安全小课堂九十五期漏洞之挖掘.pdfVIP

安全小课堂第九十五期【web之XSS挖掘】

XSS是一种经常出现在web应用中的计算机安全，它允许web用户将代码植入到提供给其它用户使用的

页面中。比如这些代码包括HTML代码和客户端。

JSRC安全小课堂第九十五期，邀请到gainover作为讲师就web之XSS挖掘为大家进行。感谢子

盆友的提问与互动~

常见的XSS我们都知道分类为反射型，型，Dom型，之前还听一个UXSS，能给大家介绍介绍吗？要怎么

去发现这类XSS

京安小妹gainover：其实这个uxss虽然名字里有xss，但是和我们平时挖的xss是两回事，uxss属于浏览器的，

xss则是web应用的。对uxss，虽然有找过一些，基本也是国产浏览器和国产浏览器的，但是对于ie，

chrome这些的uxss，自认不会。

我大概归为四个小点：一是从代码层面白盒挖掘，需要对开源的浏览器代码非常熟悉才行，

，比如seebug这个list里的；第二，黑盒的，

比如ie的uxss，没有源代码的情况，，比如这个是近年比较经典，也实用的一个；

印象中还有另外一个与activexhtmlfile有关的，这种一般是有参考，就是在这块曾经出现过问题，然

后发现者功底深厚，积累了许多小的trick，形成完整的链条；还有就是浏览器内置的功能页，浏览器插件都是会导

致uxss的，以前测试国内浏览器有这种情况。

讲师测试XSS最常碰到的是，有什么绕过方式？

京安小妹gainover：这个问题其实有点泛了，实际挖掘过程中的话，还是得结合输出点和waf本身的检测规则具体

而论。本身后端waf是个黑盒，如果确定有waf，基本就开始了一个黑盒摸索的过程，我们需要的是摸清楚它的规

则，比如是过滤了关键符号，比如，还是过滤了特定或是特定属性，是多组正则规则，还是仅仅是判断关键

字包含，接着就是靠经验或者fuzz的来尝试绕过规则。

讲师我们知道大部分人对XSS的印象是弹框和盗取，能讲讲XSS的场景吗？比如在内网渗透中的作

用？

京安小妹gainover：按正常推理的话，内网中的作用应该是内网弹窗吧，开个玩笑，其实xss能做什么，取

决于你拿xss下一步做什么，xss只是给你了执行代码的能力，实际利用的话，比如ctf里有过的xss打redis，内

网的信息收集，比如端口开放情况，应用开放情况，再比如借由浏览器做跳板，结合浏览器，远控员工机器。

还有些简单的场景，xss+phishing钓啥的。

我们都知道XSS盲打，甚至说类似beef这种XSS框架，能讲讲其原理吗？

京安小妹gainover：拆开讲，盲打就是我们不知道到底打不打的到，不知道目标代码上下文到底是啥，所以通过考

虑各种可能性，构造出一个大多数时候都可用的xss代码来进试。没记错的话，好像是从乌云上来的，当

时是个雪球网还有一个站的案例，随之而来的还有xssplatform，beef作为国外知名的xss利用框架，其实我

只看过别人写的，但是，实时交互式的xss是非常实用的，既然不愿意用beef，所以我们自己团队是有

开发类似功能的平台。从原理上，我觉得有几个关键点，一是实时，对于现代浏览器，基于websocket来实现，对

于老一些的浏览器，有flash插件的，可以基于flash的socket，再老一些的，可以ajaxpolling，甚至iframe

polling；二是各类利用代码的模块化问题，这包括比如模块代码能否重用，模块的参数等等；三是beef里会有与

metasploit结合，发挥浏览器的，不论是用beef，还是自己开发的，对于使用者来说，我觉得还是熟

悉什么场景能用到xss去解决