6.4.8 编码滥用
在第1章中曾提到,RFC 2396中定义了URL的语法(参见“参考和进一步阅读”),也定义了URL字符的各种编码方式,采用编码后,URL字符的表现形式就彻底不一样了,但它们其实完全是一回事。在Web历史上,攻击者越来越多地利用这一点来构造出复杂的技术,以绕过输入验证。表6-1列出了攻击者最常使用的编码技术的一些例子。
表6-1 攻击者使用过的一些常见URL编码技术
|
编码类型 |
编码字符 |
漏洞实例 |
|
Escaped-encoding |
%2f(斜线) |
实例太多无法一一列举 |
|
Unicode UTF-8 |
%co%af(反斜线) |
IIS Unicode目录遍历漏洞 |
|
Unicode UTF-7 |
+ADw-(左尖括号) |
2005年11月Google XSS漏洞 |
|
Multiple encoding |
%255c(反斜线,%5C) |
IIS双重解码目录遍历漏洞 |
| 回书目 上一节 下一节 |
相关文章
