什么是XSS

XSS（Cross Site Scripting），跨站脚本攻击。
目标网站目标用户的浏览器，渲染HTML文档过程中，出现非预期脚本指令，并且被执行时，XSS就发生了。

XSS攻击能做什么？

Cookie
攻击者通过document.cookie访问受害者与网站关联的cookie，然后传送到攻击者自己的服务器，接着从cookie中提取敏感信息，如Session ID。

Keylogging
攻击者可以使用addEventListener方法注册用于监听键盘事件的回调函数，并且把所有用户的敲击行为发送到他自己的服务器，这些敲击行为可能记录着用户的敏感信息，比如密码和信用卡密码。

Phishing
攻击者可以通过修改DOM在页面上插入一个假的登陆框，也可以把表单的action属性指向他自己的服务器地址，案后欺骗用户提交自己的敏感信息。

等等……

XSS攻击类型

持续型XSS攻击

恶意文本来源于网站的数据库。

持续型XSS攻击流程原理

反射型XSS攻击

恶意文本来源于受害者的请求。

反射型XSS攻击流程原理

基于DOM的XSS攻击

利用客户端而不是服务端代码漏洞发动攻击。

基于DOM的XSS攻击流程原理

常见输入点

document.URL
document.URLUnencoded
document.location
document.referrer
document.cookie
window.location
window.name
xhr请求回来的数据
表单项的值

常见输出点

直接输出HTML内容

document.write()
document.writeln()
document.body.innerHtml

直接修改DOM树

document.forms[0].action 其他属性集合也可以，例如src、href等
document.attachEvent()
document.create()
document.execCommand()
document.body 通过body访问对象DOM
window.attachEvent()

替换document.URL

document.location
document.location.hostname
document.location.replace()
document.location.assign()
document.URL
window.navigate()

打开或修改新窗口

document.open()
window.open()
window.location
window.location.href
window.location.host
window.location.hostname

直接执行脚本

eval()
window.execScript()
window.setInterval()
window.setTimeout()

常见绕过方法及实例

示例来源：XSS Challenges
XSS最基本的就是闭合标签、可以跨域请求的方法。后面就是绕过姿势、同源和CSP之类的了。
一点一点来，慌不要慌。

输出点在标签之间

关键： 闭合标签，构造新标签。
绕过姿势：
<script src=””></script>
<img onerror="alert()" src= />

实例：

输出点在标签之间

关注一下GIF中用鼠标选中的部分。我们首先随便输入内容search看看，发现源码的变化，输出点在标签之间。在这里输出点为HTML标签。

本题Payload：

1. 通过闭合标签<b>构造payload：
   </b><img onerror="alert(document.domain)" src= />
   

2. 通过在html标签内使用JavaScript标签构造payload：
   <script>alert(document.domain)</script>

输出点在标签属性内

关键： 闭合引号

引号没有被过滤时

绕过姿势：
text" onclick="alert()" />

实例：

输出点在标签属性内_引号未被过滤

输出点在HTML的input标签的value属性值中。

本题Payload: nice" onclick="alert(document.domain)" />

引号被过滤时

绕过姿势：
javascript:alert()

实例：

输出点在标签属性内_引号被过滤

输出在HTML的a标签的harf属性值中，但是引号被过滤。

本题Payload: javascript:alert(document.domain)

注意： 当引号被过滤，并且输出点在属性中时，还可以使用src属性添加外部JS脚本来实现弹框。

尖括号被过滤时

绕过姿势：
在IE环境下，使用``让我们自己设置的属性逃逸出来，不然会被当成字符串。
格式样例： `` onclick=alert()

因为今天IE不知道为啥，瓦特了，这一部分示例就不放了。具体应该是在XSS Challenges的第12关。

关键字被过滤时

绕过姿势：

1. 把被绕过的关键字中的其中一个字母进行hex转义；
2. 在被过滤的关键字中间插入hex转义后的不可见字符，例如制表符、空格等。

实例：

输出点在标签属性内_关键字被过滤

on开头的动作、script关键字、style关键字都被过滤，转义关键字中其中一个字符来实现弹框。

本题Payload: "><a href=javascript:alert(document.domain)>test</a>

今天也是莫得技术，莫得头发，还更不完内容的白小胖。