那些年我们一起学XSS - 17. XSS过滤器绕过 [通用绕过]

关于反射型的基本东西，暂时就到这啦，如果后面有什么好的case，再做增补。最近，有些人会问到怎么绕过浏览器的XSS过滤器，所以从这节开始，给出点绕过的例子。当然这些绕过浏览器的方法，不是万能的。不同浏览器，不同场景都会存在差异。满足场景要求时，才可以使用。
此文给出的是一个来自sogili分享的chrome下绕过过滤器的方法，在腾讯某处XSS上的应用。

这一类都算是“结合了一定场景”，绕过了浏览器自身的防御机制，具有一定的通用性，我们称为“通用绕过”（瞎起的名字，别在意）。但是在后续版本的浏览器中，这些技巧可能会被浏览器干掉从而失效。再次强调：通用不是全部都行，意思是所适用的场景实际发生的概率比较高！
详细说明：
1. 其实就是个普通的XSS点，uin参数没有对任何字符进行过滤。

http://bangbang.qq.com/php/login?game=rocouin="img src=1 onerror=alert(1)world=5roleid=44583443level=8role=%2

2. 正是由于这个点什么都没过滤，浏览器自身的防御机制也最好发挥作用，瞧瞧，chrome拦截了。。

有的新手，不知道有过滤器的，更是会觉得 “啊，这是怎么回事，怎么不行啊，明明可以的。。”

我们只要看到console里有上面那句，就说明 chrome的过滤器大发神威了！！

3. 我们也看看源码。

危害部分被和谐了。

4. 那么怎么绕过呢？ 这里直接说方法。

5. 首先要求缺陷点，允许 , 。其次，要求缺陷点的后方存在 /script 标签。 我们看看当前的这个点的代码。

...
input type="hidden" id="sClientUin" value=""img src=1 onerror=alert(1)"
...
script type="text/javascript" src="http://pingjs.qq.com/tcss.ping.js"/script
...

6. 可以看到上面的要求均满足。我们就可以使用以下技巧。

script src=data:,alert(1)!--

7. 代入到我们的利用代码里。

http://bangbang.qq.com/php/login?game=rocouin="script src=data:,alert(1)!--world=5roleid=44583443level=8role=%2

这次，我们就成功啦。

修复方案：

参见教程1：http://www.2cto.com/Article/201301/186359.html

作者：心伤的瘦子