# XSS
---
## 免责声明
`本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关.`
---
**相关文章**
- [XSS 插入绕过一些方式总结](https://blog.csdn.net/qq_29277155/article/details/51320064)
- [XSS 总结](https://xz.aliyun.com/t/4067)
- [WAF的 XSS 绕过姿势](https://www.freebuf.com/articles/web/81959.html)
- [他山之石 | 对 XSS 的一次深入分析认识](https://www.freebuf.com/articles/web/195507.html)
- [minimaxir/big-list-of-naughty-strings](https://github.com/minimaxir/big-list-of-naughty-strings)
- [深入理解浏览器解析机制和 XSS 向量编码](http://bobao.360.cn/learning/detail/292.html)
- [csp 与 bypass 的探讨(译文)](http://wutongyu.info/csp-2015/)
- [XSS绕过某盾](https://xz.aliyun.com/t/6652)
- [xss编码绕过原理以及从中学习到的几个例子](https://0verwatch.top/xss-encodeorder.html)
- [探索XSS利用编码绕过的原理](https://saucer-man.com/information_security/103.html)
- [通过XSS窃取localStorage中的JWT](http://www.arkteam.net/?p=4453)
- [坑死我的HTTPOnly](http://gv7.me/articles/2017/Session-Cookie-without-Secure-flag-set/)
**相关案例**
- [BugBounty:Twitter 蠕虫 XSS](https://xz.aliyun.com/t/5050)
- [T00LS帖子正文XSS](https://www.hackersb.cn/hacker/235.html)
- [The adventures of xss vectors in curious places](https://github.com/Dliv3/Venom)
- [Avast 杀毒软件中 5000 美元的 XSS 漏洞](https://nosec.org/home/detail/3118.html)
- [组合拳出击-Self型XSS变废为宝](https://gh0st.cn/archives/2018-08-28/1)
- [Reflected XSS in graph.facebook.com leads to account takeover in IE/Edge](https://ysamm.com/?p=343)
- [XSS attacks on Googlebot allow search index manipulation](https://www.tomanthony.co.uk/blog/xss-attacks-googlebot-index-manipulation/)
- [挖洞经验 | 看我如何发现亚马逊网站的反射型XSS漏洞](https://www.freebuf.com/articles/web/175606.html)
- [How I alert(1) in Azure DevOps](https://5alt.me/2019/02/xss-in-azure-devops/)
**工具**
- [s0md3v/XSStrike](https://github.com/s0md3v/XSStrike) - XSS 检测工具,效果一般
- 依赖安装
```bash
pip3 install -r requirements.txt
wget https://github.com/mozilla/geckodriver/releases/download/v0.24.0/geckodriver-v0.24.0-linux64.tar.gz
mkdir /usr/local/temp
mv geckodriver /usr/local/temp
PATH=$PATH:/usr/local/temp/
```
- [Usage](https://github.com/s0md3v/XSStrike/wiki/Usage#scan-a-single-url)
```bash
python3 xsstrike.py -u "http://example.com/search.php?q=query"
python3 xsstrike.py -u "http://example.com/search.php?q=query" --fuzzer
python3 xsstrike.py -u "http://example.com/search.php?q=query" --crawl
```
- [faizann24/XssPy](https://github.com/faizann24/XssPy) - Web 应用 XSS 扫描器
- [XSS Fuzzer](https://xssfuzzer.com/fuzzer.html) - payload 生成器
- [hahwul/dalfox](https://github.com/hahwul/dalfox) - 一款基于 Golang 开发的 XSS 参数分析和扫描工具
```bash
cp dalfox /usr/bin/
chmod +x /usr/bin/dalfox
