XSS:IE下伪造Referer和Request_URI

  • A+
所属分类:安全博客

0x00

有时候,网站会将Referer或者是Request_URI的内容读取呈现出来。
在这种情况下,我们若是能构造一个页面跳转到目标页面,就能在IE下通过Referer完成XSS。
或者构造链接,能够在IE下通过Request_URI完成XSS。
影响版本: IE 11

0x01 IE下Referer Header XSS

这里一个问题是,Chrome和Firefox都会对跳转链接里的<>字符进行url编码,然而IE并不会。
那么我们就可以构造一个跳转页面

# referer.php
<iframe src="http://target.com/abc.php">

通过浏览器访问这个页面的时候,会通过iframe标签加载我们的目标网页。
在这时,我们构造这样的跳转页面链接

http://127.0.0.1/referer.php?<script>alert(document.domain)</script>

就能在跳转的时候,在Referer Header里成功带上我们的Payload。

0x02 IE下Request_URI XSS

从上面可以看出,IE并不会对URL里号后面的<>进行URLEncode。
例如http://127.0.0.1/1.php?<>,这里的<>就不会被URLEncode。
那么我们就可以直接构造

http://127.0.0.1/request_uri.php?alert(1)

就可以对REQUEST_URI进行注入,导致XSS。

0x04 参考

不常见的xss利用探索

FROM :rickyhao.com | rickyhao.com

相关推荐: SQLI-LABS修炼笔记(二)

写在前面:今天的重点是盲注。 首先介绍一下sql注入截取字符串常用函数有三大法宝。 mid(),substr(),left() 1.mid()函数 MID(column_name,start[,length]) 如: str=”123456″ mid(str,…

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: