問(wèn)題

URL編碼的數(shù)據(jù)使用%字符和十六進(jìn)制數(shù)字來(lái)傳送URL中不允許直接使用的字符?？崭?、尖括號(hào)（<和>）和斜線（斜線分隔符號(hào)/）是幾個(gè)常見(jiàn)的例子。如果你在Web應(yīng)用中看到URL編碼的數(shù)據(jù)（或許是在參、輸入或某些原源代碼中），而且需要理解或處理它，那么必須對(duì)它進(jìn)行解碼或編碼。

解決方案

最簡(jiǎn)單的方法是使用OWASP的CAL9000。它是一些列HTML網(wǎng)頁(yè)，使用JavaScript來(lái)執(zhí)行基本計(jì)算。它提供了一種交互的方式來(lái)復(fù)制或粘貼數(shù)據(jù)，以及任何地進(jìn)行編碼或解碼。

編碼

在“Plain Text”框中輸入解碼后的數(shù)據(jù)，然后單擊“Select Encoding Type”下方左側(cè)的“Url（%XX）”按鈕。

解碼

在“Encoded Text”框中輸入編碼數(shù)據(jù)，然后單擊“Select Decoding Type”下方左側(cè)的“Url(%XX)”選項(xiàng)。

討論

對(duì)于任何查看過(guò)HTML 源代碼或從網(wǎng)頁(yè)瀏覽器發(fā)送到Web服務(wù)器的任何后臺(tái)數(shù)據(jù)的人來(lái)說(shuō)，URL編碼的數(shù)據(jù)都是不陌生的。RFC1738(ftp://ftp.isi.edu/in-notes/rfc11738.txt)定義了URL編碼，但它不要求明確的ASCII字符的編碼。注意，盡管并非必須，但對(duì)這些字符進(jìn)行不必要的編碼并沒(méi)用錯(cuò)。圖4-3中的編碼數(shù)據(jù)顯示了一個(gè)這樣的例子。實(shí)際上，冗余編碼是攻擊者用來(lái)掩飾其惡意輸入的一種方式。不成熟的黑名單會(huì)檢查<script>，甚至是%3script%3e,但可能不會(huì)檢查%3c%73%63%72%69%70%74%3e,盡管它們實(shí)質(zhì)上全部都是一樣的。

CAL9000的一大優(yōu)勢(shì)在于，它實(shí)際上并不是軟件。它是一組內(nèi)嵌有JavaScript的網(wǎng)頁(yè)。即使你的IT策略超級(jí)嚴(yán)格，你根本無(wú)法在自己的工作站上安裝任何東西，你仍然可以使用瀏覽器從本地硬盤中打開(kāi)這些網(wǎng)頁(yè)，而它們就能夠供你使用。你可以簡(jiǎn)單地將它們裝載到USB驅(qū)動(dòng)器中，并直接從該驅(qū)動(dòng)器中加載它們，這樣你根本不需要安裝任何東西。