摘要: 2020年绝大部分研究人员仍在使用的技术
其实,现在网络上很多的XSS Cheat Sheet都已经过期了。很多的XSS Cheat Sheet都是直接从其他地方粘贴过来的,而且有的测试用例早在十年前就已经没用了,但是也没人去整理和清理。除此之外,在大多数情况下我们所遇到的情况都是这些XSS Cheat Sheet测试用例无法解决的,有可能是因为Waf,也有可能是因为XSS过滤器。当然了,如果只是一个简单的XSS漏洞,那你需要的仅仅只是一个有效的XSS攻击向量,而不是一堆“没用”的东西。
因此,在这篇文章中我想给大家提供一个“与众不同”的Cheat Sheet,在这份Cheat Sheet中我将给大家提供一份XSS技术和测试用例清单,并给出一些演示样例。希望在各位遇到难解决的WAF或XSS过滤器时,这份Cheat Sheet能够给大家提供一些帮助或灵感。虽然这份Cheat Sheet不能说100%完整,但是我相信这里提供的技术是2020年绝大部分研究人员仍在使用的技术。
有些过滤器会“天真地认为”只有某些特定字符可以分隔标签及其属性,下面给出的是在Firefox和Chrome中能够使用的有效分隔符的完整列表:
一般来说,你的Payload构造如下:
你可以尝试使用上述字符来替换‘svg’和‘onload’中间的空格,这样就可以保证HTML仍然有效并且Payload能够正确执行(DEMO:有效的HTML):
点击事件:
使用样例:
点击事件:
使用样例:
不幸的是,基于CSS来实现XSS现在已经越来越难了,我尝试过的所有向量目前都只能在非常旧的浏览器上工作。因此,下面介绍的是基于CSS来触发XSS的情况。
下面的例子使用的是style标签来为动画的开始和结束设置关键帧:
下面给出的是一些比较“奇葩”的XSS测试向量,这些测试向量很少见:
下面我给出了几份XSS的多段代码,因为有的时候我们只需要输入特定的字符,或者只需要一个基于DOM或基于非DOM的注入场景。
为了攻击JS框架,我们还需要对相关的模板语言进行研究和分析。
这个Payload适用于大多数场景。
利用HTML解析器和JS语句:
下面这三个站点可以将有效的JS代码转换为所谓的“乱码”来绕过绝大多数的过滤器:
1、JSFuck
2、JSFsck(不带圆括号的JSFuck)
3、jjencode
避免使用的关键词:
对于XSS过滤器来说,它们基本上不可能正确地预测浏览器如何跟HTML以及交互库进行数据处理的方式。因此,有的时候我们就可以将XSS Payload作为无效的HTML插入到目标页面中,然后浏览器将有可能把它作为有效Payload执行,这样就可以绕过过滤器了。
下面给出的是一个能够绕过最常见过滤器(DOMPurify <2.0.1)的mXSS Payload:
有的时候,应用程序会在字符串再次解码之前,对其执行XSS过滤,这样就会给我们留下实现绕过的可乘之机。
1、https://www.vulnerability-lab.com/resources/documents/531.txt
2、https://portswigger.net/web-security/cross-site-scripting/cheat-sheet
3、https://portswigger.net/research/abusing-javascript-frameworks-to-bypass-xss-mitigations
4、https://cure53.de/fp170.pdf
5、https://www.youtube.com/watch?v=5W-zGBKvLxk
6、https://xss.pwnfunction.com/
本文翻译自:https://netsec.expert/2020/02/01/xss-in-2020.html