Ruby Sanitize < 5.2.1 HTML过滤绕过漏洞分析(CVE-2020-4054)<\/h1>

漏洞概述<\/h2>
CVE-2020-4054是Ruby Sanitize模块在5.2.1版本之前存在的一个HTML过滤绕过漏洞。当Sanitize模块配置为RELAXED模式时，攻击者可以利用该漏洞绕过安全过滤机制，导致跨站脚本(XSS)攻击。<\/p>

受影响版本<\/h2>
Ruby Sanitize模块版本 < 5.2.1<\/p>

漏洞背景<\/h2>
Sanitize是一个Ruby模块，用于检测和过滤HTML中的恶意内容。它基于白名单机制工作，只允许预先定义的HTML标签和属性通过。<\/p>

HTML过滤基础原理<\/h2>

Sanitize的工作流程分为三个步骤：<\/p>

将HTML解析为DOM树<\/li>
从DOM树中删除不在白名单内的标签和属性<\/li>

将过滤后的DOM树序列化为HTML<\/li> <\/ol>

例如输入：<\/p>

ABC<script>alert(1)<\/script>
<\/code><\/pre>
会被解析为DOM树，删除<script><\/code>标签和onerror<\/code>属性后，输出：<\/p>
ABC
<\/code><\/pre>
漏洞发现过程<\/h2>
关键点1：<style><\/code>标签的特殊处理<\/h3>
Sanitize的白名单中包含<style><\/code>标签，但该标签有以下特殊处理：<\/p>

HTML解析器不会解码<style><\/code>标签中的HTML实体<\/li>
在反序列化生成HTML时，<style><\/code>标签内的内容不会进行HTML实体编码<\/li>
<\/ol>
例如：<\/p>
<div<\/span>>I &lt; 3 XSS<\/div<\/span>>
<\/span><\/span><style<\/span>>I<\/span> &<\/span>lt<\/span>;<\/span> 3<\/span> XSS<\/span><\/style<\/span>>
<\/span><\/span><\/code><\/pre>解析为DOM树后，<div><\/code>中的&lt;<\/code>被解码为<<\/code>，但<style><\/code>中的保持不变。<\/p>
反序列化后输出：<\/p>
<div<\/span>>I &lt; 3 XSS<\/div<\/span>>
<\/span><\/span><style<\/span>>I<\/span> <<\/span> 3<\/span> XSS<\/span><\/style<\/span>>
<\/span><\/span><\/code><\/pre>关键点2：Foreign content特性<\/h3>
HTML5规范中，<svg><\/code>和<math><\/code>标签内的内容会进行HTML实体解码。例如：<\/p>
<svg<\/span>><style<\/span>>I<\/span> &<\/span>lt<\/span>;<\/span>3<\/span> XSS<\/span><\/style<\/span>><\/svg<\/span>>
<\/span><\/span><\/code><\/pre>会被解析为包含<<\/code>字符的DOM树，最终输出可能导致XSS。<\/p>
关键点3：利用注释绕过过滤<\/h3>
虽然RELAXED配置不允许<svg><\/code>和<math><\/code>标签，但可以利用以下技巧：<\/p>

构造包含注释的payload：<\/li>
<\/ol>
<svg<\/span>><style<\/span>>\/*&lt;\/style>&lt;img src onerror=alert(1)*\/<\/span><\/style<\/span>><\/svg<\/span>>
<\/span><\/span><\/code><\/pre>

Sanitize会删除<svg><\/code>标签，但保留其内容<\/p>
<\/li>

最终DOM树包含：<\/p>
<\/li>
<\/ol>
<style<\/span>>\/*<\/span><\/style<\/span>>*\/<\/style<\/span>>
<\/span><\/span><\/code><\/pre>
反序列化后输出：<\/li>
<\/ol>
<style<\/span>>\/*<\/span><\/style<\/span>>*\/
<\/span><\/span><\/code><\/pre>从而触发XSS。<\/p>
漏洞修复<\/h2>
Sanitize 5.2.1版本修复了此漏洞，主要改进包括：<\/p>

更严格处理<style><\/code>标签内容<\/li>
防止通过注释绕过过滤机制<\/li>
<\/ol>
防护建议<\/h2>

升级Sanitize到5.2.1或更高版本<\/li>
如果无法升级，可以考虑从白名单中移除<style><\/code>标签<\/li>
对用户输入进行多层防御，不依赖单一过滤机制<\/li>
<\/ol>
总结<\/h2>
该漏洞展示了HTML解析和序列化过程中的边缘情况如何导致安全过滤被绕过。开发者在实现HTML过滤时需要考虑各种特殊标签和解析规则，确保过滤机制在所有情况下都能正确工作。<\/p>

Ruby Sanitize < 5.2.1 HTML过滤绕过漏洞分析(CVE-2020-4054)<\/h1>

漏洞概述<\/h2> CVE-2020-4054是Ruby Sanitize模块在5.2.1版本之前存在的一个HTML过滤绕过漏洞。当Sanitize模块配置为RELAXED模式时，攻击者可以利用该漏洞绕过安全过滤机制，导致跨站脚本(XSS)攻击。<\/p>

受影响版本<\/h2> Ruby Sanitize模块版本 < 5.2.1<\/p>

漏洞背景<\/h2> Sanitize是一个Ruby模块，用于检测和过滤HTML中的恶意内容。它基于白名单机制工作，只允许预先定义的HTML标签和属性通过。<\/p>

漏洞发现过程<\/h2>

总结<\/h2> 该漏洞展示了HTML解析和序列化过程中的边缘情况如何导致安全过滤被绕过。开发者在实现HTML过滤时需要考虑各种特殊标签和解析规则，确保过滤机制在所有情况下都能正确工作。<\/p>

漏洞概述<\/h2>
CVE-2020-4054是Ruby Sanitize模块在5.2.1版本之前存在的一个HTML过滤绕过漏洞。当Sanitize模块配置为RELAXED模式时，攻击者可以利用该漏洞绕过安全过滤机制，导致跨站脚本(XSS)攻击。<\/p>

受影响版本<\/h2>
Ruby Sanitize模块版本 < 5.2.1<\/p>

漏洞背景<\/h2>
Sanitize是一个Ruby模块，用于检测和过滤HTML中的恶意内容。它基于白名单机制工作，只允许预先定义的HTML标签和属性通过。<\/p>

总结<\/h2>
该漏洞展示了HTML解析和序列化过程中的边缘情况如何导致安全过滤被绕过。开发者在实现HTML过滤时需要考虑各种特殊标签和解析规则，确保过滤机制在所有情况下都能正确工作。<\/p>