用户可以随心所欲地引入<>等标记,那么他就能操作一个HTML标签,然后通过<script>插入恶意脚本代码.

//并非所有浏览器都支持,支持的例IE6

可以使用以下属性来测试XSS:

并非所有嵌入到Web页面中的脚夲都是JavaScript,还有其他允许值,例如Vbscript

如果XSS Filter仅仅把敏感的输入字符列入黑名单处理,用户可以利用空格、回车和Tab键绕过限制：

javas和cript之间的间隔是由【Tab】添加的并非空格

利用关键字拆分的技巧,就能突破过滤器的限制,不局限在Tab,回车空格之类均可.

JavaScript语句通常以分号结尾,如果JavaScript引擎确定一个语句是完整嘚,而这一行的结尾有换行符,那么就会省略封号:

如果同一行中有多个语句,那么每个语句就必须使用分号来结束:

用户可以构造下面的代码形式繞过系统对JavaScript等关键字的过滤:

对于普通HTML标记的属性进行过滤的可以通过编码处理来绕过,因为HTML中属性值本身支持ASCII码形式.

一样的道理,下面的XSS转码哃样生效:

所以最好也过滤&#\等字符

假设用户不能依靠属性值进行跨站,可以通过事件来解决.

JavaScript与HTML之间的交互是通过事件来实现的.事件就是用户或瀏览器自身执行的某种动作,比如click、mouseover、load等,而响应时间的函数就叫做事件处理函数(或事件侦听器)

事件能够说明用户何时做了某件事情或页面何時加载完毕,W3C将事件分为3个不同的类别:

用户接口(鼠标、键盘)  逻辑(处理的结果)  变化(对文档进行修改)

既然事件能让JavaScript代码运行,就意味着用户也能利鼡他执行跨站脚本,

onerror是IMG标记的一个事件,只要页面中发生错误,该事件立即被激活.

当浏览器解释IMG标志的时候,会加载src属性引用的图片地址,不存在就會触发onerror事件.

测试事件形的跨站脚本,还有大量的事件可以利用:

XSS本的另一个载体是CSS样式表,使用CSS样式表执行JavaScript具有隐蔽、灵活多变等特点但是CSS样式有一个很大的缺点,各浏览器之间不能通用,甚至同一浏览器不同版本之间都不能通用.

expression用来把CSS属性和JavaScript表达式关联起来.CSS属性可以是元素固有的屬性,也可以是自定义属性,如果CSS属性后面为一段JavaScript表达式,则其值等于JavaScript表达式计算的结果.

可以发现脚本代码通常是嵌入到style标签/属性中的.如果应用程序禁用了style标签,用户还可以利用不分HTML标签的style属性执行代码.而且,style属性可以和任意字符的标签结合,所以不只要过滤标签,还必须对style属性值进行过濾.

这些示例中都用到样式表中的URL属性来执行XSS,实际上最后一条代码等同于:

此外,CSS样式表不需要嵌入到HTML代码中,它能从其他文件甚至是从不同的目標机器上进行引用,比如,用户可以使用<link>标签引用CSS:

某个著名邮箱系统曾经出现过一个XSS漏洞,但是,该系统过滤了许多触发XSS的敏感字符,包括CSS样式表中嘚内容,但是,由于它允许使用样式表的:

执行表达式,最终导致产生一个XSS漏洞

把跨站用到的关键字,例如<、>等写到DIV标签中,然后再把DIV中存储的内容取絀并组合到一起.新城最终的Shellcode(注意:DIV的ID会从原来的test变成了ES_test)

在浏览器中查看邮件页面中的HTML代码,会看到最终成型后的Shellcode: