世界第一个XSS攻击蠕虫的原理

Kamkar近日在Github上发布了一款软件并附上指导教程，教你如何修改无人机设置，使之认证失效并对其进行攻击。该Perl软件名为SkyJack，运行在 Raspberry Pi上并使用其它开源软件来劫持飞行器。

这一新闻让我对此人非常敬佩，翻译了他关于如何在MySpace上实现第一个XSS工具蠕虫代码的说明，翻译的过程也是对XSS攻击的一次学习过程和对黑客精神的震撼。

1）Myspace 屏蔽了很多标志符。事实上，他们只允许<a>,<img>类，和<div>类，或许还有其他一些（例如，<embed>类）。他们不允许<script>类，<boday>类，onClinks,onAnythings,带javascript的<href>类。但是某些浏览器（IE，部分Safari和其他）允许CSS标识符中带有javascript.即便如此，我们也需要javascript能够正常运行。例如：

<div style=”background:url(‘javascript:alert(1)’)”>

2）我们不能对Div 标识符使用引号，因为我们已经使用了单引号和双引号。这让JS的编程非常困难。为了让JS运行，我们使用表达式来保存JS代码和通过函数名来运行。例如，

<div id=”mycoce” expr=”alert(‘hah!’)”sytle=”background:url(‘javascript:eval(document.all.mycode.expr)’)”>

3）真棒，现在我们可以执行带单引号的Javascript代码了。但是，MySpace网站禁止了关键字”javascript”.为了实现目的，某些浏览器认可“java\nscript”（就是java<NEWLINE>script 为”javascript”.例如，

<divid=”mycode”expr=”alert(‘hah!’)”style=”background:url(‘javaScript:eval(document.all.mycode.expr)’)”>

4）很好，当我们让单引号其效果后，我们有时还需要双引号。我们将引号转义，例如，“foo\”bar”. Myspace 打击我一下，他们禁止了所有转义，无论是双引号还是单引号。但是，我们依然可以在javascript 中将10进制翻译成ASCII来生成引号。例如，

<div id=”mycode”expr=”alert(‘doublequota:’+String.fromCharCode(34))”style=”background:url(‘javScript:eval(document.all.mycode.expr)’)”>

5）为了将代码发布到真正展示的用户简介页面上，我们需要得到这些页面源码。为了获得包含客户ID的浏览页面的源码，我们可以使用document.body.innerHTML。但是Myspace再次打击了我，他们禁止了标识“innerHTML “.我们可以用eval函数来拼接两个字符串组成“innerHTML”.例如，

alert(eval(‘document.body.innt’+’rHTML’))

6）是时候访问其他页面了。通常我们使用”iframes”格式，但是即便是隐藏的，“iframes”并不有效，会让用户明显感到有其他东西在运行。所以我们采用AJAX(XML-HTTP)来让实际用户产生HTTP GET和POST到页面。当然，Myspace禁止了XML-HTTP请求所必需的敏感词“onreadstatechange”,我们再次使用EVAL来拼接生产该敏感词。另外，要XML-HTTP在myspace 有效果还需要Cookies.例如，

eval(‘xmlhttp.onread’+’ystatechange=callback’);

7）是时候在用户简介上执行GET来获得他们的Hero列表。我们不必删除任何heros,我们仅仅是将自己添加到已有的列表中。如果我们GET他们的简介，我们就能获取他们的列表并且保存备用。综上所述，用XML-HTTP来实现是简单的，除非我们要获得当前浏览该简介的用户ID。正如我说的，我们可以从获取页面源码来实现。好了，我们需要在页面中搜索关键词。但是如果我们这么做，我们会发现自己，因为我们的代码包含相同的关键字。我们再次使用eval()来拼接字符串来避免这个问题。

8）到此，我们有了heros列表。第一，让我们在addFriends页面执行一个XML-HTTP

POST请求把自己加到朋友列表中。欧不，这样不行，为啥？我们正在profile.myspace.com页面，但是POST动作要在www.myspace.com页面去运行。但是XML-HTTP不允许在不同域名间实现GETs/POSTs。为了避免这样，我们要去同一URL而不是在www.myspace.com页面。你可以继续从www.myspace.com 浏览简介，通过在同一域名中重新装载运行我们执行POST的页面。例如，

if(location.hostname== ‘profile.myspace.com’) document.location= ‘http://www.myspace.com’+location.pathname + location.search;

9）最后我们执行POST请求。但是，当我们发送POST请求后没有添加用户。为啥？原来Myspace为一个预POST页面生产了一个哈希值，例如在“你确定添加该用户为朋友页面”。如果这个哈希值没有与POST一同发生的话，这个POST不会成功执行。为了避免这样，在添加用户前我们模拟一个浏览器去GET该页面，通过分析源码来取得该哈希值，然后带上该哈希值去执行POST请求。

10）一旦POST请求结束，我们还要添加一个Hero和执行代码。这段代码执行完后就会到hero的同一地方，所以我们只有一个POST请求就可以了。但是，我们需要预GET一个页面来得到一个新的哈希值。但是，第一我们不得不重新生成我们要POST的代码。最简单的办法是获取我们要的页面源码，分析出代码后在发出POST请求。到此为止万事俱备。为了POST请求正在运行我们需要对代码做编码或者转义。可恶，还是不能运行。显然，javascript的URL-Encoding和escape（） 函数不能转义所以必须要的代码。所以我们不得不人工来做这些工作确保必要的代码正确转义。我们添加了一条“but most of all ,samy is my hero”到代码。哇，我们自我复制了一个蠕虫代码。

11）还有其他限制，例如，最大长度，必需紧凑的代码，没有空格，混乱的命名，重复使用的函数等等。