复现一个循环问题以及两个循环问题

11 篇文章 0 订阅
3 篇文章 0 订阅

目录

1.一个循环问题,移除标签的属性

1.1   当我们输入<img src=1 οnerrοr=alert(1)>

2.两个循环问题

2.1当我们输入<img src=1 οnerrοr=alert(1)>

2.2我们从两个方面来入手绕过:

2.3进入循环删除垃圾数据,保留有用代码


1.一个循环问题,移除标签的属性

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta http-equiv="X-UA-Compatible" content="IE=edge">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Document</title>
</head>
<body>
    
</body>
<script>
//用户的输入会构成一个新div元素的子结点,但在插入body之前会被移除所有的属性。
    const data = decodeURIComponent(location.hash.substr(1));//截取#后面所有我们输入
    const root = document.createElement('div');//创建一个div
    root.innerHTML = data;//截取的输入赋给div
 //这里模拟了XSS过滤的过程,方法是移除所有属性,sanitizer
    for (let el of root.querySelectorAll('*')) {//querySelectorAll选取div下所有的子元素
        for (let attr of el.attributes) {//获取子元素的属性,并将属性全部删除
            el.removeAttribute(attr.name);
        }
    }
    document.body.appendChild(root); 

</script>
</html>

1.1   当我们输入<img src=1 οnerrοr=alert(1)>:


src属性确实如愿以偿删除了,onerror却保留了下来 why?断点调试找原因:

最开始:

 点击step:截取过后获取了img标签

再次step:attr获取src属性并移除

 再次step:没有获取到onerror

直接跳出循环,所以onerror属性保留了下来

 通过断点调试可以得出: 在循环中删除了第一个src属性,在内存中第二个onerror属性就往前移一位,而循环已经循环了第一位所以就直接跳出了循环 

 我们想要绕过就可以直接把我们想要保留的属性写在第二、第四、第六....的位置,不会被删除

测试:

实现了弹窗:

 

2.两个循环问题

通过上面代码的缺陷修改成了如下代码:

第一个循环进行存放,第二个循环进行删除

    <!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta http-equiv="X-UA-Compatible" content="IE=edge">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Document</title>
</head>
<body>
    
</body>
<script>
const data = decodeURIComponent(location.hash.substr(1));;
const root = document.createElement('div');
root.innerHTML = data;
// 这里模拟了XSS过滤的过程,方法是移除所有属性,sanitizer
for (let el of root.querySelectorAll('*')) {
    let attrs = [];
    for (let attr of el.attributes) {
       attrs.push(attr.name);
    }
    for (let name of attrs) {
      el.removeAttribute(name);
    }
}    
 document.body.appendChild(root); 

</script>
</html>

2.1当我们输入<img src=1 οnerrοr=alert(1)>:

 

 <img>标签的两个属性全删除了,所以原本的绕过方法完全失效了

2.2我们从两个方面来入手绕过:

(1)进入循环删除垃圾数据,保留有用代码

(2)不进入循环,直接进行绕过

2.3进入循环删除垃圾数据,保留有用代码

(1)在<body>中加上如下代码

 运行过后可以看出input标签的属性并没有删除

 

 

 

 

(2)不进入循环

使用<svg><svg οnlοad=alert(1)>来进行绕过

 

原因:这种嵌套的svg成功的原因是因为当页面为root.innerHtml赋值的时候浏览器进入DOM树构建过程;在这个过程中会触发非最外层svg标签的load事件

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值