V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
zjcqoo
V2EX  ›  程序员

一个防 XSS 自动发留言的演示,看看你能不能绕过~

  •  
  •   zjcqoo · 2017-03-05 22:00:25 +08:00 · 2447 次点击
    这是一个创建于 2849 天前的主题,其中的信息可能已经有所发展或是发生改变。

    http://www.etherdream.com/FunnyScript/anti-xssworm/

    游戏规则:在控制台里编写代码,若能自动发出留言,就算成功。

    • 控制台必须是那个页面的 top 环境。(模拟页面中的 XSS 运行)

    • 发表过程自动完成,不能有用户交互。(想象 XSS 自动发留言导致蠕虫)

    10 条回复    2017-03-06 17:26:15 +08:00
    xqin
        1
    xqin  
       2017-03-06 10:25:07 +08:00
    ```
    (function(img){
    img.onload = updateList
    img.src='https://xqin.net/temp/anti-xssworm.php?c=test_' + Math.random()
    })(new Image())
    ```

    这样的算吗?
    zjcqoo
        2
    zjcqoo  
    OP
       2017-03-06 10:47:47 +08:00
    @xqin 后端代理应该不能算~ 这个案例只是为简单,所以不用登陆也可以发表。一般应用都是需要登陆的,代理是不知道用户 token 的。
    xqin
        3
    xqin  
       2017-03-06 10:55:50 +08:00
    `游戏规则:在控制台里编写代码,若能自动发出留言,就算成功。` 不是符合了上面的规则了吗? 又没说不让用后端中转.

    那个 DEMO, 利用 跨域 隔离运行环境, 从 js 层面想触发 click 是不可能了(只能用户主动点), 并通过 `message` 事件来进行交互.
    xqin
        4
    xqin  
       2017-03-06 10:58:38 +08:00
    话说楼主咋换头像了呢 :P
    zjcqoo
        5
    zjcqoo  
    OP
       2017-03-06 11:04:36 +08:00
    @xqin 没有换啊。。。应该是被和谐了。。。
    zjcqoo
        6
    zjcqoo  
    OP
       2017-03-06 11:06:29 +08:00
    好吧,我再加个需要登陆的机制。。。不过这样后端还是可以自动发的。

    我想想,改下游戏规则。用 clickjacking 也算,但也不能太容易
    lauix
        7
    lauix  
       2017-03-06 12:12:44 +08:00
    这也叫防 XSS ???
    zjcqoo
        8
    zjcqoo  
    OP
       2017-03-06 12:55:32 +08:00
    @lauix 防自动发留言
    cyrbuzz
        9
    cyrbuzz  
       2017-03-06 17:18:20 +08:00
    试了一下:
    iframs = document.getElementsByTagName('iframe')
    然后 iframs[1].src = 'http://127.0.0.1/test' (0 也可以。)
    http://127.0.0.1/test 是个用 flask 搭建的页面,页面就是用 python 请求发消息的地址:
    http://cross.etherdream.com/FunnyScript/anti-xssworm/submit.php ,然后就可以发了。

    呃,不知道这样可不可以。
    zjcqoo
        10
    zjcqoo  
    OP
       2017-03-06 17:26:15 +08:00
    @cyrbuzz 这和 1L 是一样的,用代理发送
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1019 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 85ms · UTC 18:27 · PVG 02:27 · LAX 10:27 · JFK 13:27
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.