为什么黑名单<白名单

文章来自【字节脉搏社区】精选 作者-Jaky

通常，在编写负责文件上传的代码时，您会使用“白名单”（当您只能上传具有某些扩展名的文件时）或“黑名单”（当您可以上传任何文件时，检查下载文件的扩展名）不包括在列表中）。

开发人员通常在黑名单中仅包含众所周知的扩展名。在本文中，我不想考虑不广泛使用的文件类型。

为了演示PoC，我使用了以下负载：

*基本的XSS有效负载：

<script>alert(1337)</script>

*基于XML的XSS有效负载：

<a:script xmlns:a="http://www.w3.org/1999/xhtml">alert(1337)</a:script>

下面，我将显示这项小研究的结果。

IIS Web服务器

默认情况下，IIS以文件类型上的text / html内容类型作为响应，其显示在下面的列表中：

基本向量的扩展：

.cer

.hxt

.htm

因此，可以将基本的XSS向量粘贴到上载的文件中，打开文档后，我们将在浏览器中显示一个警告框。下面的列表包括IIS对其进行响应的扩展，其内容类型允许通过基于XML的向量执行XSS。

基于XML的矢量扩展：

.dtd

.mno

.vml

.xsl

.xht

.svg

.xml

.xsd

.xsf

.svgz

.xslt

.wsdl

.xhtml

默认情况下，IIS还支持SSI，但是出于安全原因，禁止执行部分

SSI扩展：

.stm

.shtm

.shtml

有关SSI更详细的信息被写在帖子由@ldionmarcil

此外：

还有另外两个有趣的扩展名（.asmx和.soap），它们可能导致任意代码执行。它是与Yury Aleinov（@YuryAleinov）合作发现的。

Asmx扩展

1、如果您可以上传扩展名为.asmx的文件，则可能导致任意代码执行。例如，我们获取了具有以下内容的文件：

2、然后，我们向发布的文档发送了POST请求：

3、结果，IIS执行了“ calc.exe”

肥皂延伸

具有.soap扩展名的上传文件的内容：

SOAP请求：

Apache（httpd或Tomcat）

基本向量的扩展：

.shtml

.html.de或.html.xxx（xxx-任何字符）*

基于XML的矢量扩展：

.rdf

.xht

.xml

.xsl

.svg

.xhtml

.svgz

*如果扩展名中“ .html。”后面有任何字符，则Apache将以text / html content-type进行响应。

此外：

Apache对大量具有不同扩展名的文件返回不带Content-type标头的响应，这允许XSS攻击，因为浏览器通常决定如何自行处理此页面。本文包含有关此问题的详细信息。例如，扩展名为.xbl和.xml的文件在Firefox中的处理方式类似（如果响应中没有Content-Type标头），因此有可能在此浏览器中使用基于XML的向量来利用XSS。

Nginx的

基本向量的扩展：

.htm

基于XML的矢量扩展：

.svg

.xml

.svgz

扫一扫关注我们：

实验室也即将正式启动，欢迎各位有能力的大师傅、和正在努力向上的兄弟前来入驻，联系下方小Tone