Reflected XSS

Reflected XSS into HTML context with nothing encoded

構(gòu)造攻擊腳本：<script>alert(1)</script>
將該腳本輸入到搜索框中

Reflected XSS into HTML context with most tags and attributes blocked

在搜索功能中包含反射型跨站點腳本漏洞，但是使用了Web應(yīng)用程序防火墻（WAF）來防御常見的XSS向量。

構(gòu)造payload：<img src=1 onerror=alert(document.cookie)>
輸入到搜索框，返回"Tag is not allowed"，此payload被阻塞了。
接下來我們將測試哪些標簽和屬性被阻塞了。
將包發(fā)送到intruder模塊，然后將尖括號里的內(nèi)容刪除：img+src%3D1+onerror%3Dalert%28document.cookie%29，在尖括號中間點擊兩次Add§，以創(chuàng)建有效負載位置則search=%3C§§%3E，則開始測試。

查看結(jié)果，發(fā)現(xiàn)除body,custom tags有效負載導(dǎo)致200響應(yīng)之外，所有有效負載均導(dǎo)致HTTP 400響應(yīng)。

返回positions頁面，修改search=%3Cbody%20=§§1%3E，開始測試。
查看結(jié)果，發(fā)現(xiàn)除onresize有效負載導(dǎo)致200響應(yīng)之外，所有有效負載均導(dǎo)致HTTP 400響應(yīng)。

到此可以構(gòu)造攻擊payload：<iframe src="https://ac981f721e8b39ea804614cf008b00ba.web-security-academy.net/?search=%22%3E%3Cbody%20onresize=alert(document.cookie)%3E" onload=this.style.width='100px'>

攻擊完成。

Reflected XSS into HTML context with all tags blocked except custom ones

阻止所有HTML標記（自定義標記除外
構(gòu)造payload：

<script> location = 'https://acd61f451e2b7a7b808700420060005b.web-security-academy.net/?search=%3Cxss+id%3Dx+onfocus%3Dalert%28document.cookie%29%20tabindex=1%3E#x'; </script>

該注入將創(chuàng)建一個ID為的自定義標簽x，其中包含一個onfocus觸發(fā)該alert函數(shù)的事件處理程序。加載頁面后，URL末尾的哈希將重點放在此元素上，從而導(dǎo)致alert有效負載被調(diào)用。

Reflected XSS with event handlers and href attributes blocked

包含一個反映了XSS漏洞的白名單標簽，但是所有事件和錨點href屬性均被阻止
因此我們會注入一個矢量，單擊該矢量，即可調(diào)用該alert函數(shù)。例如：<a href="">Click me</a>

Reflected XSS with some SVG markup allowed

阻止了常見標簽，但錯過了一些SVG標簽和事件
注：SVG 即 Scalable Vector Graphics，是一種用來繪制矢量圖的 HTML5 標簽
輸入標準的xss腳本：<img src=1 onerror=alert(1)>，提示"Tag is not allowed"

在intruder中構(gòu)造search=<§§>，利用標簽集

觀察到所有的有效載荷造成的HTTP響應(yīng)400，除了使用的那些<svg>，<animatetransform>，<title>，和<image>標簽接收到200響應(yīng)。
返回position，將search修改為search=<svg><animatetransform%20§§=1>，利用事件集。

除onbegin有效負載導(dǎo)致200響應(yīng)之外，所有有效負載均導(dǎo)致HTTP 400響應(yīng)。
因此構(gòu)造攻擊payload：
search=%22%3E%3Csvg%3E%3Canimatetransform%20onbegin=alert(1)%3E
攻擊完成。

Reflected XSS into attribute with angle brackets HTML-encoded

存在XSS漏洞，但經(jīng)過了HTML編碼

以轉(zhuǎn)義引用的屬性并注入事件處理程序:"onmouseover="alert(1),將鼠標移到注入的元素上時，它將觸發(fā)警報。

Reflected XSS in canonical link tag

將用戶輸入反映在規(guī)范的鏈接標簽中，并轉(zhuǎn)義了尖括號。/post?postId=1

要解決此問題，攻擊將注入調(diào)用該alert函數(shù)的屬性。
構(gòu)造payload：https://your/?%27accesskey=%27x%27onclick=%27alert(1)
這會將X密鑰設(shè)置為整個頁面的訪問密鑰。當用戶按下訪問鍵時，將alert調(diào)用該功能。

Reflected XSS into a JavaScript string with single quote and backslash escaped

攻擊發(fā)生在帶有單引號和反斜杠轉(zhuǎn)義的JavaScript字符串內(nèi)。
要求會突破JavaScript字符串并調(diào)用該alert函數(shù)。
因此我們可以構(gòu)造payload：search=</script><script>alert(1)</script>
采用重寫繞過js編碼檢測。

總結(jié)

以上是生活随笔為你收集整理的（二）XSS实例的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。