XSS 代码审计 2 (转)
trim(string,charlist)函数移除字符串两侧的空白字符或其他预定义字符,预定义字符包括、\t、\n、\x0B、\r以及空格,可选参数charlist支持添加额外需要删除的字符。
漏洞利用message一栏输入<script>alert(/xss/)</script>,成功弹框:name一栏前端有字数限制,抓包改为<script>alert(/name/)</script>:成功弹框:
中级:
strip_tags() 函数剥去字符串中的HTML、XML以及PHP的标签,但允许使用<b>标签。addslashes() 函数返回在预定义字符(单引号、双引号、反斜杠、NULL)之前添加反斜杠的字符串。可以看到,由于对message参数使用了htmlspecialchars函数进行编码,因此无法再通过message参数注入XSS代码,但是对于name参数,只是简单过滤了<script>字符串,仍然存在存储型的XSS。
漏洞利用1.双写绕过抓包改name参数为<sc<script>ript>alert(/xss/)</script>:成功弹框:2.大小写混淆绕过抓包改name参数为<Script>alert(/xss/)</script>:成功弹框:
高级:
可以看到,这里使用正则表达式过滤了<script>标签,但是却忽略了img、iframe等其它危险的标签,因此name参数依旧存在存储型XSS。抓包改name参数为<img src=1 onerror=alert(1)>:
