OWASP WSTG项目：编码注入攻击原理与防御指南

OWASP WSTG项目：编码注入攻击原理与防御指南

wstg The Web Security Testing Guide is a comprehensive Open Source guide to testing the security of web applications and web services. 项目地址: https://gitcode.com/gh_mirrors/ws/wstg

编码技术基础

在计算机安全领域，字符编码是将字符、数字和其他符号映射为标准格式的过程。常见的编码标准包括ASCII（美国信息交换标准代码）、UTF-8和UTF-16等Unicode标准。这些编码方案使得不同语言的字符能够在计算机系统中正确传输和显示。

编码注入的攻击原理

输入编码：绕过过滤机制

攻击者经常利用编码技术来绕过Web应用程序的输入验证机制。例如：

1. ASCII编码绕过：斜杠字符"/"可以用十六进制2F表示
2. Unicode编码绕过：同样的斜杠字符可以用C0AF表示（双字节Unicode序列）

当应用程序的输入过滤器只检测UTF-8编码的输入时，攻击者可以使用其他编码方案成功绕过检测。

输出编码：服务器与浏览器的差异

浏览器需要知道网页使用的编码方案才能正确渲染内容。编码信息通常通过两种方式指定：

1. HTTP头部的Content-Type字段
2. HTML中的META标签

如果服务器未明确指定字符编码，浏览器会尝试猜测或使用默认编码，这可能导致编码不匹配，使攻击者有机会执行恶意脚本。

常见编码注入技术

1. 基本编码注入

<script>alert(String.fromCharCode(88,83,83))</script>

这种方法使用JavaScript的String.fromCharCode函数将Unicode值转换为字符串。

2. HTML实体编码

<IMG src="" onerror=javascript:alert(&quot;XSS&quot;)>

或使用数字实体：

<IMG src="" onerror="javascript:alert(&#34;XSS&#34;)">

3. 十六进制编码

将字符串转换为十六进制表示：

<IMG SRC=%6A%61%76%61%73%63%72%69%70%74%3A%61%6C%65%72%74%28%27%58%53%53%27%29>

4. UTF-7编码

+ADw-SCRIPT+AD4-alert('XSS');+ADw-/SCRIPT+AD4-

要使这种攻击成功，浏览器必须将页面解释为UTF-7编码。

5. 多字节编码

主要用于中、日、韩等大字符集语言，攻击者可以利用多字节编码的复杂性绕过输入验证。

防御策略

1. 明确指定字符编码：在HTTP头和HTML中明确声明使用的编码方案
2. 规范化输入：将所有输入转换为统一的编码格式后再进行验证
3. 多层防御：结合输入验证、输出编码和其他安全措施
4. 使用安全函数：避免直接使用用户输入构建动态内容
5. 持续更新：保持对最新编码攻击技术的了解，及时更新防御措施

总结

编码注入攻击利用字符编码的多样性绕过安全控制，是Web应用安全的重要威胁。理解各种编码技术及其潜在风险，实施全面的防御策略，是保护Web应用免受此类攻击的关键。开发人员和安全测试人员都应掌握这些知识，确保应用程序能够抵御各种编码注入攻击。

wstg The Web Security Testing Guide is a comprehensive Open Source guide to testing the security of web applications and web services. 项目地址: https://gitcode.com/gh_mirrors/ws/wstg