枫少@KillBoy
506,044字数 842阅读2分48秒阅读模式
AI智能摘要
你以为XSS漏洞只是偷个cookie的小把戏?真相令人后背发凉!本文彻底颠覆认知,揭秘XSS的8大隐藏杀招:不仅能窃取账号密码、伪造用户执行删除操作,还能精准定位真实IP、识别安装软件,甚至引爆蠕虫攻击。安全人员常轻视,开发人员总忽视——这个被低估的漏洞,正悄然成为黑客入侵的黄金通道。掌握绕过技巧与HttpOnly防护等实战策略,3分钟内学会加固你的网站防线。立即阅读全文,别让用户的隐私在你眼皮底下蒸发!
— AI 生成的文章内容摘要
对于初了解xss漏洞的人来说,XSS漏洞的危害就是获取受害者的cookie,来进行 ‘cookie劫持’。
XSS漏洞简介
<p>a</p></p><script>alert("1")</script><p>,这个地方的代码就会变成这样:<p></p><script>alert("1")</script><p></p>
第一 cookie劫持:
<script>alert(document.cookie)</script>第二 构造GET或POST请求:
<script>window.location.href='////www.xxx.com/index.php?type=delete&id=1';</script>第三 钓鱼
第四 识别用户浏览器
<script>alert(navigator.userAgent)</script>
第五 识别用户安装的软件
try{var Obj=new ActiveXObject('XunLeiBHO.ThunderIEhelper');}catch(e){//异常}
第六 获得用户真实ip地址
第七 判断用户是否访问某个网站
第八 蠕虫
XSS绕过方式
-
JS编码 -
HTML编码 -
URL编码 -
长度绕过 -
标签绕过(标签闭合,标签优先性) -
window.name利用 -
Flash XSS -
利用Javascript开发框架漏洞 -
利用浏览器差异 -
关键字、函数 XSS防护方法 -
过滤输入的数据,非法字符 -
对数据进行编码转换 -
添加HttpOnly -
输入合法性检查 -
白名单过滤标签 -
DOM XSS防御
作者:codingnote来源:https://codingnote.cc/p/696976/
浙江省杭州市 1F
XSS真能偷cookie,怕死了
陕西省宝鸡市 2F
前几天刚修完一个DOM型XSS,差点把用户token全送出去了。
湖北省武汉市 3F
hhh弹窗IP那段太真实了,本地测试都敢执行script?胆子不小😂
江苏省徐州市 4F
别以为用了Vue就安全,innerHTML一写照样中招,血泪教训。
韩国 5F
这脚本太灵了,直接弹窗
浙江省 B1
@ 紫禁城才子 弹窗是基础操作了,现在都直接发请求到黑客服务器
上海市 6F
别小看,真的能删数据
陕西省咸阳市 B1
@ 贡眉轻语 删数据只是开胃菜,还能发邮件改密码呢
海南省五指山市 7F
我之前也踩过XSS坑
上海市金山区 8F
看完后才明白,XSS还能拿IP,这风险不容小觑
日本 9F
请问payload里直接写window.location会不会被过滤?
香港 B1
@ 量子之瞳 window.location容易被WAF拦,试试用location.assign()绕
广东省东莞市 B1
@ 量子之瞳 这取决于服务器的过滤规则,有的会拦截,有的会直接放行,最好做白名单。
韩国 10F
过滤输入是必须的,但建议加HttpOnly,双保险
重庆市 11F
别只顾防脚本,ActiveX那段也能被利用,老系统要注意
浙江省嘉兴市 B1
@ 幻月之泪 这ActiveX在Win7上真能直接调用,我们内网就中过招
湖南省张家界市 B1
@ 幻月之泪 老IE上ActiveX真是一大雷,我们内网系统就栽过这坑。
上海市 12F
我在项目里用白名单过滤,误报少很多,推荐大家试试
广东省广州市 B1
@ 归途鸟 白名单真香,我们组现在全靠它扛XSS
山东省烟台市 13F
实测下来,利用XSS抓到的navigator信息还能配合浏览器指纹追踪用户,真是让人背脊发凉,安全团队必须把防护提升到框架层面,别只靠前端过滤了 😨
台湾省台南市 14F
前几天刚搞完XSS防护,确实折腾了好久
韩国 15F
这玩意儿在老IE上更危险,ActiveX一调直接沦陷
澳大利亚 16F
求问下DOM型XSS怎么防?前端框架里老踩坑
马来西亚 17F
hhh弹窗IP那段笑死,本地测试都敢跑恶意脚本?
韩国 18F
感觉一般,现在主流框架自带转义,没那么可怕
上海市 19F
navigator.userAgent配合canvas指纹,用户根本藏不住
辽宁省抚顺市 B1
@ 音速幻想 光拿userAgent还不够狠,canvas一上直接精准定位到人了。
江苏省连云港市 20F
蛮好的,不过绕过方式那块能不能再细点?
江苏省苏州市 B1
@ 霜冻法师 绕过方式里JS编码和HTML编码混用那段能不能举个例子?
上海市松江区 B1
@ 霜冻法师 可以看看利用CSS表达式或SVG的image标签,这些都能绕过常规过滤。
四川省泸州市 21F
前几天刚搞完XSS防护,光过滤输入根本不够,还得加CSP头
广东省佛山市禅城区 B1
@ 白夜行者 确实,单靠过滤很容易被绕过,CSP是必装的防线。
湖南省长沙市 22F
感觉一般,现在React/Vue默认转义,除非手写innerHTML才容易出事
北京市 23F
别小看,真的能删数据,我们测试环境就被清过库
广东省广州市 24F
hhh本地跑恶意脚本还弹IP,胆子真大😂
台湾省台北市 25F
这篇提醒得挺到位的。
辽宁省沈阳市 26F
看到那段弹IP的图,直接笑出声 😂
山东省济宁市 27F
文章里提到的CSP配置,有没有推荐的默认策略?
台湾省 28F
其实还有一种绕过方式是利用SVG的onload属性,值得注意。
北京市 29F
我之前的项目也被XSS删库,真是血的教训。
北京市 30F
那段展示本地IP的例子,感觉作者在炫技,实际攻击场景可能更隐蔽。
印度 31F
防护思路挺实用。
上海市 32F
说现在框架自带转义就安全,这种想法有点盲目,仍需审计。
台湾省新竹市 33F
又是标题党,干货其实挺多。
河南省郑州市 34F
从cookie劫持到获取IP再到指纹追踪,XSS的危害链条比想象中长得多,建议在输入过滤之外,还要配合内容安全策略和HttpOnly标记,才能更全面防御。
河北省唐山市 B1
@ 慢调人生 CSP+HttpOnly确实得一起上,单靠过滤输入太容易被绕过了。
北京市 35F
XSS还能搞蠕虫啊,有点吓人
江苏省 36F
求问下白名单具体怎么配?试了几次总漏掉奇怪标签。
山东省济南市 37F
这玩意儿在测试环境跑还行,生产敢这么搞早被审计揪出来了。
印度 38F
之前就栽在这上头了,IP泄露那块儿