那些年我们一起学XSS.pdf

目 录 1. 什么都没过滤的入门情况 2. 输出在lt;scriptgt;lt;/scriptgt;之间的情况 3. 输出在 HTML 属性里的情况 4. 宽字节复仇记 [QQ 邮箱基本通用] 5. 反斜线复仇记 6. 换行符复仇记 7. 宽字节、反斜线与换行符一起复仇记 8. Dom Xss 入门 [显式输出] 9. Dom Xss 入门 [隐式输出] 10. Dom Xss 进阶 [邂逅 eval] 11. Dom Xss 进阶 [善变 iframe] 12. Dom Xss 进阶 [路径 con] 13. Dom Xss 实例 [Discuz X2.5] 14. Flash Xss 入门 [navigateToURL] 15. Flash Xss 进阶 [ExternalInterface.call 第一个参数] 16. Flash Xss 进阶 [ExternalInterface.call 第二个参数] 17. XSS 过滤器绕过 [通用绕过] 18. XSS 过滤器绕过 [猥琐绕过] 19. 存储型 XSS 入门 [什么都没过滤的情况] 20. 存储型 XSS 入门 [套现绕过富文本] 21. 存储型 XSS 进阶 [猜测规则 ，利用 Flash addCallback 构造 XSS] 本文档使用 看云 构建 - 2 - 1. 什么都没过滤的入门情况 1. 什么都没过滤的入门情况 1. 什么都没过滤的入门情况 来源 ：1. 什么都没过滤的入门情况 简要描述 只是些反射型 XSS ，单单发出来没有什么意义。 只是些反射型 XSS ，腾讯怎么修都修不完。 只是些反射型 XSS ，我想让它变得更有价值。 只是些反射型 XSS ，我拿他们做成了教程。 详细说明 1. XSS 的存在 ，一定是伴随着输入 ，与输出 2 个概念的。 2. 要想过滤掉 XSS ，你可以在输入层面过滤 ，也可以在输出层面过滤。 3. 如果输入和输出都没过滤。 那么漏洞将是显而易见的。 4. 作为第一个最基础的例子 ， 我们拿出的是一个什么都没过滤 （其实还是有些转义的 ，主要没过滤 , ）的例子。 这种例子出现在 腾讯这种大网站的概率不是很高。 但是还是让我找到了一个。 5. /?umod commentsoutletact countsiteid 3libid 9dataid 1480score 1func haoping _ 1353475261886 6. 对于上面这个例子。我们可以看到什么是输入 ，什么是输出。 7. 经过测试 ，我们发现 ，score 这个 【输入】参数 ，没有进行任何过滤 ，即 ，输入是什么 ，输出就是什 么 ？ 通俗点就是 “吃什么 ，拉什么”。。。 如下图 ： 本文档使用 看云 构建 - 3 - 1. 什么都没过滤的入门情况 网页中看到的效果如下 ： 8. 既然可以直接输入 HTML 标签 ，接下来的利用也就相对简单了。 /?umod commentsoutletact countsiteid 3libid 9dataid 1480score img src 1 one rror alert(1);func haoping_ 1353475261886 效果如下 ： 修复方案 HTML 标签/HTML 标签 [输出] HTML 标签/HTML 标签 或 本文档使用 看云 构建 - 4 - 1. 什么都没过滤的入门情况 HTML 标签[输出]/HTML 标签 a. 通常 ，我们只需要在输出前 ，将 , 过滤掉即可。 b. 这类 XSS 在小型网站中比较常见 ，在大型网站中少见。 c. 这类 XSS 通常都被浏览器的 XSS 过滤器秒杀了 ，所以一般来说 ，威力较小。 d. 对于