反射型XSS实验(1)

已于 2022-11-09 14:28:04 修改
阅读量842 收藏 2
点赞数 3
分类专栏: 安全 文章标签: 前端
于 2022-11-08 21:03:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63306943/article/details/127756042
版权

目录

一、实验环境

二、实验要求

三、实验步骤

3.1 环境分析:

3.2 注入

3.2.1 第一次注入(直接注入)

3.2.2 第二次注入

3.2.3 第三次注入

3.2.4 第四次注入

一、实验环境

<?php
header('X-XSS-Protection: 0');
$xss = isset($_GET['xss'])? $_GET['xss'] : '';
$xss = str_replace(array("(",")","&","\\","<",">","'"), '', $xss);
echo "<img src=\"{$xss}\">";

?>

二、实验要求

通过注入当$xss所接收到的图片发生错误时,通过 οnerrοr=alert(1)  js函数触发报错信息生成弹窗显示数字1。

三、实验步骤

3.1 环境代码分析:

1.注入的主要思路是通过 get 函数获取错误$xss信息触发报错从而通过echo函数完成弹窗显示1。

$xss = isset($_GET['xss'])? $_GET['xss'] : '';
echo "<img src=\"{$xss}\">";

2.$xss信息通过 str_replace 函数将"(",")","&","\\","<",">",“ ' ”符号替换为空,其本质就是进行了符号的过滤。(注入的主要难点)

$xss = str_replace(array("(",")","&","\\","<",">","'"), '', $xss);

3.2 注入

3.2.1 第一次注入(直接注入)

语言

http://127.0.0.1/css/demo.php?xss=aaa%22%20onerror=%22alert(1)
# %22为 " 经过url转码后的结果
# %20为空格经过url转码后的结果

注入结果:

失败

失败分析

优点:

逃出了双引号的限制:xss=aaa"与οnerrοr="alert(1)中的双引号分别与源码中的双引号组成了两对双引号。

理想接收到的语句:(imgsrc="xss=aaa"οnerrοr="alert(1)")前后两个双引号为环境语句中自带的双引号,中间两个双引号为注入语句中后写入的双引号。

缺点:

没有绕过符号“()”的过滤

原因:真实接收到的过滤后语句:(imgsrc="xss=aaa"οnerrοr="alert1")由于alert函数缺失了()导致注入失败。

3.2.2 第二次注入

语句

http://127.0.0.1/css/demo.php?xss=aaa%22%20onerror=%22alert%281%29
# %22为 " 经过url转码后的结果
# %20为空格经过url转码后的结果
# %28为 ( 经过url转码后的结果
# %29为 ) 经过url转码后的结果

注入结果:

 

 失败

失败分析:

优点:使用了url转码将“( ” 转码为%28,将“ )”转码为%29,试图绕过函数过滤。

缺点:真实接收到语句:(imgsrc="xss=aaa"οnerrοr="alert1")括号依然被过滤。

原因:浏览器的url地址栏会自动识别一次转码后的url编码,既将%28、%29在程序运行前直接又转化回(),然后被过滤函数所过滤。

3.2.3 第三次注入

语句

http://127.0.0.1/css/demo.php?xss=aaa%22%20onerror=%22alert%25281%2529
# %22为 " 经过url转码后的结果
# %20为空格经过url转码后的结果
# %28为 ( 经过url转码后的结果
# %29为 ) 经过url转码后的结果
# %25为 % 经过url转码后的结果

注入结果

 失败

失败分析

优点:希望通过url的二次转码在浏览器的url地址栏中将%2528、%2529转码为%28、%29不被过滤函数识别的进入程序,之后再在随后的进程中转码为(),保留()到alert函数中执行实现注入。

缺点:

真实接收到语句:(imgsrc="xss=aaa"οnerrοr="alert%281%29")进出程序()都是以%28、%29的形式进行保留未被进一步转码,alert函数依旧不能执行。

原因:onerror为js函数且在js函数中规定不能对符号进行编码,所以onerror函数不认可被编码后的()。

3.2.4 第四次注入

语句

http://127.0.0.1/css/demo.php?xss=aaa%22%20onerror=location=%22javascript:alert%25281%2529
# %22为 " 经过url转码后的结果
# %20为空格经过url转码后的结果
# %28为 ( 经过url转码后的结果
# %29为 ) 经过url转码后的结果
# %25为 % 经过url转码后的结果
# location函数:可以将所有的值变为变量
# location=javascript: location通过javascript的伪协议可以将值变为变量

注入结果 

生成弹窗且显示1 注入成功

注意:这里的location函数在调用时会自动生成一对双引号

成功分析

1.通过url的二次转码在浏览器的url地址栏中不被识别为()的情况下,以%28、%29的形式进入到程序中。

2.由于onerror为js函数且js函数中不认可被编码后的符号,但依就认可变量,所以()以%28、%29的形式进入程序后,使用 location=javascript: location通过javascript的伪协议可以将值转变为变量,又将()编码后%28、%29转化为变量,再通过js函数对变量的编译将其转码为(),才能成功进行注入。

