XSS 跨站&SVG&PDF&Flash&MXSS&UXSS&配合上传&文件添加脚本

#MXSS : https://www.fooying.com/the-art-of-xss-1-introduction/
#UXSS : Universal Cross-Site Scripting(一般是浏览器自身的问题)
UXSS 是利用浏览器或者浏览器扩展漏洞来制造产生 XSS 并执行代码的一种攻击类型。
MICROSOFT EDGE uXSS CVE-2021-34506
Edge 浏览器翻译功能导致 JS 语句被调用执行
https://www.bilibili.com/video/BV1fX4y1c7rX
#SVG-XSS(一般svg等格式文件不会被过滤 所以 可以进行文件上传 所以 可以添加代码 进行xss)
SVG(Scalable Vector Graphics) 是一种基于 XML 的二维矢量图格式,和我们平常
用的 jpg/png 等图片格式所不同的是 SVG 图像在放大或改变尺寸的情况下其图形质量不
会有所损失,并且我们可以使用任何的文本编辑器打开 SVG 图片并且编辑它,目前主流
的浏览器都已经支持 SVG 图片的渲染。
<svg xmlns="http://www.w3.org/2000/svg" version="1.1">
<circle cx="100" cy="50" r="40" stroke="black" stroke
width="2" fill="red" />
<script>alert(1)</script>
</svg>
#PDF-XSS(使用pdf编辑器)
1 、创建 PDF ,加入动作 JS(比如添加 app.alert(1))
2 、通过文件上传获取直链
3 、直链地址访问后被触发
项目:迅捷 PDF 编辑器试用版
#FLASH-XSS(可以自己制作swf文件 然后插入代码 进行攻击 或者对swf文件进行反编译 分析触发点 触发js代码)

  • 制作 swf-xss 文件:
    1 、新建 swf 文件
    2 、 F9 进入代码区域
    3 、属性发布设置解析
    // 取 m 参数
    var m=_root.m;
    // 调用 html 中 Javascript 中的 m 参数值
    flash.external.ExternalInterface.call(m);
    触发: ?m=alert(/xss/)
    项目: Adobe Flash Professional CS6
相关推荐
PenguinLetsGo25 分钟前
关于 Android16 MOPS 函数指令非法问题
android
xzkyd outpaper2 小时前
Kotlin中Flow
android·开发语言·kotlin
byte轻骑兵3 小时前
【Bluedroid】bta_av_sink_media_callback(BTA_AV_SINK_MEDIA_CFG_EVT)流程源码分析
android·c++·bluedroid
鹏多多.4 小时前
flutter-完美解决键盘弹出遮挡输入框的问题
android·flutter·ios·前端框架
干一行,爱一行4 小时前
如何在android framewrok dump camera data
android·camera
我命由我123455 小时前
Android Studio 提示信息 ‘equals(““)‘ can be replaced with ‘isEmpty()‘
android·ide·android studio·安卓·android jetpack·android-studio·android runtime
Bryce李小白5 小时前
Flutter实现Android原生相机拍照
android·数码相机·flutter
初学者-Study5 小时前
Android基础(一) 运行HelloWorld
android·helloworld·模拟器运行
BUG创建者6 小时前
openlayer根据不同的状态显示不同的图层颜色
android·java·javascript
用户2018792831676 小时前
浅谈画框ImageView的background和src属性的差异
android