那些年我们一起学XSS.docVIP

目录 1. 什么都没过滤的入门情况 1 2. 输出在lt;scriptgt;lt;/scriptgt;之间的情况 3 3. 输出在HTML属性里的情况 5 4. 宽字节复仇记 [QQ邮箱基本通用] 10 5. 反斜线复仇记 13 6. 换行符复仇记 17 7. 宽字节、反斜线与换行符一起复仇记 19 8. Dom Xss入门 [显式输出] 22 9. Dom Xss入门 [隐式输出] 26 10. Dom Xss进阶 [邂逅eval] 34 11. Dom Xss进阶 [善变iframe] 38 12. Dom Xss进阶 [路径con] 42 13. Dom Xss实例 [Discuz X2.5] 47 14. Flash Xss入门 [navigateToURL] 51 15. Flash Xss进阶 [ExternalInterface.call第一个参数] 56 16. Flash Xss进阶 [ExternalInterface.call第二个参数] 61 17. XSS过滤器绕过 [通用绕过] 67 18. XSS过滤器绕过 [猥琐绕过] 69 19. 存储型XSS入门 [什么都没过滤的情况] 72 20. 存储型XSS入门 [套现绕过富文本] 76 21. 存储型XSS进阶 [猜测规则，利用Flash addCallback构造XSS] 79 1. 什么都没过滤的入门情况 只是些反射型XSS，单单发出来没有什么意义。 只是些反射型XSS，腾讯怎么修都修不完。 只是些反射型XSS，我想让它变得更有价值。 只是些反射型XSS，我拿他们做成了教程。 ? 1. XSS的存在，一定是伴随着输入，与输出2个概念的。 ? 2. 要想过滤掉XSS，你可以在输入层面过滤，也可以在输出层面过滤。 ? 3. 如果输入和输出都没过滤。 那么漏洞将是显而易见的。 ? 4. 作为第一个最基础的例子， 我们拿出的是一个什么都没过滤（其实还是有些转义的，主要没过滤 , ）的例子。 这种例子出现在腾讯这种大网站的概率不是很高。 但是还是让我找到了一个。 ? 5. /?umod=commentsoutletact=countsiteid=3libid=9dataid=1480score=1func=haoping_=1353475261886 ? 6. 对于上面这个例子。我们可以看到什么是输入，什么是输出。 ? ? ? 7. 经过测试，我们发现，score这个【输入】参数，没有进行任何过滤，? ? 即，输入是什么，输出就是什么？ 通俗点就是“吃什么，拉什么”。。。 ? 如下图： ? 网页中看到的效果如下： ? ? 8. 既然可以直接输入 HTML标签，接下来的利用也就相对简单了。 ? /?umod=commentsoutletact=countsiteid=3libid=9dataid=1480score=img src=1 onerror=alert(1);func=haoping_=1353475261886 效果如下：  修复方案： 这种XSS属于最基本的一类XSS,也最好防御。。 ? 它的模型是： ? HTML标签/HTML标签 [输出] HTML标签/HTML标签 或 HTML标签[输出]/HTML标签 a. 通常，我们只需要在输出前，将 , 过滤掉即可。 b. 这类XSS在小型网站中比较常见，在大型网站中少见。? c. 这类XSS通常都被浏览器的XSS过滤器秒杀了，所以一般来说，威力较小。 d. 对于普通用户来说，请使用IE8及以上版本（并开启XSS过滤器功能，默认开启），或chrome浏览器，将可以防御大部分此种类型的XSS攻击 2. 输出在lt;scriptgt;lt;/scriptgt;之间的情况 接着上面一个教程，我们继续。这个例子属于第一例的特殊情况，当然也有特殊解法。也属于非常常见的一种情况。 ? 1. 我们找到这么一个点，也是输入和输出都未过滤的一个点。相比教程第一例，其特殊之处在于，是输出在了 script[输出]/script之间。 ? /common/setParentsInfo.php?callback=aaaaaaaaa ? ? 如下图：callback参数未做过滤。 在【查看源代码】下，我们可以看到。 ? ? ? 缺陷网页源代码: ? script type=text/javascriptdocument.domain=;_ret={_res:2};try{parent.aaa(_ret);}catch(err){aaa(_ret);}/script ? ? 2. 碰到这种情况，我们一般有以下解法。 ? 2.1 首先判断，是否过滤了 , , / 等符号， 2.2 如果都没有过滤，恭喜你，一般可