那些年我们一起学XSS - 6. 换行符复仇记

网络安全/渗透测试/代码审计/

关注

换行符复仇记

漏洞介绍

还是在<script>之间的场景，某些情况下，我们仅仅需要的只是一个换行符，就可以绕过过滤了。它让双引号，尖括号知道了“它们不是一个符号在战斗”。

1.实际场景是下面这个例子。

http://datalib.games.qq.com/cgi-bin/search?libid=178&FilterAttrAND=3602&FilterValueAND=aaaaaaaaaa

对应的，我们可以看到我们的输入aaaaaaaaa 会在页面的哪些输出点出现呢？

2. 不错，一共有5处，有在HTML标签之间的（教程1），也有在<script>..</script>之间的。但是呢，该过滤的，< , > 过滤掉了， 该过滤的 " ，也过滤掉了。

3. 也就是说传统的已经不行啦，我们继续看5处的其他地方。呀，竟然还有一大段注释里，也出现了我们的【输出】

4. 嗯，这样一来，是否会想到这样一个用法呢？

//我是注释，我爱洗澡，哦～哦～哦～ [我是输出]

如果可以使用换行符的话。

//我是注释，我爱洗澡，哦～哦～哦～ [我是输出  换行符
 alert(1);//我是输出]

这样alert(1); 就会被成功执行。 5. 恩，带着这样一个想法，我们不难构造出以下利用。

http://datalib.games.qq.com/cgi-bin/search?libid=178&FilterAttrAND=3602&FilterValueAND=%0aalert(1);//

看下输出。嘿，果然没过滤。

6. 这样，这一次我们的换行符立功了， 它不是一个符号在战斗！

修复方案

尽量不要在JS的注释里输出内容。还挺危险的。