cdr里做网站超级链接,多个网站做计划,怎么才算完成一个网站,手机网站一定要与pc网站一样XSS#xff08;跨站脚本#xff09;概述Cross-Site Scripting 简称为“CSS”#xff0c;为避免与前端叠成样式表的缩写CSS冲突#xff0c;故又称XSS。一般XSS可以分为如下几种常见类型#xff1a;1.反射性XSS;2.存储型XSS;3.DOM型XSS;XSS漏洞一直被评估为web漏…XSS跨站脚本概述Cross-Site Scripting 简称为“CSS”为避免与前端叠成样式表的缩写CSS冲突故又称XSS。一般XSS可以分为如下几种常见类型1.反射性XSS;2.存储型XSS;3.DOM型XSS;
XSS漏洞一直被评估为web漏洞中危害较大的漏洞在OWASP TOP10的排名中一直属于前三的江湖地位。
XSS是一种发生在前端浏览器端的漏洞所以其危害的对象也是前端用户。
形成XSS漏洞的主要原因是程序对输入和输出没有做合适的处理导致“精心构造”的字符输出在前端时被浏览器当作有效代码解析执行从而产生危害。
因此在XSS漏洞的防范上一般会采用“对输入进行过滤”和“输出进行转义”的方式进行处理:输入过滤对输入进行过滤不允许可能导致XSS攻击的字符输入;输出转义根据输出点的位置对输出到前端的内容进行适当转义;pikachu之XSS反射型xss(get)问我喜欢的NBA球星那必然牢大然后直接出来页面。尝试随便输入123我们发现输入的内容全都会出现在页面上。想直接构造scriptalert(1)/script但是发现一个问题这个框框太小了不够用...于是我们打开控制台找到框框的位置将框框的20改为100如下这次就能输入了弹框成功。或者可以在url的参数进行操作令参数scriptalert(1)/script弹框即可反射性xss(post)点击提示直接登录再次填入kobe。这道题跟上题一样填入paylaod直接弹框不再多说。存储型xss依旧输入scriptalert(1)/script反复刷新页面依然弹窗说明存储型xss是永久型的。
DOM型xss这道题我们随便输入一个发现下面生成了超链接但是是一个空超链接无论我们输入什么都是这几个字。接下来输入百度网址点击超链接发现可以跳转百度。那么猜测结构可能是a href我们的输入what do you see?/a这样的话输入 45查看有没有闭合成这样a src 45what do you see?/a假如成功闭合那么超链接的文本应该变成45what do you see?可惜没有。尝试将双引号换成单引号成功。输入 οnclickalert(1)45按理来说结构变成这样应该点击一下就会弹框。a src onlickalert(1)45what do you see?/a成功。DOM型xss-x这里随便输入然后点击请说出你的伤心往事然后下面又出现了一个超链接。点击超链接然后又出现了一个超链接并且url参数位置出现了一个#符号。试着将输入改为http://www.baidu.com然后点击请输入你的伤心往事发现url参数增加了我们输入的链接。点击下面超链接然后点击出现的另外一个就让往事都随风都随风吧超链接成功跳转百度。构造paylaod οnclickalert(1)最终点击就让往事都随风都随风吧成功弹窗。源代码如下这里其实就是我们输入 οnclickalert(1)内容会出现在url参数位置即text οnclickalert(1)#然后点击请说出你的伤心往事然后就会执行domxss()函数这个函数中的var str window.location.search就是首先将url的参数从?到最后或者#但是不返回#赋给str也就是str?text οnclickalert(1)然后这里var txss decodeURIComponent(str.split(text)[1]);就是将str的内容按照text进行分隔然后存入数组。如[ ?, οnclickalert(1) ]然后提取[1]位置也就是 οnclickalert(1)并且赋值给txss使用decodeURIComponent()对经过URL编码的字符串进行解码。然后将txss的所有号换成空格随后赋值给xss。然后是最关键的document.getElementById(dom).innerHTML a hrefxss就让往事都随风,都随风吧/a;它会将a hrefxss就让往事都随风,都随风吧/a;赋值给我们的名为dom属性的内容而xss就是 οnclickalert(1)所以就是将a href οnclickalert(1)就让往事都随风,都随风吧/a;赋值给dom而dom就是一个显示内容的地方也就是显示出来就让往事都随风,都随风吧这个链接点击就会弹窗。
window.location.search这是浏览器提供的一个属性它返回当前页面URL中从问号 ? 开始到末尾或到#锚点不返回最后的#的部分也就是查询字符串Query String。示例如果当前页面的URL是 https://example.com/vulnerable-page?textscriptalert(xss)/scriptother123那么 window.location.search 的值就是 ?textscriptalert(xss)/scriptother123。
document.getElementById(dom).innerHTMLdocument代表整个HTML网页文档。.getElementById(dom)获取元素。这是一个方法用于在 document 中查找一个 id 属性为 dom 的HTML元素。.innerHTML获取或设置元素的HTML内容。这个属性代表该元素内部的所有HTML代码。
