PortSwigger靶场之Reflected XSS into attribute with angle brackets HTML-encoded通关秘籍

这是一个关于解决跨站脚本攻击 (XSS) 漏洞的靶场。我们的目标是在一个对尖括号进行HTML编码的搜索功能中,通过注入一个HTML属性来触发XSS攻击并调用 alert() 函数。

一、理解漏洞

<form action="/" method="GET">意味着表单提交方式是 GET,请求会拼接参数在 URL 上,如:/?search=1

<input ... name="search" value="1">意味着这是一个搜索框,名为 search,其值是用户输入的内容。

浏览器将 search 参数的值原样放入 HTML 代码中作为 value="..." 属性的内容

接下来,让我们来分析一下这个漏洞。题目说到"角括号被HTML编码"时,这意味着像 <> 这样的字符会被转换成 &lt;&gt;。这通常是一种防御措施,用于防止注入新的HTML标签。例如,如果你尝试输入 <script>alert(1)</script>,服务器会把它变成 &lt;script&gt;alert(1)&lt;/script&gt;,浏览器会把它当作普通文本显示,而不是执行其中的JavaScript代码。

然而,如果应用程序只是对尖括号进行编码,而没有对其他HTML字符(如引号 "',或空格)进行处理,那么它可能仍然存在漏洞。

二、攻击思路

在这种情况下,由于不能注入新的HTML标签,我们需要寻找一种方法来"劫持"一个现有的HTML标签。这通常是通过注入一个新的属性来实现的。

假设搜索框的输入被放在一个 <img> 标签的 src 属性中,例如

html 复制代码
<img src="https://example.com/search_results?q=你的输入">

或者,输入被放在一个 <a> 标签的 href 属性中,例如:

html 复制代码
<a href="https://example.com/search_results?q=你的输入">...</a>

但是本靶场中,我们的输入被直接放入一个HTML标签的属性值中,并且没有对引号进行转义,你就可以通过闭合现有的属性值,然后注入一个新的属性。

例如,如果页面上有这样一个标签:

html 复制代码
<input type="text" value="这里是你的输入">

你的输入 payload为q=" onmouseover="alert(1) 将会被渲染成:

html 复制代码
<input type="text" value="q=" onmouseover="alert(1)">

在这个例子中,value 属性被你输入的 " 闭合了,然后你注入了一个新的属性 onmouseover。当用户将鼠标悬停在这个 input 元素上时,alert(1) 就会被触发。

三、防御措施

这个实验室练习的目的是帮助你理解XSS漏洞的运作方式,以便更好地防御它们。防御此类漏洞的关键是:

  • 对所有用户输入进行正确的HTML编码: 不仅仅是尖括号,还包括引号 (", ') 和其他特殊字符。

  • 使用白名单验证: 如果可能,只允许已知的安全字符和输入。

  • 内容安全策略 (Content Security Policy, CSP): 实施一个严格的CSP,可以阻止来自不信任源的脚本执行。

相关推荐
Y42583 小时前
本地多语言切换具体操作代码
前端·javascript·vue.js
速易达网络6 小时前
Bootstrap 5 响应式网站首页模板
前端·bootstrap·html
etsuyou6 小时前
js前端this指向规则
开发语言·前端·javascript
lichong9516 小时前
Android studio 修改包名
android·java·前端·ide·android studio·大前端·大前端++
cai_huaer6 小时前
BugKu Web渗透之 cookiesWEB
前端·web安全
lichong9516 小时前
Git 检出到HEAD 再修改提交commit 会消失解决方案
java·前端·git·python·github·大前端·大前端++
友友马6 小时前
『 QT 』QT控件属性全解析 (一)
开发语言·前端·qt
不想上班只想要钱7 小时前
vue3+vite创建的项目,运行后没有 Network地址
前端·javascript·vue.js
流***陌7 小时前
手办盲盒抽赏小程序前端功能设计:兼顾收藏需求与抽赏乐趣
前端·小程序
岁月宁静7 小时前
在富文本编辑器中封装实用的 AI 写作助手功能
前端·vue.js·人工智能