.,?~ HTTP/1.1

    Chrome

    GET /test.php?c=’%22`%3C%3E!@$%^*(){}[]:;.,?~ HTTP/1.1

    IE內(nèi)核

    GET /test.php?c=’”`<>!@$%^*(){}[]:;.,?~ HTTP/1.1

    發(fā)現(xiàn)有什么不一樣了？最近我們的掃描器發(fā)現(xiàn)了一些主流團(tuán)購網(wǎng)的XSS，分析時(shí)發(fā)現(xiàn)了這個(gè)，這個(gè)差異導(dǎo)致XSS在有的瀏覽器可以成功，有的卻失敗，由于XX原因，案例不能給出，

電腦資料

《瀏覽器差異帶來的XSS風(fēng)險(xiǎn)1》(http://www.szmdbiao.com)。不過有經(jīng)驗(yàn)的人一看，估計(jì)會(huì)懷疑，因?yàn)?27這些只是urlencode而已，正常輸出的話還是urlencode前的原始字符。所以我懷疑這個(gè)差異不應(yīng)該都怪罪到瀏覽器身上，應(yīng)該還與這些團(tuán)購網(wǎng)的具體代碼設(shè)計(jì)有關(guān)系。

    還有一個(gè)字符集的差異

    http://www.0×37.com:8989/test.php?c=你好

    頁面默認(rèn)編碼為utf-8

    發(fā)送請(qǐng)求時(shí)，抓包發(fā)現(xiàn)，瀏覽器們的默認(rèn)行為：

    FireFox

    GET /test.php?c=%C4%E3%BA%C3 HTTP/1.1

    雙字節(jié)編碼，為什么FF會(huì)選擇這個(gè)？

    Chrome

    GET /test.php?c=%E4%BD%A0%E5%A5%BD HTTP/1.1

    這是utf-8，urlencode的最直接表現(xiàn)。

    IE

    GET /test.php?c=你好 HTTP/1.1

    沒做任何編碼，IE奇怪的很。

    今天pan同學(xué)發(fā)現(xiàn)某團(tuán)購網(wǎng)的這個(gè)XSS時(shí)，也很奇怪為什么XSS只在Chrome上有效，原來Chrome在這個(gè)場景中處理中文是走utf-8路線，滿足目標(biāo)網(wǎng)站。又是團(tuán)購網(wǎng)。。

    都是比較神奇的XSS。困~還在加班奮戰(zhàn)中，所以寫的有點(diǎn)亂，大家將就看吧。:P