前言
承接上篇文章xss绕过小tips,本篇也是关于那个银行的绕过,只不过是复测的绕过,由于有实战用到上篇文章谈到的一些技巧,就写了出来。(PS:其实就是想水一下文)
正文
复测开始,本打算直接<svg/onload=alert`1`>看看的,结果被他的过滤器拦截了,接下来开始尝试绕过。
可以看到下图,注入了<svg>标签解析成功了
我先注入<svg/onload>,可以看到下图被拦了,然后我继续试了<svg/on>发现没有被拦截,说明网站只是拦截某些属性,这一步的原因是因为我先测了另外的企业网银系统发现他修复是把有on关键字都给拦截了,on事件直接无法执行。
额,由于这个拦截了onload、onfocus那些事件,试了几个都没成功,然后我用<iframe/src>试试了,这里成功了,之前复测的网银拦截器直接把html标签的事件关于src、lowsrc等这些属性全部拦截了,只要后面拼接=直接gg,还好这里没有拦,我可以尝试JavaScript伪协议。
然而在尝试JavaScript伪协议的时候发现被拦截了,肯定是JavaScript和alert被拦截。
然后我开始测试,JavaScript这个关键字直接被拦,然后alert、prompt和confirm全被拦截,只要有对应的关键字就被拦,大小写无用,双写也无用,这时候我尝试了window[atob('YWxlcnQ=')]`1`没有被拦截,这里atob函数内括号里面可以用单引号或者双引号,这里双引号被转义了,我用了单引号,万幸成功绕过。
最后应该是绕过on属性了,这个目前还在研究,不是只要标签就可以用所有的属性的,当时网上找标签去尝试,手头上没有事件字典,或许应该找一找对应的字典来跑了。绕过的标签是<detail open ontoggle=window[atob('YWxlcnQ=')]`1`>,这个只是为了给开发看一下xss过滤器不完善可以绕过,时间不够没有去尝试其他属性了。
原文始发于微信公众号(安全学习之路):XSS绕过小tips2
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论