这真是最后一次了。真的再不逗这个程序员了。和预期一样，勤奋的程序员今天又更新程序了。因为前面写的payload都有一个致命的弱点，就是document.write()会完全破坏DOM结构。而且再“完事儿”之后，还不会跳转到本应该跳转的页面。所以还是那么容易就被发现了。（也包括我犯贱老找别人网站做测试）

反思

昨天在去便利店买烟的时候，发现了自己犯的一个错误。就当是纠正一下前面的2篇吧。当我们的JS是在script标签内的时候，像这样:

我们是需要规规矩矩的写上这个document的。但是在事件也就是所谓的on*属性当中，调用write方法时，实际上是不许要写document的。所以我们可以直接这样:

这样一来，也就不用去关心document是否被过滤了。也就没有前面那么些个问题了。不过过去的事儿就过去了。让我们谈谈接下来的事儿。

针对于插入后不能跳转和破坏页面结构的问题，我最终作出了这样的一个决定：

0

试着创建子节点，而放弃蛮力的write().然后为了给自己的js一点时间避免把取cookie的事儿给耽误了我就再次用上了setTimeout().让它插入js的2秒后再跳转到这个标题所属的内容页。不过这个问题可能是我多虑了，也可能会出现瞬间就跳过去取不到cookie的情况吧。

  然而在这次测试期间，我又发现了一个新的输出点。就是我们提交的标题会在内容页输出到一个input里面，像这样:

尴尬的是，他这个点对"<"和">"做了html编码，却把双引号给忘了。所以我们只要在标题出写上：

求助

这里写到标签内是为了防止测漏。不然别人一看就看出来这玩意儿不对劲儿了。管理员打开内容页以后就中招了。虽然在显示帖子标题的页面当中我们没有测漏，但是在内容页，因为我们的这么一插，有类似于 size="xx"> 之类的给露出来了.又不能开启新的标签（因为被"<",">"编码过了）怎么办呢？想了想html也可以用单引号，比如说:

也是可以的。那么我们就可以在标题处写上:

 

再在内容里写上:

'
帮帮我吧！

我们就机智的把测漏给拦住了。

  不过经过我这么一折腾，这程序有问题的事儿，又给闹穿帮了（都不容易啊）。这次不一样的是我拿到补丁了。让我们看看他的过滤代码是怎么写的吧:

function checkscript(intostr) 02.intostr=Replace(Replace(Replace(Replace(Replace(Replace(Replace(Replace(Replace(Replace(Replace(LCase(intostr),"
       
        
",""),"
",""),"
        
         ",""),"strong",""),"<>",""),"",""),"
         
          
           
          
         
         ",""),"
         ",""),"","")04.intostr=Replace(Replace(intostr,"
",""),"
           
            
","")07.intostr=Replace(Replace(intostr,"< ","<"),"
             
              
               
                ",""),"
               
              
             
           
        
       

基本上和我黑盒测试的结果是没有什么偏差的。当然从新的修补方案中不难看出，是真的被我搞穿帮了（）。看到100个replace我就对阅读这段代码没有什么兴趣了。简单做了下测试发现。这次终于对标题处做了htmlencode处理。也就是说不能再完了。那么作为富文本最基本的功能发图，还能用么？简单的插了个

test

发现插进去后，变成了:

test

搞到这儿有两个问题。发现" on"会被拦截。但是和前面提到的一样空格有很多替代品。具体的，可以看下下面的fuzz结果：

用哪个看你喜欢了,不过应该注意的是斜杠只能用来分割标签名和属性。是不能用来分割多个属性的。然后他又先后通过过滤"&#","\u","\x"过滤了4种编码。但是又测漏一个octal.把在子节点上创建script并指定src的部分用octal编一下码，再把空格替换成[0x0c].最后为了防止图片的小框框会泄漏我们的霸气。再一次通过style来设定一下不显示图片。就有了下面的payload:

搞到这儿，和这套程序的斗争就算是告一段落了。thx for reading!

补充内容 (2013-12-27 12:18):

写急了

把<p " οnfοcus=alert(1) autofocus close='>求助</p>改成：

求助<p " οnfοcus=alert(1) autofocus close='></p>就对了

sry