记录这些年遇到的XSS

每天重复的工作，总算在几个月之后又找到了一丝乐趣。这两天测试遇到了几个还算有意思的XSS，所以记录并分享一下。

---

【一】
简单介绍一下第一个XSS的情况：

• 输入的位置在url中
• 直接输入<，"，等特殊字符会返回400，如图
  
• 尝试输入url编码，发现输入%3c是返回错误页面，如图
  
• 偶然发现输入%20返回正常，如图
  
• 继续测试，在%20后面输入%3c结果还是返回错误页面，如图
  
• 但是在%20和%3c中间随意输入一个字符，就能够绕过检测了，如图
  
• 这样输入%27;%20a%3cscript%3ealert(1)%3c%2fscript%3e就 可以了
  总结：
  其实一开始是因为试了很多方法都不行，粘贴了之前同事测试的语句发现可以写入，但是并没有执行，觉得很奇怪，然后在此基础上输入了%3c居然没有报错，后面测试发现只要输入%20，只要%20不和%3c连在一起，无论%20在哪个位置都可以。输入%0a，%0d不行，并且在输入了%20的情况下如果输入< 也是会报错的。所以可以说有时候%20有奇效。当然也不知道开发怎么过滤的==

---

【二】
下面来介第二个绍一下XSS：

• 看了网站一圈能输入的位置都进行了前端字符类型限制，也就是不让输入特殊字符，抓包更改，后端也有校验，无法绕过。然后在某个功能发现有个编辑器，正常输入抓包发现传输过程中对编辑器自带的<>进行URL二次编码，如图
  
• 尝试直接在编辑器输入onclick=alert(2)，会返回错误，如图
  
• 抓包，修改编辑器的值为，发现返回页面的时候自动去掉了。
• 然后尝试对进行二次URL编码，能够执行。进而输入的二次URL编码，发现会提示非法字符，但是单个输入onclick，alert，alert(1)，onclick=alert(1)的二次URL编码都没问题，想着会不会过滤整个语句，进而输入的二次URL编码，成功执行，如图
  
  总结：
  第一次遇到这种在正常语句中穿插其他无用的字段可以绕过检测的，后来问了开发，他们说之所以能够绕过是因为我提交的二次url编码在过滤器是以URL编码的形式展示的，所以拦截器并没有拦截，然后在数据库解码执行。但是还是有很多疑点，不过也没有深入了。修改方法就是在拦截器递归解码，这样就防止了多次编码。

---

【三】
第三个XSS是同事发现的，觉得难得一遇，所以分享一下

• 输入点是HTTTP头部的XFF字段，因为可以利用XFF头伪造IP，便尝试在XFF头输入XSS代码，但是有长度限制，他这里利用构造注释/**/进行绕过。
• 经过测试发现长度限制为20字符，页面显示IP是最后输入的IP地址在最前面，所以这里构造注释需要从后往前输入。
• 绕过语句，如图
  
• 不过输入的顺序应该是倒过来的，最后的效果图，emmmm......根本看不清
  
  总结：
  以前也有听过这种方法，一直没有遇到过，这次测试中发现这个问题，还是练了练手，觉得思路方法都挺不错的。

---

以上就是这次分享的XSS，感觉表述的并不好，其实就是想分享三个思路。大佬勿喷~~~