浅析一种简单暴力的Xss Fuzz手法
TheKingOfDuck WEB安全 24405浏览 · 2019-05-05 01:08

0x01 前言

xss的定义:

即Cross Site Scripting. 为了与"CSS"不混淆,故简称XSS.

xss的作用:

  • 窃取cookie
  • 伪造请求
  • 钓鱼/蠕虫

xss的挖掘:

见缝就插

透过人工/机器挖掘到xss的方法不计其数,本文也仅研究其中一种。

力求简单暴力有效

0x02 分析

反射型的xss各大厂,SRC均不接收,再聊xss也就只针对储存型的。

常见可存入输入字符串的地方:

邮件、留言、BBS、在线客服、投稿、新建xxx。

常规fuzz测出过滤了哪些字符后,找出没被过滤的字符来进行拼接,构造有效Payload于代码功底弱的人而言是件痛苦且消耗时间的事,那么能不能暴力的解决这个问题?

如果能提前把各种标签触发的xss,各种编码绕过的xss集中在一起来批量测试,那么,能!

基本思路:提前备好大量Payload,批量插入,观察反应,定位有效Payload。

以某邮箱为例:

先换编辑模式未切为Html。(避免被原有标签干扰)

根据弹窗提示,快捷定位到有效的Payload:

0x03 总结

这种方式挖掘存储型xss的速度应该胜过使用工具扫,人工绕过,缺陷也很明显,难以尝试真正新颖的绕过手法,Payload的也需经常更新,保证时效性。

项目地址:

https://github.com/TheKingOfDuck/easyXssPayload

0x04 彩蛋

B:

A:

T:

都是存储型

17 条评论
某人
表情
可输入 255
大挪移1113
2021-11-02 03:08 0 回复

@爱我的灵魂 你来个先进的啊


ratwi****
2020-04-21 08:55 0 回复

hater mother fuck


tra****ping
2020-04-02 04:03 0 回复

大师傅 弱弱问一句xss.py怎么使用


Xm17
2020-01-30 09:16 0 回复

流弊 我是有时候测得烦了 也是一堆上,你这个直接带数字编号 舒服,


丢丢丢丢丢火车
2019-12-31 01:51 0 回复

感谢大佬分享


Zqianvvvvvvvv
2019-09-11 06:40 2 回复

Hater Mother Fuck


kevin_****
2019-06-17 06:08 2 回复

我不会告诉你们博主在readme.md里面大骂杠精的事情,哈哈哈哈,笑死我了,迫不及待注册个账户来评论告诉大家这个事情。


渐忘kong
2019-05-22 03:05 0 回复

大哥,你是把所有的payload都写到编辑框里面了吗?


bj6090****
2019-05-11 04:12 0 回复

表格不错


merc****
2019-05-06 02:45 0 回复

赞博主,最烦那种杠精了,别人无私分享,他在哪里瞎喷


Ph3mf0lk
2019-05-05 12:51 0 回复

已star


playw****@qq.com
2019-05-05 07:08 0 回复

思路不错,感谢分享


TheKingOfDuck
2019-05-05 05:54 0 回复

@roothex 有啥不舒服得注明一下,不能委屈了自己,然后又不能在社区爆cu口,就只能在自己的『地盘』撒野咯。



roothex
2019-05-05 05:39 0 回复

@CoolCat 看到师傅项目的markdown,hhh


TheKingOfDuck
2019-05-05 04:07 2 回复

@爱我的灵魂 嗯,您技术真先进,早八百年就不玩这种东西了。我从未把这个东西当做一个新技术来讨论,仅一种思路而已,本身不含啥新颖的地方,文中都有提到,只是我个人没见到过有谁这样玩,且自己这样玩的确很高效,所以就分享出来了。您技术先进,思路骚包,那请多贡献文章,让大家学习学习。


个人愚见:技术的小跨进本来就是基于思路,基于不同的玩法进行的。漏洞的分类屈指可数,但是玩法不计其数。