dalfox url http://testphp.vulnweb.com/listproducts.php\?cat\=123\&artist\=123\&asdf\=ff
dalfox url http://testphp.vulnweb.com/listproducts.php\?cat\=123\&artist\=123\&asdf\=ff -b https://hahwul.xss.ht # 单一目标模式
dalfox file url.txt # 多目标模式,从文件读取扫描目标
cat urls_file | dalfox pipe -H "AuthToken: bbadsfkasdfadsf87" # 管道模式
echo "vulnweb.com" | waybackurls | grep "=" | dalfox pipe -b https://hahwul.xss.ht
```
**xss 平台**
- **开源平台**
- [firesunCN/BlueLotus_XSSReceiver](https://github.com/firesunCN/BlueLotus_XSSReceiver) - XSS 平台 CTF 工具 Web 安全工具
- [keyus/xss](https://github.com/keyus/xss) - php 写的个人研究测试用的 xss cookie 攻击管理平台
- **在线平台**
- http://xssye.com/index.php
- **beef**
- 文章
- [浏览器攻击框架 BeEF Part 1](https://www.freebuf.com/articles/web/175755.html)
- [浏览器攻击框架 BeEF Part 2:初始化控制](https://www.freebuf.com/articles/web/176139.html)
- [浏览器攻击框架 BeEF Part 3:持续控制](https://www.freebuf.com/articles/web/176550.html)
- [浏览器攻击框架 BeEF Part 4:绕过同源策略与浏览器代理](https://www.freebuf.com/articles/web/176873.html)
- [浏览器攻击框架 BeEF Part 5:Web应用及网络攻击测试](https://www.freebuf.com/articles/web/176912.html)
默认端口为 3000,默认路径是`/ui/authentication`,默认用户名和密码 beef
**在线测试**
- http://demo.testfire.net/
- https://juice-shop.herokuapp.com/#/search
- https://xsschop.chaitin.cn/demo/
**靶场**
- [XSS 挑战-WalkThrough](../靶场/XSS挑战-WalkThrough.md)
**payload**
- [ismailtasdelen/xss-payload-list](https://github.com/ismailtasdelen/xss-payload-list)
- [masatokinugawa/filterbypass](https://github.com/masatokinugawa/filterbypass/wiki/Browser's-XSS-Filter-Bypass-Cheat-Sheet)
- [bugbounty-cheatsheet/cheatsheets/xss.md](https://github.com/EdOverflow/bugbounty-cheatsheet/blob/master/cheatsheets/xss.md)
- [Cross-site scripting (XSS) cheat sheet](https://portswigger.net/web-security/cross-site-scripting/cheat-sheet)
**Tips**
- **Firefox 关闭 xss 过滤器**
about:config 把 rowser.urlbar.filter.javascript 改为 false
- **chrome 关闭 xss 过滤器**
带参数启动 --args --disable-xss-auditor
---
# Bypass
1. 使用无害的 payload,类似`,,`观察响应,判断应用程序是否被 HTML 编码,是否标签被过滤,是否过滤 `<>` 等等;
2. 如果过滤闭合标签,尝试无闭合标签的 payload `
```
**拼接**
```js
```
**双写关键字**
有些 waf 可能会只替换一次且是替换为空,这种情况下我们可以考虑双写关键字绕过
```js
```
**替换绕过**
过滤 alert 用 prompt,confirm,top['alert'](1) 代替绕过
过滤 () 用 ``代替绕过
过滤空格 用 %0a(换行符),%0d(回车符),/**/ 代替绕过
小写转大写情况下 字符 ſ 大写后为 S(ſ 不等于 s)
**利用 eval**
```js
```
**利用 top**
```js
```
**%00截断绕过**
```js
xss
```
**其它字符混淆**
有的 waf 可能是用正则表达式去检测是否有 xss 攻击,如果我们能 fuzz 出正则的规则,则我们就可以使用其它字符去混淆我们注入的代码了,举几个简单的例子
可利用注释、标签的优先级等
```js
<
<img src=> //因为 title 标签的优先级比 img 的高,所以会先闭合 title,从而导致前面的 img 标签无效
```
**编码绕过**
```js
实体编码
javascript:alert(1) 十六进制
javascript:alert(1) 十进制
Unicode编码绕过
url编码绕过
Ascii码绕过
hex绕过
八进制
base64绕过