HowToHunt项目中的跨站脚本问题挖掘技术详解

HowToHunt项目中的跨站脚本问题挖掘技术详解

HowToHunt Collection of methodology and test case for various web vulnerabilities. 项目地址: https://gitcode.com/gh_mirrors/ho/HowToHunt

前言

跨站脚本问题是Web安全领域中最常见且需要重视的问题之一。本文将基于HowToHunt项目中的XSS检测方法，系统性地介绍反射型、存储型、盲注型以及DOM型XSS的检测技术与实战技巧。

反射型XSS检测方法

反射型XSS是最常见的XSS类型，攻击脚本通过URL参数等方式注入并反射到页面中执行。以下是五种高效的检测方法：

1. 使用Burp Suite自动化检测

1. 安装Reflection和Sentinel插件
2. 对目标站点进行爬取和内容分析
3. 检查Burp中的反射参数标签页
4. 使用Sentinel插件或手动验证可疑参数

2. 结合历史URL数据挖掘

1. 使用工具收集目标站点的历史URL记录
2. 使用grep "="过滤出含参数的URL
3. 使用专用工具扫描反射参数
4. 手动验证或使用自动化扫描工具深入检测

3. Google Dork高级搜索

1. 使用site:target.com限定搜索范围
2. 添加参数特征搜索条件，如：
   • site:target.com inurl:".php?"
   • site:target.com filetype:php
3. 检查参数值是否反射到HTML源码中
4. 尝试注入测试载荷

4. 源码隐藏变量挖掘

1. 分析JS文件和HTML源码
2. 搜索var=, ="", =''等特征
3. 将发现的变量附加到URL参数中测试

5. 综合检测方法

1. 结合前几种方法收集URL
2. 使用WAF识别工具分析防护规则
3. 查找WAF绕过技术
4. 使用参数发现工具探测隐藏参数

存储型XSS检测方法

存储型XSS的影响更大，因为攻击脚本会被持久化存储。检测要点包括：

1. 先识别WAF规则并选择合适载荷
2. 在注册表单各字段测试(用户名、地址等)
3. 测试文件上传功能(文件名、文件内容)
4. 全面测试评论区等用户交互区域
5. 注册时使用含XSS载荷的用户名

盲注型XSS检测技巧

盲注型XSS没有直接反馈，需要依赖外部服务器接收回调：

1. 使用能触发外部请求的载荷
2. 搭建监听服务器接收回调
3. 重点测试联系表单等交互功能

常见测试位置包括：评论系统、联系页面、密码字段、地址栏、用户代理头等。

DOM型XSS检测建议

DOM型XSS较难检测，建议：

1. 使用专业扫描工具自动化检测
2. 分析前端JavaScript代码逻辑
3. 关注URL片段(#后内容)的处理

XSS绕过技术精要

编码绕过技巧

1. 使用HTML实体编码：<代替<
2. 尝试XSS多态载荷
3. 使用双重编码：%2522代替引号

WAF绕过实战

1. 大小写混合：<scRipT>alert(1)</scRipT>
2. 插入换行符：<script>%0alert(1)</script>
3. 递归过滤绕过：<scr<script>ipt>alert(1)</script>
4. 无空格注入：<a/href="j&Tab;a&Tab;v&Tab;asc&Tab;ri&Tab;pt:alert(1)">
5. 改变请求方法：GET改为POST

专业建议

1. 不要忽略错误页面(403/404)，可能包含反射值
2. 每个反射参数都应测试
3. 对于存储型XSS，先尝试注入简单HTML标签
4. 盲注型XSS需要耐心，全面覆盖所有输入点

通过系统性地应用这些方法和技术，安全研究人员可以有效地发现各种类型的XSS问题，提升Web应用的安全性。

HowToHunt Collection of methodology and test case for various web vulnerabilities. 项目地址: https://gitcode.com/gh_mirrors/ho/HowToHunt