  

随易的~Sr
关注
专栏目录
Kali渗透测试之DVWA系列4——反射XSS(跨站脚本攻击)
浅浅的博客
05-11 4273
目录 一、XSS 1、XSS简介 2、XSS 3、漏洞形成的根源 二、反射XSS 1、原理示意图​ 2、实验环境 3、实验步骤 安全级别:LOW 重定向 获取cookie 安全级...
php反射xss,利用反射XSS漏洞,模拟获取登录账户的Cookie
weixin_39819152的博客
04-01 800
目录结构一、测试环境二、测试目标三、原理描述四、操作步骤1.在服务器上搭建并启用hacker测试网站2.在服务器上测试站点根目录内创建一个存放攻击脚本的文件夹3.在xss文件夹下创建攻击脚本、cookie存储文件4.浏览器客户端向服务端提交特殊构造的XSS攻击脚本5.检查服务端获取到的cookie信息6.验证服务端获取到的cookie的有效性一、测试环境:PhpStudy+DVWA二、测试目标:从...
反射XSS实验(2)
m0_63306943的博客
11-09 331
声明:本篇博客是基于本人的上一篇博客 “反射XSS实验(1)” 的基础上实验的进一步改进,所以其中的一部分相似的知识点将不会在本文中赘述,若想要完全理解本次实验过程作者希望读者先去了解本人的上一篇博客 “反射XSS实验(1)”,里面会对此次实验中的其余知识点进行了详细说明望周知。
XSS | 反射 XSS 攻击
最新发布
Blue17 の 小窝
09-27 1671
当目标用户访问该链接时,服务器接收该目标用户的请求并进行处理,然后服务器把带有 XSS 代码的数据发送给目标用户的浏览器,浏览器解析这段带有 XSS 代码的恶意脚本后,就会触发 XSS 攻击。为了方便演示,笔者给 2.0 还是设置了弹窗(保留了弹窗功能才让你知道你被攻击了),点击了弹窗的确认后,会弹出啥,笔者这里就不截图了,怕过不了审,留给读者自己摸索吧。此时,有宝子又会说,你这太明显了,点了 ”确定“ 后又是一个 404 Not Found,而且 URL 这么怪,是个人都能发现这个链接有猫腻,马上举报!
反射xss实验
qq_42981372的博客
04-24 1168
实验目的: 理解反射xss的原理,学习反射xss的实现过程。 实验原理:xss攻击是web攻击中最常见的攻击方法之一,恶意攻击者往web页面里插入恶意html代码,当用户浏览该页时,嵌入其中web里面HTML代码会被执行,从而达到恶意攻击用户的特殊目的。在xss的攻击方式中需要欺骗用户自己去点击链接才能触发xss的称为反射xss实验步骤: 一.简单的反射xss试验 1.在已经搭建好的实...
反射xss测试(owasp)
qq_1062290728的博客
03-31 1100
原文 How to test 黑盒测试 黑盒测试至少包括3个阶段: 寻找输入 对于每个网页,测试者要确认所有web应用中用户定义的变量,以及如何输入它们。这包括隐藏的输入,比如http参数、post数据、表单的隐藏字段和预定义的值。通常,用浏览器自带的html编译器或web代理来查看隐藏变量。 分析输入 分析每个输入以检测潜在漏洞。为了检测xss漏洞,测试者通常使用特定构建的输入数据。这类输入一般是无害的,但能触发此漏洞。测试数据能够用web应用fuzzer产生,或手动生成。这种输入的一些例子如下: &l
XSS 跨站脚本检测,常见攻击手段——反射
weixin_30337251的博客
07-16 726
简而言之,XSS就是黑客通过利用web服务器漏洞从而向我们的客户端浏览器发送恶意代码,客户端进而执行恶意代码(javascript等脚本语言),向黑客发送有关自己的信息(盗取cookie,重定向等等) XSS漏洞类: 存储:攻击脚本会被永久的保存在目标服务器的数据库或者文件中(黑客会在某论坛进行留言,此时论坛对应的服务器会将黑客的留言保存在服务器,但是留言的内容有XS...
渗透测试基础-反射XSS原理及实操
weixin_45488495的博客
04-17 9657
渗透测试基础-反射XSS原理及实操XSS是什么漏洞总结 只为对所学知识做一个简单的梳理,如果有表达存在问题的地方,麻烦帮忙指认出来。我们一起为了遇见更好的自己而努力????! XSS是什么 因为人们经常将跨站脚本攻击(Cross Site Scripting)缩写为CSS,但这会与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。因此,将跨站脚本攻击缩写为XSS。这就是XSS名字的由来。XSS攻击是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供
网络安全 - Web 安全攻防 - 反射 XSS 实验包 - ReflectiveXSSLab.zip
09-22
**ReflectiveXSSLab.zip** 是一个专注于网络安全领域中 Web 安全攻防实战的实验包,特别针对反射 XSS(跨站脚本攻击)进行设计。反射 XSS 是一种常见的 Web 安全漏洞,攻击者通过在 URL 参数中注入恶意脚本,当...
2021xx0326 袁卓霞反射XSS实验报告.docx
10-22
