反射性xss:
特点:仅执行一次,非持久性;参数型跨站脚本
主要存在于攻击者将恶意脚本附加到url的参数中,发送给受害者,服务端未经严格过滤处理而输出在用户浏览器,导致浏览器执行代码的数据。
攻击过程:
U经常浏览某个网站A。U使用用户名/密码进行登录,并存储敏感信息(比如银行帐户信息)在网站A中。 H发现A站点包含反射性的XSS漏洞,编写一利用漏洞的URL,并将其冒充为来自A的邮件给U。 U在登录到A的站点后,浏览H供的URL。嵌入到URL中的恶意脚本在U的浏览器中执行,然后在U完全不知情的情况下将这些信息发送到H的Web站点
案例:复现urlcode编码绕过xss限制两个demo
正常情况下:
防御1:
简单分析代码:首先在header的内容,目的是告诉服务器禁用XSS保护,使用的是get方法进行传参,传到的参数通过str_replace函数进行替换,将()& \\ <> ' 替换为空,起到过滤的作用,过滤后得到前台的页面展示。(以上代码较简单,也比较好分析)
为了出现弹窗,那么问题来了,我们可以通过什么方法进行绕过呢?
尝试1:思路就是:先把get方法得到的值先提取出来,正常展示给用户,然后通过添加标签的方式来得到谈床,但这种方式肯定不行,因为在我们防御代码中,已经把标签号<>给过滤掉了,因此是不行的。
尝试2:提取xss元素后,我么可以试试使用onerror函数,οnerrοr=alter(1);但还是不可以,()也被过滤了,alert无法被执行;
尝试3:尝试2后我们再次尝试可不可以将()修改编码格式,使用URL编码;将()修改为:%28 %29;下面图观察到还是不可以,虽然将()转换了,我们的过滤代码都不满足,因此应该是不会有影响的,但不是我们像的那样,还是不可以,我找了下原因,原来是URL编码在浏览器会进行转码,也就是HTML的实体语言,最后进入代码程序,会被转换为()的形式,所以说,这样的方式也不可以实现。
尝试4:可以观察的是url编码都是以%号的形式进行书写的,那我们就可以尝试能不能将%也进行url编码,%url编码为%25.我们发现我们的代码已经修改好了,但是没有执行alter弹窗,所以说也不成功,这个原因是,onerror是js的函数,js是不允许编码符号,
尝试5:以上不行,我们可以使用location函数,将后面的值改为变量,为字符串;变量是可以编码;格式为:οnerrοr=location="javascript:alert(1),这是个小技巧;以绕过xss漏洞。
升级版防御:
简单分析下:再以上基础上添加一个判断机制,要是遇到script、document、cookie、eval、setTimeout、alert字眼,直接就退出;
那我们第一次做的绕过就不起作用了,因为包含了script alert 字眼,系统看到后就会退出;
那我们怎么进行绕过呢?
其实很简单,既然location后面是跟的变量,后面是字符串的格式,那我们可以进行字符串的拼接,躲过这些受限制的字眼。已完成绕过。
以上两个是比较简单的反射型xss,只是说明下url编码的重要性。
扫一扫
1187
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
