xss漏洞挖掘思路

前言

xss作为江湖上一种常见的攻击手段,一直有广泛的使用。然而怎么样发现一个交互的地方是否会有xss漏洞呢?有一些通用的思路。一下就是思路的总结。

攻击代码

首先,找到一个你觉得可能会有问题的地方。然后提交这一段代码,如果出现了弹窗,或者打开开发者,发现报了错。那么恭喜你~找到一个xss漏洞啦。

payload分析

上面的那段代码,刚拿来看的时候,可能会恨疑惑这是些什么东西。这是因为,这一长串代码讲所有可能的场景都包含在内了。首先,我们并不知道我们提交之后,服务器返回的response会出现在什么地方。一般来说,会出现在一下几个地方:

  1. html标签之间 -》</防过滤/div id='body' >[输出]< /防过滤/ /div>
  2. html标签之内 -》</防过滤/input type=”text” value=”[输出]” />
  3. 成为javascript代码-》</防过滤/script>a=”[输出]”;...<//script>
  4. 成为css代码-》</防过滤/style>body{font-size:[输出]px;...}<//style>

如果输出结果在标签之间

场景1

</防过滤/div id='body' >[输出]< /防过滤/ /div> 如果我们输入

那么标签就会成为

攻击成功~

场景2

如果是什么</防过滤/title></ /防过滤/title>< /防过滤/textarea></ /防过滤/textarea> 那么输入

输出的结果就会变成

如果输出的结果在标签之内

场景1

如果输出的地方是这样的:</防过滤/input type=”text” value=”[输出] ” /> 那么我们有两种策略 一种是:

那么输出之后,就会变成

另一种策略是

输出之后的结果就会变成

这两种都可以达到同样的效果。前者是定义一个事件,然后在事件里面执行我们的攻击代码,另一种思路是直接闭合标签,然后插入<//script>直接执行。第一种方法可能看着很麻烦,需要移动才能触发,为啥不直接用第二种呢?但是其实第一种更好。因为<//script>标签很可能被过滤掉,第一种的成功率高一些。

场景2

输出的位置是</防过滤/input type=”hidden” value=”[输出]” /> 在这种情况下,由于设置了hidden,on事件不起作用了,所以我们只能暴力关闭标签。

场景3

输出的位置是</防过滤/input value=”[输出]” type=”hidden” />, 和上面的场景仅仅属性的顺序不同而已。怎么此案能出现高成功率的payload呢?我们可以插入

输出之后变成:

这个时候的输出不再是一个隐藏的表单项,而是一个标准的输入框,这个时候移动鼠标,就会触发xss啦。

场景4

如果输出在src/href/action等属性内部,比如< //a href=”[输出]”>click me</ //a>: 我们的payload可以像下面这个样子

前提是我们提交的payload必须出现在这些属性值的开头部分(data协议必须作为整个属性值出现)。对于第一个伪协议,所有的浏览器都支持,不过有一些差异。对于第二个data协议,对于IE不支持。另外,我们提交的这两个payload是可以进行一些混淆的,这样可以更好的绕过过滤机制。 看javascrip/防过滤/:alert(1)这个payload的场景,如果输出一下语句

那么点击后会正常触发。

场景5

如果输出在on事件中。根据不同的场景,我们需要弄清楚我们的输出是整个on事件值出现,还是以某个函数的参数值出现,这个函数是什么等。不同的出现场景可能需要不同的闭合策略。最终目标都是让我们的脚本都能顺利执行。 最神奇的是

那么只要提交alert(1),就可以执行。

成为javascript代码

和场景5类似,有些js代码是服务端输出的,有时会将用户提交的值作为js代码的一部分输出,如以下场景

在这个场景中,我们的payload可以是

他会优先寻找最近的一个script标签闭合,无论这个script标签出现在哪里,都会导致payload成功。

成为css代码

输出如果出现在style属性内。对IE来说,style属性中只要能注入expression关键词,并进行适当的闭合,我们就可以认为目标存在XSS。 比如注入

那么可以得到

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏小詹同学

Python爬虫系列之一——我有100万?

高中生都开始写爬虫了,可见爬虫有多热门,一个某某985高校的研究生不学习学习爬虫实在是有些落伍啦~ ? 一、网络爬虫和url ...

38060
来自专栏Redis

Linux文件基本属性

在Linux中第一个字符代表这个文件是目录,文件或链接等等。 当为[d]则是目录。 当为[-]则是文件。 当是[l]则表示为链接文档。 当是[b]则表示为装置文...

10100
来自专栏xingoo, 一个梦想做发明家的程序员

基于RequireJS和JQuery的模块化编程——常见问题解析

由于js的代码逻辑越来越重,一个js文件可能会有上千行,十分不利于开发与维护。最近正在把逻辑很重的js拆分成模块,在一顿纠结是使用requirejs还是sea...

312100
来自专栏柠檬先生

你不知道的javaScript笔记(7)

异步:现在与将来   分块的程序     可以把JavaScript 程序写在单独的js 文件中,这个程序是由多个块组成的,这些块     中只有一个是现在执行...

21250
来自专栏杂七杂八

Eclipse之working sets使用

Eclipse是开发Java最常用的一个软件,但是当我们项目变多的时候,就变得十分繁杂不好查找。还好eclipse给我们提供了working sets使用。 ...

7700
来自专栏Web行业观察

并发模型与事件循环 /mdn

JavaScript 的并发模型基于“事件循环”。这个模型与像 C 或者 Java 这种其它语言中的模型截然不同。

13740
来自专栏Nian糕的私人厨房

WeChat 模块、模板与缓存

本次的系列博文的知识点讲解和代码,主要是来自于 七月老师 的书籍《微信小程序开发:入门与实践》,由个人总结并编写,关于更多微信小程序开发中的各项技能,以及常见问...

9230
来自专栏Golang语言社区

【提高篇】Go语言并发技术详解

有人把Go比作21世纪的C语言,第一是因为Go语言设计简单,第二,21世纪最重要的就是并行程序设计,而Go从语言层面就支持了并行。 goroutine goro...

28360
来自专栏黑泽君的专栏

Ecplise的使用练习

----------------------------------------------------------------------------- Ec...

17510
来自专栏LeoXu的博客

[翻译]Android教程-保存数据-支持不同的平台版本

展示 平台版本 的仪表盘会基于浏览过 Google Play Store的设备数量有规律的更新,来展示运行每一种版本Android的激活设备的分布. 一般...

8720

扫码关注云+社区

领取腾讯云代金券