→_→

作者：心伤的瘦子来自：PKAV技术宅社区网址：http://www.pkav.net--------------------------------------------------------------------------------------简要描述：有些时候，我们拿现成的XSS代码都不行，都被过滤了，那么需要我们对过滤的规则进行一定的判断与猜测。然后针对性的使用一些技巧来适应或者绕过规则。在本例中，我们以QQ空间/QQ校友的日志功能为例，通过猜测简单的过滤规则，然后使用

作者：心伤的瘦子来自：PKAV技术宅社区网址：http://www.pkav.net----------------------------------------------------------------------------------简要描述：很多应用含有富文本内容，这类应用最典型的特征是具有编辑器，例如：博客日志，邮箱等。这类应用往往允许使用一定的HTML代码。为了在用户体验和安全之间寻找平衡，各种厂商可能采用了不尽相同的办法。但是总体来说，有2类。第1类我们称为白名单

作者：心伤的瘦子来自：PKAV技术宅社区网址：http://www.pkav.net-------------------------------------------------------------------------------------------------------------------------------简要描述：存储型和反射型相比，只是多了输入存储、输出取出的过程。简单点说：反射型是：输入--输出；存储型是：输入--进入数据库*--取出数据库--输出

作者：心伤的瘦子来自：PKAV技术宅社区网址：http://www.pkav.net----------------------------------------------------------------------------------------------------------简要描述：有些时候，通用的绕过技巧并不可行，这个时候我们就得观察缺陷点的周围环境，想想其它办法咯。“猥琐绕过”与通用绕过不同的是，它通用性小，往往只是特例。详细说明：1. 直接看实例点：

作者：心伤的瘦子来自：PKAV技术宅社区网址：http://www.pkav.net--------------------------------------------------------------简要描述：关于反射型的基本东西，暂时就到这啦，如果后面有什么好的case，再做增补。最近，有些人会问到怎么绕过浏览器的XSS过滤器，所以从这节开始，给出点绕过的例子。当然这些绕过浏览器的方法，不是万能的。不同浏览器，不同场景都会存在差异。满足场景要求时，才可以使用。IE的一些绕过见

作者：心伤的瘦子来自：PKAV技术宅社区网址：http://www.pkav.net----------------------------------------------------------------------------------------------------------简要描述：讲完ExternalInterface.call的第一个参数，我们接着来讲第“2”个参数，之所以2打上引号，因为 call 函数的原型是：call(functionName:String

作者：心伤的瘦子来自：PKAV技术宅社区网址：http://www.pkav.net----------------------------------------------------------------简要描述：除了上一节讲到的navigateToURL/getURL之外呢，另一个经常存在XSS缺陷的as函数就是ExternalInterface.call，此函数作为FLASH与宿主页面javascript通信的接口，一般来说，有“2”个参数，第一个参数为所调用js函数名，后续

作者：心伤的瘦子来自：PKAV技术宅社区网址：http://www.pkav.net---------------------------------------------------------------------------------简要描述：接下来，我们将讲解FlashXss。由于乌云及社会各界的白帽子的上报，腾讯目前已经对绝大多数可能存在问题的Flash进行了修复。使得我在寻找真实案例时着实麻烦了不少。但是为了使得本教程足够完善和系统，我还是很艰难的找出了一些可以参考的例

作者：心伤的瘦子来自：PKAV技术宅社区网址：http://www.pkav.net-------------------------------------------------简要描述：我们教程的DOM XSS就到这里了。最后再给大家送上一个实例。希望大家能够体会到：XSS的上下文非常重要，如何结合上下文，利用未过滤字符，合理的构造，才是成功的关键。哎，近几天相信别人有世界末日，跑到一个方舟里避难去了。结果3天过后，我发现世界还是如此的精彩，如此的辉煌，我就又出来了。咱们继续。