在本次实验中,袁卓霞同学通过一系列步骤深入理解和实践了反射XSS攻击,并展示了如何利用这种攻击手段获取用户的Cookie信息。 首先,实验目的是让学生理解XSS攻击的概念、原理及其形成条件,以及攻击过程。为了...
web安全技术-实验七、跨站脚本攻击(xss)(反射).doc
08-20
本次实验主要关注的是反射XSS,这种类的攻击通常发生在用户点击一个包含恶意代码的链接或者输入带有恶意脚本的URL时。恶意代码不会被存储在服务器上,而是作为URL参数的一部分传递,然后未经处理地显示在响应...
DVWA平台反射XSS实验
KUKULI233的博客
05-24 436
反射XSS 一、概念 XSS(跨站脚本攻击),攻击WEB客户端 注入客户端脚本代码 可以做到盗取cookie,重定向等 脚本语言javascript 黑客给服务器发送一个JS脚本,服务器就会回一个页面,将这个页面发给用户,用户在访问服务器时就会被执行盗取cookie值的JS脚本,黑客监听即能看到 前几步相同,用户访问服务器时被重定向到第三方网站 二、使用场景: DVWA级别调到low 直接嵌入<script>alert(‘xss’)</script> 元素事件<body
反射xss主要测试url吗_XSS基础
weixin_28728425的博客
01-17 182
XSS基础XSS大家一定不陌生,上章咱们就用到XSS来抓取token,XSS到底是什么呢?这里给大家从基础开始讲解XSS概述XSS攻击是Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器 执行,达到攻击的目的。XSS的分类反射XSS反射也是最简单的一种,它的存在往往伴随着一个输入一个输出,期间可能会夹杂着过滤,但是这种反射XSS是各大企业站修不完的漏洞...
反射xss实战演示
热门推荐
huli870715的专栏
02-26 1万+
我们知道,XSS攻击大致分为三种类 :Persistent(持久),Non-persistent(反射)及Dom-based。而反射是最常用,也是使用得最广的一种攻击方式。它通过给别人发送带有恶意脚本代码参数的URL,当URL地址被打开时,特有的恶意代码参数被HTML解析、执行。它的特点是非持久化,必须用户点击带有特定参数的链接才能引起。     今天,通过一个反射xss的实战演示
DVWA 之 XSS(Reflected)反射XSS
RexHa的博客
10-07 2206
dvwa 反射XSS
pikachu-反射xss(get)
weixin_30377461的博客
08-18 558
  首先打开漏洞网页,发现输入的长度好像被限制了, 我们便F12查看源代码,发现长度被限制成了20,而且还是前端验证的,我们可以直接修改为100 在我们的输入框中,输入 <script>alert(3)</script>, 便看到可以弹窗了 转载于:https://www.cnblogs.com/kuail...
Pikachu靶场:反射XSS(get)
witwitwiter的博客
04-07 2673
Pikachu靶场:反射XSS(get) 实验环境以及工具 Firefox浏览器、Burp Suite、Pikachu靶场 实验原理 ●反射 交互的数据一般不会被存在在数据库里面,一次性,所见即所得,一般出现在查询类页面等。 形成XSS漏洞的主要原因是程序对输入和输出的控制不够严格,导致“精心构造”的脚本输入后,在输到前端时被浏览器当作有效代码解析执行从而产生危害。 跨站脚本漏洞测试流程 1.在目标站点上找到输入点,比如查询接口,留言板等; 2.输入一组“特殊字符+唯一识别字符”,点击提交后,查看返回的
[ pikachu ] 靶场通关之 XSS (二) --- 反射 XSS 之 get
qq_51577576的博客
01-14 2613
???? 博主介绍 ????‍???? 博主介绍:大家好,我是_PowerShell,很高兴认识大家~ ✨主攻领域:【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】 ????点赞➕评论➕收藏 == 养成习惯(一键三连)???? ????欢迎关注????一起学习????一起讨论⭐️一起进步????文末有彩蛋 ????作者水平有限,欢迎各位大佬指点,相互学习进步! 目录 ???? 博主介绍 一、反射xss(get) 二、过关: 1. 页面 2. 首先确认一下这个页
Java面试题六(Java Web模块)
qibulemingzi的博客
09-23 153
64.JSP 和 servlet 有什么区别?   JSP 是 servlet 技术的扩展,本质上就是 servlet 的简易方式。servlet 和 JSP 最主要的不同点在于,servlet 的应用逻辑是在 Java 文件中,并且完全从表示层中的 html 里分离开来,而 JSP 的情况是 Java 和 html 可以组合成一个扩展名为 JSP 的文件。JSP 侧重于视图,servlet 主要用于控制逻辑。 65.JSP 有哪些内置对象?作用分别是什么?   JSP 有 9 大内置对象:     req
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值