DVWA之反射型XSS代码审计

DVWA之反射型XSS代码审计目录lowmediumhighimpossible从整个cms的角度去分析这个漏洞low前端代码如下。定义了一个表达以get的方式发送请求形式为?name=。然后包含了一个$html的变量源码如下。array_key_exists()函数检查某个数组中是否存在指定的键名,如果键名存在则返回true,如果键名不存在则返回false。$_GET为超全局变量。直接将输入的name值赋值给变量$html然后前端再引用这个变量,所以触发xss<?php.

大家好,又见面了,我是你们的朋友全栈君。

目录

low

medium

high

impossible


从整个cms的角度去分析这个漏洞

low

前端代码如下。定义了一个表单以get的方式发送请求形式为?name= 。然后引用了一个$html的变量 

DVWA之反射型XSS代码审计

$html所在文件源码如下。array_key_exists() 函数检查某个数组中是否存在指定的键名,如果键名存在则返回 true,如果键名不存在则返回 false。$_GET为超全局变量。

直接将输入的name值赋值给变量$html然后前端再引用这个变量,所以触发xss

<?php

header ("X-XSS-Protection: 0");

// 如果$_GET中存在'name'这个键,说明点击了form表达的提交按钮。$_GET就是以数组的形式保存变量
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
	// Feedback for end user
	$html .= '<pre>Hello ' . $_GET[ 'name' ] . '</pre>';
}

?

medium

可见在低级的基础上增加了str_replace()函数,将用户的输入中<script>关键字进行了过滤,所以可以考虑双写关键字进行绕过。我们也知道构造xss有以下几种方式,所以我也可以利用第二种和第三种方式进行弹窗

  • 利用<script>标签构造
  • 利用js伪协议:<a href=”javascript:alert(/xss/)”>touch me</a>
  • 利用html事件

DVWA之反射型XSS代码审计

 1. 双写<script>绕过

<scr<script>ipt>alert(/xss/)</scr<script>ipt>

2. 利用伪协议

<a href="javascript:alert(/xss/)">touch me</a>

 DVWA之反射型XSS代码审计

3. 利用html事件

<input type="button" onclick="alert(/xss/)" value="点我!">

 DVWA之反射型XSS代码审计

high

在中级的时候只是对<script>关键字进行了一次过滤,这里使用正则表达式对<script中的每一个词进行了无限次过滤,所以这里不能双写绕过。但是我们可以使用伪协议和产生html事件进行弹窗,和上一样 

DVWA之反射型XSS代码审计

impossible

可以看出多了user_token和session_token,这是防csrf的,因为经常是xss+csrf结合攻击。然后他对我们输入的内容用htmlspecialchars() 函数进行处理。这里主要看htmlspecialchars() 就行

DVWA之反射型XSS代码审计

htmlspecialchars()

htmlspecialchars()函数是使用来把一些预定义的字符转换为HTML实体,返回转换后的新字符串

  • &       转换为&amp
  • ”        转换为&quot
  • ‘         转换为成为 
  • <       转换为&lt
  • >       转换为&gt

xss构造的几种方式

  • 利用<script>构造,<>被转换了所以不行
  • 利用伪协议,需要用到<和单引号或者双引号,所以不行
  • 利用html事件,也需要用到<和单引号或者双引号,所以不行

如下,我们选中然后右键查看选中部分源码,发现被转换了,所以确实是impossible

DVWA之反射型XSS代码审计

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/137360.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)
blank

相关推荐

  • php behaviors,YII框架行为behaviors用法示例[通俗易懂]

    php behaviors,YII框架行为behaviors用法示例[通俗易懂]本文实例讲述了YII框架行为behaviors用法。分享给大家供大家参考,具体如下:文件frontend/libs/FilterTest.php/***CreatedbyPhpStorm.*Date:2016/5/27*Time:14:16*/namespacefrontend\libs;useYii;useyii\base\Action;useyii\base\Actio…

    2022年10月26日
  • AndroidStudio/Eclipse/keytool 如何获取 SHA1 值?

    AndroidStudio/Eclipse/keytool 如何获取 SHA1 值?

  • 简述TCP四次挥手

    简述TCP四次挥手四次握手主要用到了两个标志位(ACK&FIN):ACK示意参考:TCP三次握手FIN:终止数据传输标志位—->当FIN为1的时候代表此数据为终止断开连接的请求四次挥手流程:由于TCP连接是双向传输的对等的模式即双工wiki百科定义:全双工(full-duplex)的系统允许二台设备间同时进行双向资料传输。全双工的系统可以用复线铁路类比。两个方向的车辆因使用不同的轨道,因此不会互相影响。一般的电话、手机就是全双工的系统,因为在讲话时同时也可以听到对方的声音意思是说

  • 大疆对手–派若特Parrot AR.Drone无人机详细拆解解决方案测评

    大疆对手–派若特Parrot AR.Drone无人机详细拆解解决方案测评法国的派若特Parrot在消费无人机领域的千年老二,大疆深圳华强北优势太厉害。其实派若特Parrot的技术还是领先的,在光流和超声波的应用上是比较前沿的。今天小编就拆解ParrotAR.Drone2.0的这款飞机详细的看下他的解决方案,说不定可以受到启发用于我们飞控研发设计工作喔!不得不说这个飞机安全性非常高,就是空心杯电机,转速较低,机身采用泡沫塑料可是方便的替

  • 香农编码的matlab实现实验总结_香农编码C语言

    香农编码的matlab实现实验总结_香农编码C语言设计shannon编码方法,实现香农编码并算出编码效率实验三香农编码一、[实验目的]1、理解香农第一定理指出平均码长与信源之间的关系;2、加深理解香农编码具有的重要的理论意义。二、[实验环境]windowsXP,MATLAB7三、[实验原理]香农第一定理:设离散无记忆信源为Ss1P=p(s1)熵为H(S),其N次扩展信源为s2…..sqp(s2)….p(sq)SNα1=…

  • 简述ajax的实现原理_fluidsim实例讲解

    简述ajax的实现原理_fluidsim实例讲解AJAX即“AsynchronousJavascriptAndXML”(异步JavaScript和XML),是指一种创建交互式网页应用的网页开发技术。AJAX是一种用于创建快速动态网页的技术。通过在后台与服务器进行少量数据交换,AJAX可以使网页实现异步更新。这意味着可以在不重新加载整个网页的情况下,对网页的某部分进行更新。解决传统的网页(不使用AJAX)如果需要更新内容,必须重载整个网页页面。

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号