document.getElementById(dom).innerHTML a hrefxss就让往事都随风,都随风吧/a;在页面上找到一个ID为 dom 的元素然后把它里面的所有内容替换成一个新的超链接。这个新链接的地址href来自于变量 xss 的值链接显示的文本是“就让往事都随风,都随风吧”。
xss之盲打这道题两个框都输入弹框js脚本发现页面底下就出现了谢谢参与。。。没什么返回点击提示进入后台界面然后登录管理员账号登录后台的时候弹框了。这种就是xss盲打攻击者无法看到攻击是否成功当管理员访问后台的时候就会执行输入的攻击脚本。xss之过滤思路一首先输入scriptalert(1)/script发现返回。任意输入几个字符发现会原样返回那么肯定我们输入的payload某被过滤了。输入sad试一下发现被过滤。输入babc/b发现b起作用了abc进行了加粗那么到这里其实可以猜测出系统可能使用了白名单经过测试simg src,a href/a也可以存活。既然img src可以存活那么我们可以构造一个payload试一试payload:img src1 οnerrοralert(1) ##因为图片的地址不正确导致报错从而导致onerror事件触发其中onerror其实也可以替代成onclick事件通过点击图片触发弹框事件。其实a超链接标签也存活那么也可以想到一个思路构造payloadpayload:a href# οnclickalert(1)链接/a其中#是一个占位符它的作用有1.让这个 a 标签保持一个合法链接的样式和行为鼠标变成小手有链接颜色但阻止它进行真正的页面跳转。2.当用户点击这个链接时浏览器会将页面滚动到顶部因为 # 代表页面顶部锚点可以使用s标签payloads οnclickalert(1)123 ##点击划线123即可触发。思路二我们输入on/() script img href src查看一下回显发现回显这样。然后一个一个的进行测试输入测试输入测试...最终发现如果单个输入的话那么全部都可以输出这里就要大胆猜测一下了为什么全部输入的时候script后面的保存完好呢当然肯定不是单独过滤了script因为直接输入script的话可以输出。反正肯定跟script有关。尝试输入script,script,script,script,()script,/script...接下来发现除了script以外所有的组合全部都没有被过滤。尝试输入55bf58script在和script之间混合数据最后发现无论混合多少数据或者不加入数据都会被过滤那么大胆猜测过滤了.*script。可以考虑大小写绕过payload:sCriptalert(1)/sCriptsCriptprompt(/xss/)/sCript sCriptprompt(xss)/sCript sCriptprompt(xss)/sCriptsCriptconfirm(1)/sCript这里既然不能使用script就开始考虑别的如s,img标签这里不在赘述。xss之htmlspecialchars思路一输入scriptalert(1)/script发现竟然把我记录了当看到这种超链接那么背后肯定是有a标签的。查看页面源代码发现都被编码了因此这关想闭合标签是不行了。但是发现单引号没有被html编码所有可以考虑闭合单引号。payload# οnclickconfirm(/xss/)或者# οnclickconfirm(/xss/)闭合单引号。思路二可以之间修改前端代码尝试然后点击超链接发现弹框。htmlspecialchars()的作用就是把预定义的字符转换为了HTML实体。预定义的字符如下成为 amp;成为 quot;成为 #039;或apos;成为 lt;成为 gt;htmlspecialchars()函数默认是不对单引号进行转义的要想连单引号一起转义需要给函数传入参数ENT_QUOTES所以一般情况下如果遇到htmlspecialchars()函数的话考虑一下单引号的闭合从而进行攻击。
ENT_COMPAT默认编码但是编码双引号不编码单引号
ENT_QUOTES编码双引号和单引号
ENT_NOQUOTES不编码任何引号xss之href输出思路一首先输入百度网址看一下怎么个事然后点击下面超链接跳转到了百度页面这道题一想就可以知道在a标签上面做手脚。检查代码然后在这里发现了我们输入的网址。更改为这样a href# οnclickconfirm(xss)...点击超链接发现弹框。思路二同样也可以在输入框构造但是经过我的测试,,,都被htmlspecialchars()函数编码了那么想要通过闭合的方法好像行不通了。这里可以利用JavaScript协议。payload
javascript:alert(document.cookie)
javascript:prompt(document.cookie)
javascript:confirm(document.cookie)输入后点击超链接发现提取了我的cookie。解析javascript: 这是一个伪协议表示接下来的内容是 JavaScript 代码可以在当前页面的上下文中执行。
document.cookie: 这是一个 JavaScript 表达式用于获取当前页面的 Cookie 值。Cookie 是一种用于在客户端和服务器之间存储数据的机制它可以用于标识和跟踪用户会话状态。xss之js输出xss之js输出输入scriptalert(1)/script页面没变化但是查看页面源代码我们发现了下面的一段javascript的if语句其中ms的内容就是我们输入的内容。这里尝试闭合构造;alert(1);//完整闭合如下通过//将;进行注释
如果不注释;的话那么语句是$ms;alert(1);;在红色部分语句可能会发生错误。
$ms;alert(1);//; 因为alert(1)本身就在javascript脚本中所以会直接执行。
