易栈网-膘叔

贴本文的意思并非传播黑客技术，而是根据攻击的方向和内容来提醒自己 ，以后写代码需要注意的事项。

原文：http://hi.baidu.com/isbx/blog/item/bee2d31b7ab4bdddac6e7521.html

==Ph4nt0m Security Team==
                       Issue 0x03, Phile #0x04 of 0x07
|=---------------------------------------------------------------------------=|
|=-----------------=[ 突破XSS字符数量限制执行任意JS代码 ]=-------------------=|
|=---------------------------------------------------------------------------=|
|=---------------------------------------------------------------------------=|
|=------------------------=[      By luoluo     ]=---------------------------=|
|=----------------------=[   <luoluo#ph4nt0m.org> ]=-------------------------=|
|=----------------------=[    <luoluo#80sec.com>   ]=------------------------=|
|=---------------------------------------------------------------------------=|


[目录]

1. 综述
2. 突破方法
2.1 利用HTML上下文中其他可以控制的数据
2.2 利用URL中的数据
2.3 JS上下文的利用
2.4 利用浏览器特性在跨域的页面之间传递数据
    2.4.1 document.referrer
    2.4.2 剪切板clipboardData
    2.4.3 窗口名window.name
2.5 以上的方式结合使用
3. 后记
4. 参考


一、综述

    有些XSS漏洞由于字符数量有限制而没法有效的利用，只能弹出一个对话框来YY，本文主要讨论如何突破字符数量的限制进行有效的利用，这里对有效利用的定义是可以不受限制执行任意JS。对于跨站师们来说，研究极端情况下XSS利用的可能性是一种乐趣；对于产品安全人员来说，不受限制的利用的可能是提供给开发人员最有力的证据，要求他们重视并修补这些极端情况下的XSS漏洞。

    突破的方法有很多种，但是突破的思想基本都一样，那就是执行可以控制的不受限制的数据。


二、突破方法

2.1 利用HTML上下文中其他可以控制的数据

    如果存在XSS漏洞的页面HTML上下文还有其他可以控制的数据，那么可以通过JS获得该数据通过eval或者document.write/innerHTML等方式执行该数据，从而达到突破XSS字符数量限制的目的，下面例子假设div元素的内部数据可以控制，但是该数据已经被HTML编码过：

前两天被setInterval搞了一下，后来查查资料，发现这个介绍的还行，于是复制下来，当成资料备查

In this tutorial we'll look at JavaScript's setTimeout(), clearTimeout(), setInterval() and clearInterval() methods, and show how to use them to set timers and create delayed actions.

» 阅读全文

使用这个函数还是有点小郁闷的。网上的资料现在大多被AS的资料所覆盖，一般来说setInterval是传递两个参数，这与setTimeout 一样，第一个是方法，第二个是时间，但由于网上找的大多是AS下的setInterval，这就造成了理解错误，正常情况下AS下的 setInterval的参数也是（方法，时间），但setInterval也可以是（对象，方法，时间），甚至更多的参数用来传递给方法。

那么，JS下面的setInterval怎么使用对象中的方法呢？其实很简单，直接使用连接符就行了：setInterval("对象.方法()" , 时间 )，但参数好象是没有办法传递的，如果实在要传，你就只要自己写同名方法覆盖掉系统的setInterval了。

网上有个例子，但我没有运行成功，所以我也不在这里贴出来，主要还是那个callee,arguments这些东东，网上也有很多例子，类似于PHP的func_get_args，利用这个进行伪重载。

呵呵

如何对ajax的错误进行更好的处理？本文给出了一个简单的解决方案。想当于类的扩展和继承一样。有新意，一直以来，对于框架我们要么是扩展，要么是写新方法，就从来没有想过要继承这些方法。所以，作者这个给了我很多启发。

原文：http://www.cnblogs.com/lyk831216/archive/2009/04/24/1442791.html

JQuery使我们在开发Ajax应用程序的时候提高了效率，减少了许多兼容性问题，但时间久了，也让我们离不开他。比如简单的Jquery Ajax请求的封装让我们忘却了最原始的XmlHttpRequest对象和他的属性,方法，也让我们远离事情的真相。

在Ajax项目中，经常遇到需要服务器端返回错误的消息提示，或者消息码之类的数据。查过一些帮助，解决方案，很多网站是返回错误的消息JSON数据或者 脚本，这种方式当我们用JQuery.ajax()的时候出现了问题，jquery.ajax()回调函数success(data)的data参数可能 是 xmlDoc, jsonObj, html, text, 等等...这取决于我们dataType设置和MIME.很多时候我们的错误处理都是统一的处理，不管你请求的是XML,JSON...。不光不好统一， 还容易出现解析错误等等情况。

