一、概念:
xss跨站脚本:一种经常出现在WEB应用程序中的计算机安全漏洞,是由于WEB应用程序对用户的输入过滤不足而产生的。攻击者利用网站漏洞把恶意代码的脚本注入到网页中去,当其他用户浏览这些网站的时候,就会执行其中的恶意代码,窃取用户的cookies,会话劫持,钓鱼欺骗。
二、分类:
1、反射型也称非持久性脚本,主要将恶意脚本附加到URL地址的参数值中,通常出现在网站的搜索栏、用户登录入口等,用来窃取客户端cookies或进行钓鱼欺骗。
2、持久性跨站脚本,不需要用户单击特定URL就能执行跨站脚本,攻击者实现将恶意JavaScript代码上传或存储到漏洞服务器中,只要受害者浏览包含恶意JavaScript代码的页面就会执行恶意代码,一般出现在网站的留言、评论、博客日志等交互处,恶意脚本被存储到客户端或者服务器数据库中 。
三、CTF中的XSS CTF中的XSS题目设计一般为:要求参赛者在网址或者网页的搜索框中插入非持久性脚本,绕过关键词过滤,脚本运行弹出窗口,网页后台代码会检测网页是否有窗口弹出,有弹出,网页会执行后台代码,跳转网页给出flag或者直接弹出带有flag的窗口。
四、xss绕过关键词过滤 解答CTF中的XSS题目,目的就是能让自己插入的代码运行弹出窗口,获取flag。
1、利用弹窗标签,这是最主要的一种方法,其他方法都是围绕其服务
a标签#javascript协议
点我啊
# data协议
点我
# url编码的data协议
# 另两种方式实现
点我
script标签# 直接弹窗
# javascript协议编码
# 如果输出是在setTimeout里,我们依然可以直接执行alert(1)
button标签# 点击弹窗
点我
# 不需要点击就能弹窗
p标签# 可以直接使用事件触发
点我
img标签# 可以使用事件触发
body标签# 事件触发
# onscroll 事件在元素滚动条在滚动时触发,即页面存在很多内容,需要滚动才能看到下面的内容,就会触发
var标签# 事件触发,一般是用不需交互的事件比如鼠标移动等
M
div标签# 事件触发
input标签和button一样通过autofocus可以达到无需交互即可弹窗的效果。
select标签
textarea标签
keygen标签
frameset标签
svg标签
math标签CLICKME
test1
video标签
audio标签
embed标签
meta标签测试时发现,文章标题跑到meta标签中,那么只需要跳出当前属性再添加http-equiv=”refresh”,就可以构造一个有效地xss payload。还有一些猥琐的思路,就是通过给http-equiv设置set-cookie,进一步重新设置cookie来干一些猥琐的事情。
marquee标签
isindex标签
当过滤掉javascript,alert等常见关键词,单引号,双引号,分号时,可以尝试使用以上不同的标签插入,达到弹出窗口的目的。
2. 大小写绕过:
3. alert被过滤,可以尝试prompt和confirm
4. 空格被过滤:
5. 和是等效的,没有过滤&,#等符号,我们就可以写入任意字符
6. 长度限制时: //在限制长度的地方很有效
7. 括号被过滤,可以使用throw来抛出数据
2
9. 过滤某些关键字(如:javascript) 可以在属性中的引号内容中使用空字符、空格、TAB换行、注释、特殊的函数,将代码行隔开。如:javas%09cript:alert()、javas%0acript:alert()、javas%0dcript:alert(),其中%0a表示换行。
10、宽字节绕过:gbxxxx系列的编码,那么我们尝试一下宽字节 %c0,%bf,%5c,%df
11、编码绕过:十六进制编码、jsfuck编码、url编码、unicode编码<0x736372697074>alert('123')0x736372697074>
五、总结
谈了这么多关于XSS绕过的内容,其实要想记住上面的所有内容很难,也完全没有必要,上面的方法其实只是提供一种思路,具体的绕过还得在实践中来检验,下面的章节将带领大家在练习题目中去使用这些方法。
注:以上内容仅供学习交流使用,严禁使用于非法途径。
扫一扫
439
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