作者：心伤的瘦子来自：PKAV技术宅社区网址：http://www.pkav.net-----------------------------------------------------------------------------简要描述：我不是萝莉con,我是路径con。一些程序员会动态的加载json数据，同域的时候，可以使用ajax；而有时候，数据所在域和当前页面所在域又不一致。所以需要跨域请求。跨域请求数据的手段中，有一种叫做jsonp。用代码表示的话，就是s

作者：心伤的瘦子来自：PKAV技术宅社区网址：http://www.pkav.net----------------------------------------------------------------------------------简要描述：有时候，输出还会出现在 <iframe src="[输出]"></iframe> 。 iframe 的 src属性本来应该是一个网址，但是iframe之善变，使得它同样可以执行javascript，而且可以用不

作者：心伤的瘦子来自：PKAV技术宅社区网址：http://www.pkav.net---------------------------------------------------------------------------------简要描述：前面的教程，说到了显式输出和隐式输出。但是不论怎么样，因为最终javascript都会通过document.write或innerHTML将内容输出到网页中，所以我们总是有办法看到输出到哪里。但是有时候，我们的输出，最终并没有流向inn

作者：心伤的瘦子来自：PKAV技术宅社区网址：http://www.pkav.net----------------------------------------------------------------------简要描述：周末腾讯不上班，我也不工作。周一啦，继续。上一篇开始说Dom Xss了，我们说的是显式输出的情况，即我们可以在右键查看源代码的时候，看到我们所输出的内容。而有一些时候，输出操作我们是看不见的。它们通常发生在javascript代码中。譬如：var x

作者：心伤的瘦子来自：PKAV技术宅社区网址：http://www.pkav.net------------------------------------------------------------------------------------简要描述：反射型XSS部分，就到这里了。接着我们进入DomXss的部分。DomXss相比反射型XSS，脑袋需要多思考一层。也就是说，我们关注的不仅是【输出】了什么，还要了解这个页面里，【javascript】拿这个【输出】干了什么。为了循序

作者：心伤的瘦子来自：PKAV技术宅社区网址：http://www.pkav.net---------------------------------------------------------------------------简要描述：这一次，3个家伙一起上啦～详细说明：1.实例点如下：http://cgi.data.tech.qq.com/index.php?mod=search&type=data&site=digi&libid=2&am

作者：心伤的瘦子来自：PKAV技术宅社区网址：http://www.pkav.net---------------------------------------------------------------------------------简要描述：还是在<script>之间的场景，某些情况下，我们仅仅需要的只是一个换行符，就可以绕过过滤了。它让双引号，尖括号知道了“它们不是一个符号在战斗”。详细说明：1.实际场景是下面这个例子http://datalib.

作者：心伤的瘦子来自：PKAV技术宅社区网址：http://www.pkav.net---------------------------------------------------------------------------------------------------------------------------------简要描述：还是在<script>之间的场景，某些情况下，我们仅仅需要的只是一个反斜线，就可以绕过过滤了。详细说明：1.有以下实例点

作者：心伤的瘦子来自：PKAV技术宅社区网址：http://www.pkav.net----------------------------------------------------------------------------------简要描述：前面教程第2节，说到了输出在<script>..</script>之间的情况。也说到了后面会再继续...

第三节输出在HTML属性里的情况作者：心伤的瘦子来自：PKAV技术宅社区网址：http://www.pkav.net--------------------------------------------------------------------------简要描述：和前面的不一样的时，有时候，输出会出现在HTML标签的属性之中。例如：<inputvalue...

作者：心伤的瘦子来自：PKAV技术宅社区网址：http://www.pkav.net------------------------------------------------------------------------------------------------简要描述：接着上面一个教程，我们继续。这个例子属于第一例的特殊情况，当然也有特殊解法。也属于非常常见的一...

作者：心伤的瘦子来自：PKAV技术宅社区网址：http://www.pkav.net------------------------------------------------------------------------------------------------------------------------------1.XSS的存在，一定是伴随着输入，与输出2个概...