参考了Prototyp框架的做法，做了一个Jquery的错误扩展。

原理：Prototype思路是把服务器处理结果状态信息写在Header里面，这种方式既保证了reponse body的干净，同时适应XML,JSON，HTML,Text的返回情况。

　　　服务器端只需要 Response.AddHeader("Error-Json", "{code:2001,msg:'User settings is null!',script:''}");

实现：为了不影响原有的Jquery.ajax方法，同时不破坏jquery库源文件，做了如下扩展，代码很简单都能看懂：

使用方法：

　　服务器端：我们是对错误进行扩展，如果要让jquery.ajax破获［膘叔：应该为捕获］错误，必须要服务器端返回非200的错误码，由于Opera浏览器下面对 400以上的错误码，都无法获得请求的Header，建议如果要支持Opera，最好返回30*错误，这是Opera能接受Header的错误范围。没有 做包装，可以再单独把Catch内容出来。

　客户端：

也许不是最好的，但觉得用起来很方便，忘了个写新增参数errorHeader:"Error-Json",这个header头key根据你后台设定配置。

没想过要用这个东西，但群里有人问，这个地址也是群里的朋友贴出来的，仔细想想这个东西也有应用的场景，比如歌词的控制。能够得到播放时间，就能够控制歌词的显示了。估计那些用JS做的播放器大致都是这样的吧？猜测而已

内容如下：http://roln.cn/archives/80

2 让播放器播放多首歌曲并循环播放呢
思路就是建一个播放列表,然后通过js来控件.

第一种方法 (此方法最终行不通)
建立一个数组相当于播放列表alist(假设这是用户选择歌曲后的结果)

第二种方法.现已解决.能正常使用. 思路就是用setTimeout()不停的循环,然后控件播放列表的索引得到值来改变URL

先建立一个播放列表
假设用户所选的歌曲参数已传过来
播放列表如下
<select name=”SongList” size=”5″ >
        OnDblClick=”player();”>
            <option value=”songs/001.mp3″>001</option>
            <option value=”songs/002.wma”>002</option>
            <option value=”songs/003.WMV”>003</option>
            <option value=”songs/004.mp3″>004</option>
            <option value=”songs/005.wma”>005</option>
 </select>
同时设置几个按钮
<a href=”#” onclick=”javascript:play();”>on</a>
<a href=”#” onclick=”javascript:Last_OneOK();”>last</a>
<a href=”#” onclick=”javascript:Next_OneOK();”>next</a>

js
<script language=”JavaScript”>
        //var server=’http://localhost/music/’;
        var SongList = document.getElementById(”SongList”);
        var Exobud = document.getElementById(”Exobud”);
        var TotalSongs = SongList.options.length;
        function play()
        {
        SongList.options[0].selected=true;
        player();
        }
        function player(){
      if(SongList.selectedIndex < 0) alert(’系统错误，请选择您要播放的曲目！’);
      else{
      var url;
      url = SongList.options[SongList.selectedIndex].value;
      Exobud.URL=url;
      //alert(TotalSongs);
      Exobud.controls.play();
      showTLab();
      return;
      }
        }
   
        function showTLab(){
      if(Exobud.playState == 1)
      Next_OneOK();
      setTimeout(”showTLab()”, 1000);
        }
   
        function Next_OneOK(){
      if(SongList.selectedIndex >= 0){
      if(SongList.selectedIndex < TotalSongs-1){
       SongList.options[SongList.selectedIndex + 1].selected = true;
        player();
      }else{
       SongList.options[0].selected = true;
        player();
      }
       }
         }
         function Last_OneOK(){
      if((SongList.selectedIndex > 0) && (SongList.selectedIndex < TotalSongs)){
      SongList.options[SongList.selectedIndex - 1].selected = true;
      player();
         }
         }
    </script>

这样问题就解决了.
注音乐文件都是我本地的

附上media player的一些控制方法

player.controls.play(); 播放
player.controls.stop(); 停止
player.controls.pause(); 暂停
player.controls.currentPosition 返回播放文件的当前时间位置（以秒为单位）
player.controls.currentPositionString 时间格式的字符串 “0:32″
player.currentMedia.duration 返回播放文件的总长度（以秒为单位）
player.currentMedia.durationString 时间格式的字符串 “4:34″
player.settings.volume 音量 （0-100）
player.settings.balance 声道,通过它应该可以进行立体声、左声道、右声道的控制。但对应的取值尚不清楚。
player.settings.mute = s 静音（s取值为true和false）
player.closedCaption.CaptioningID 网页中出现字幕的容器的ID
player.closedCaption.SAMIFileName 字幕文件地址
player.playState 返回播放器状态（ 3：正在播放,2：暂停1：已停止）