xss漏洞挖掘思路

前言

xss作为江湖上一种常见的攻击手段,一直有广泛的使用。然而怎么样发现一个交互的地方是否会有xss漏洞呢?有一些通用的思路。一下就是思路的总结。

攻击代码

首先,找到一个你觉得可能会有问题的地方。然后提交这一段代码,如果出现了弹窗,或者打开开发者,发现报了错。那么恭喜你~找到一个xss漏洞啦。

payload分析

上面的那段代码,刚拿来看的时候,可能会恨疑惑这是些什么东西。这是因为,这一长串代码讲所有可能的场景都包含在内了。首先,我们并不知道我们提交之后,服务器返回的response会出现在什么地方。一般来说,会出现在一下几个地方:

  1. html标签之间 -》</防过滤/div id='body' >[输出]< /防过滤/ /div>
  2. html标签之内 -》</防过滤/input type=”text” value=”[输出]” />
  3. 成为javascript代码-》</防过滤/script>a=”[输出]”;...<//script>
  4. 成为css代码-》</防过滤/style>body{font-size:[输出]px;...}<//style>

如果输出结果在标签之间

场景1

</防过滤/div id='body' >[输出]< /防过滤/ /div> 如果我们输入

那么标签就会成为

攻击成功~

场景2

如果是什么</防过滤/title></ /防过滤/title>< /防过滤/textarea></ /防过滤/textarea> 那么输入

输出的结果就会变成

如果输出的结果在标签之内

场景1

如果输出的地方是这样的:</防过滤/input type=”text” value=”[输出] ” /> 那么我们有两种策略 一种是:

那么输出之后,就会变成

另一种策略是

输出之后的结果就会变成

这两种都可以达到同样的效果。前者是定义一个事件,然后在事件里面执行我们的攻击代码,另一种思路是直接闭合标签,然后插入<//script>直接执行。第一种方法可能看着很麻烦,需要移动才能触发,为啥不直接用第二种呢?但是其实第一种更好。因为<//script>标签很可能被过滤掉,第一种的成功率高一些。

场景2

输出的位置是</防过滤/input type=”hidden” value=”[输出]” /> 在这种情况下,由于设置了hidden,on事件不起作用了,所以我们只能暴力关闭标签。

场景3

输出的位置是</防过滤/input value=”[输出]” type=”hidden” />, 和上面的场景仅仅属性的顺序不同而已。怎么此案能出现高成功率的payload呢?我们可以插入

输出之后变成:

这个时候的输出不再是一个隐藏的表单项,而是一个标准的输入框,这个时候移动鼠标,就会触发xss啦。

场景4

如果输出在src/href/action等属性内部,比如< //a href=”[输出]”>click me</ //a>: 我们的payload可以像下面这个样子

前提是我们提交的payload必须出现在这些属性值的开头部分(data协议必须作为整个属性值出现)。对于第一个伪协议,所有的浏览器都支持,不过有一些差异。对于第二个data协议,对于IE不支持。另外,我们提交的这两个payload是可以进行一些混淆的,这样可以更好的绕过过滤机制。 看javascrip/防过滤/:alert(1)这个payload的场景,如果输出一下语句

那么点击后会正常触发。

场景5

如果输出在on事件中。根据不同的场景,我们需要弄清楚我们的输出是整个on事件值出现,还是以某个函数的参数值出现,这个函数是什么等。不同的出现场景可能需要不同的闭合策略。最终目标都是让我们的脚本都能顺利执行。 最神奇的是

那么只要提交alert(1),就可以执行。

成为javascript代码

和场景5类似,有些js代码是服务端输出的,有时会将用户提交的值作为js代码的一部分输出,如以下场景

在这个场景中,我们的payload可以是

他会优先寻找最近的一个script标签闭合,无论这个script标签出现在哪里,都会导致payload成功。

成为css代码

输出如果出现在style属性内。对IE来说,style属性中只要能注入expression关键词,并进行适当的闭合,我们就可以认为目标存在XSS。 比如注入

那么可以得到

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏前端架构

Debounce 和 Throttle 的原理及实现

在处理诸如 resize、scroll、mousemove 和 keydown/keyup/keypress 等事件的时候,通常我们不希望这些事件太过频繁地触发...

381
来自专栏超然的博客

前端基础精简总结

ES5: String、Number、Boolean、Null、Undefined、Object ES6增: Symbol 其中,object为引用,其...

783
来自专栏前端架构

vue2.x入坑总结—回顾对比angularJS/React的一统

从感性的角度讲,我是不屑于用VUE,觉得react套件用起来更顺手,但是vue现在越来火,所以也不得入vue(杂烩汤)的坑。

972
来自专栏欧阳大哥的轮子

iOS的MVC框架之控制层的构建(上)

在我前面的两篇文章里面分别对MVC框架中的M层的定义和构建方法进行了深入的介绍和探讨。这篇文章则是想深入的介绍一下我们应该如何去构建控制层。控制层是联系视图层和...

782
来自专栏NewbieWeb

AngularJS小结

谈起AngularJS的脏检查机制(dirty-checking), 常见的误解就是认为: ng是定时轮询去检查model是否变更。 其实,AngularJS...

471
来自专栏技术博文

js实现php中sleep()延时的功能

1. jquery的$.delay()方法 设置一个延时来推迟执行队列中之后的项目。这个方法不能取代JS原生的setTimeout。 The .delay() ...

3348
来自专栏青青天空树

postMessage 消息传递

        web开发了,除了前台与服务器交换数据,还有可能前台页面间需要进行数据传递,比如窗口间,页面和嵌套的iframe间。这些问题之前都有解决办法,但...

683
来自专栏青玉伏案

窥探Swift之协议(Protocol)和委托代理(Delegate)回调的使用

  协议与委托代理回调在之前的博客中也是经常提到和用到的在《Objective-C中的委托(代理)模式》和《iOS开发之窥探UICollectionViewCo...

2388
来自专栏前端架构

vue2.x入坑总结—回顾对比angularJS/React的一统

从感性的角度讲,我是不屑于用VUE,觉得react套件用起来更顺手,但是vue现在越来火,所以也不得入vue(杂烩汤)的坑。vue/anguarJS/React...

332
来自专栏跟着阿笨一起玩NET

.NET简谈静态事件链

在我们日常开发过程中经常会遇到多个类实例之间的关联,不管是B/S还是C/S的项目,在对实例的使用是一样的;只不过C/S的项目比较好控制,不管是UI层的对象都能很...

321

扫码关注云+社区