DEV Community
·
构建强大的XSS多语言有效载荷
💡
原文英文,约400词,阅读约需2分钟。
📝
内容提要
多语言有效载荷利用多种编码、注入和混淆技术,绕过过滤器、混淆解析器,并在HTML、JavaScript、CSS、JSON等不同上下文中触发执行。这些有效载荷通过合并不同的注释样式、使用编码实体、跨多种语言上下文、打破上下文、滥用HTML5元素、注入事件处理程序、结合HTML、JavaScript和CSS、利用SVG和XML功能、协议混淆、使用换行符、多语言结构、UTF-7编码、使用HTML5注入向量、多重关闭和分层等技术来实现。
🎯
关键要点
- 多语言有效载荷利用多种编码、注入和混淆技术绕过过滤器。
- 合并不同的注释样式以混淆解析器。
- 使用HTML或URL编码来绕过过滤器。
- 多语言有效载荷在HTML、JavaScript和CSS等多种语言中有效。
- 从当前上下文中逃逸,如textarea、script或style。
- 滥用现代HTML5元素来执行有效载荷。
- 在HTML标签中注入事件处理程序。
- 结合HTML、JavaScript和CSS的上下文。
- 利用SVG和XML功能进行注入。
- 使用javascript:或data: URL进行有效载荷传递。
- 使用换行符或回车符绕过过滤器。
- 创建跨多种语言有效的有效载荷结构。
- 使用较少见的编码如UTF-7。
- 使用现代HTML5注入向量。
- 通过关闭不同标签来打破嵌套上下文。
- 最佳实践包括多样化攻击向量、编码、事件处理程序、上下文逃逸和最小化有效载荷长度。
🏷️
标签
➡️
