xss漏洞挖掘思路

前言

xss作为江湖上一种常见的攻击手段,一直有广泛的使用。然而怎么样发现一个交互的地方是否会有xss漏洞呢?有一些通用的思路。一下就是思路的总结。

攻击代码

首先,找到一个你觉得可能会有问题的地方。然后提交这一段代码,如果出现了弹窗,或者打开开发者,发现报了错。那么恭喜你~找到一个xss漏洞啦。

payload分析

上面的那段代码,刚拿来看的时候,可能会恨疑惑这是些什么东西。这是因为,这一长串代码讲所有可能的场景都包含在内了。首先,我们并不知道我们提交之后,服务器返回的response会出现在什么地方。一般来说,会出现在一下几个地方:

  1. html标签之间 -》</防过滤/div id='body' >[输出]< /防过滤/ /div>
  2. html标签之内 -》</防过滤/input type=”text” value=”[输出]” />
  3. 成为javascript代码-》</防过滤/script>a=”[输出]”;...<//script>
  4. 成为css代码-》</防过滤/style>body{font-size:[输出]px;...}<//style>

如果输出结果在标签之间

场景1

</防过滤/div id='body' >[输出]< /防过滤/ /div> 如果我们输入

那么标签就会成为

攻击成功~

场景2

如果是什么</防过滤/title></ /防过滤/title>< /防过滤/textarea></ /防过滤/textarea> 那么输入

输出的结果就会变成

如果输出的结果在标签之内

场景1

如果输出的地方是这样的:</防过滤/input type=”text” value=”[输出] ” /> 那么我们有两种策略 一种是:

那么输出之后,就会变成

另一种策略是

输出之后的结果就会变成

这两种都可以达到同样的效果。前者是定义一个事件,然后在事件里面执行我们的攻击代码,另一种思路是直接闭合标签,然后插入<//script>直接执行。第一种方法可能看着很麻烦,需要移动才能触发,为啥不直接用第二种呢?但是其实第一种更好。因为<//script>标签很可能被过滤掉,第一种的成功率高一些。

场景2

输出的位置是</防过滤/input type=”hidden” value=”[输出]” /> 在这种情况下,由于设置了hidden,on事件不起作用了,所以我们只能暴力关闭标签。

场景3

输出的位置是</防过滤/input value=”[输出]” type=”hidden” />, 和上面的场景仅仅属性的顺序不同而已。怎么此案能出现高成功率的payload呢?我们可以插入

输出之后变成:

这个时候的输出不再是一个隐藏的表单项,而是一个标准的输入框,这个时候移动鼠标,就会触发xss啦。

场景4

如果输出在src/href/action等属性内部,比如< //a href=”[输出]”>click me</ //a>: 我们的payload可以像下面这个样子

前提是我们提交的payload必须出现在这些属性值的开头部分(data协议必须作为整个属性值出现)。对于第一个伪协议,所有的浏览器都支持,不过有一些差异。对于第二个data协议,对于IE不支持。另外,我们提交的这两个payload是可以进行一些混淆的,这样可以更好的绕过过滤机制。 看javascrip/防过滤/:alert(1)这个payload的场景,如果输出一下语句

那么点击后会正常触发。

场景5

如果输出在on事件中。根据不同的场景,我们需要弄清楚我们的输出是整个on事件值出现,还是以某个函数的参数值出现,这个函数是什么等。不同的出现场景可能需要不同的闭合策略。最终目标都是让我们的脚本都能顺利执行。 最神奇的是

那么只要提交alert(1),就可以执行。

成为javascript代码

和场景5类似,有些js代码是服务端输出的,有时会将用户提交的值作为js代码的一部分输出,如以下场景

在这个场景中,我们的payload可以是

他会优先寻找最近的一个script标签闭合,无论这个script标签出现在哪里,都会导致payload成功。

成为css代码

输出如果出现在style属性内。对IE来说,style属性中只要能注入expression关键词,并进行适当的闭合,我们就可以认为目标存在XSS。 比如注入

那么可以得到

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏web前端

JavaScript基础学习--02属性操作

一、思路 1、模拟手机聊天思路:      a.静态页面html+css,包括双发短信发送成功后的基本样式。      b.获取头像、输入框、发送按钮和聊天内...

1909
来自专栏Java技术栈

JSON Web Token (JWT),服务端信息传输安全解决方案。

JWT介绍 JSON Web Token(JWT)是一种开放标准(RFC 7519),它定义了一种紧凑独立的基于JSON对象在各方之间安全地传输信息的方式。这些...

37010
来自专栏互联网软件技术

获取地理位置

623
来自专栏web前端教室

WEB前端零基础课-1022本周总结

通读了3遍vuex官方文档,结合例子,算是整得七七八八了,还看了官方在GitHub上提供的例子源码

822
来自专栏知道一点点

angularjs中常用的ng指令介绍【转载】

原文:http://www.cnblogs.com/lvdabao/p/3379659.html

873
来自专栏腾讯IVWEB团队的专栏

ECMAScript 2015 (ES6) in Node.js(译)

Node.js是建立在V8引擎的基础上。通过保持对该引擎最新发布版的更新,我们可以确保能够将JavaScript ECMA-262 specification中...

1320
来自专栏九彩拼盘的叨叨叨

写出好的前端代码不是件容易事

什么样的代码算是好代码? 在我看来,易于维护的代码就是好代码。当然代码还可以从性能,安全等方面来考量。这些不在本文的讨论范围之内。

653
来自专栏知道一点点

走进AngularJs(二) ng模板中常用指令的使用方式

  通过使用模板,我们可以把model和controller中的数据组装起来呈现给浏览器,还可以通过数据绑定,实时更新视图,让我们的页面变成动态的。ng的模板真...

852
来自专栏Jerry的SAP技术分享

使用JavaScript给对象修改注册监听器

我们在开发一些大型前端项目时,会遇到这样一种情况,某个变量上有个字段。我们想知道是哪一段程序修改了这个变量上的字段。比如全局变量window上我们自定义了一个新...

582
来自专栏IMWeb前端团队

ECMAScript 2015 (ES6) in Node.js(译)

本文作者:IMWeb link 原文出处:IMWeb社区 未经同意,禁止转载 原文:https://nodejs.org/en/docs/es6/ ...

18210

扫码关注云+社区