js判断字符串包含某个字符串-看我如何利用JavaScript全局变量绕过XSS过滤器

译文仅供参考，具体内容表达以及含义原文为准

◆◆◆ ◆◆

js判断空白字符_js 中如何判断包含字符_js判断字符串包含某个字符串

写在前面的话

如果你发现你的攻击目标存在XSS漏洞，但是你所有的漏洞利用尝试似乎都被XSS过滤器（或输入验证和Web应用防火墙规则）屏蔽掉了的话，那你该怎么办？非常好，在这篇文章中，我们将告诉大家如何利用JavaScript全局变量来绕过这些XSS安全防护机制。

接下来，我们将讨论利用反射型或存储型XSS漏洞的各种可能性，并绕过我们与目标站点之间的XSS过滤器或防火墙。而在我们看来，其中一种最为有效的绕过方法就是利用类似self、document、this、top或window这样的全局变量。

注意：在接下来的Payload测试过程中，我主要使用的是PortSwigger Web Security Academy实验平台，但是你也可以使用浏览器自带的JavaScript控制台来进行测试。

前期准备工作

JavaScript全局变量到底是“何方神圣”？

根据javapoint.com的介绍：一个JavaScript全局变量必须在函数外声明，或与窗口对象一起声明，并且能够被任何函数访问。

我们假设，你的目标Web应用程序（某个JavaScript字符串或JavaScript函数存在安全问题）存在反射型XSS漏洞。那么，请大家先看看下面这段PHP脚本代码：

echo "var message = 'Hello ".$_GET["name"]."';alert(message);";

大家可以看到js判断字符串包含某个字符串，这里的“name”参数存在漏洞。但是在我们的演示样例中，目标Web应用程序设置了一个过滤器来防止他人利用“document.cookie”这个字符串来作为用户输入数据，过滤器使用的正则表达式形如“/document[^.].[^.]cookie/”。大家先看看下面这些Payload：

js判断字符串包含某个字符串_js判断空白字符_js 中如何判断包含字符

在这里，JavaScript全局变量可以用来绕过这个过滤器。我们有很多种方法来从window对象或self对象中访问到document.cookie，比如说，“window[“document”][“cookie”]”就不会被这个过滤器过滤掉：

js 中如何判断包含字符_js判断空白字符_js判断字符串包含某个字符串

js判断字符串包含某个字符串_js 中如何判断包含字符_js判断空白字符

大家可以从上面的截图中看到，我们可以利用“self“alert”;”（该语句的作用等同于“alert(“foo”);”）这样的语句来访问任何一个JavaScript函数。这种类型的语句可以帮助我们绕过很多存在安全问题的过滤器。很明显，我们几乎可以在任何地方通过注释的方式来使用这种类型的语句：

(/* this is a comment */self/* foo */)[/*bar*/"alert"/**/]("yo")

js判断空白字符_js判断字符串包含某个字符串_js 中如何判断包含字符

关于“self”对象

Window.self的只读属性可以将window对象本身以WindowProxy返回，它能够以“window.self”或直接是“self”的形式来使用。这种单独标注的使用形式有点就在于它跟非window对象的使用场景很相似，使用“self”，我们就可以尝试找到非window对象的使用场景，因为“self”会被解析为“window.self”。比如说Web Workers，在worker场景下，“self”将会被解析为“WorkerGlobalScope.self”。【参考资料】

我们可以利用以下对象来调用任何一种JavaScript函数：

windowself_selfthistopparentframes

1、字符串连接和十六进制转义序列

目前，在绕过Web应用防火墙规则时，最常见的一种技术就是字符串连接。这种方式不仅适用于远程代码执行和SQL注入攻击，而且同样适用于JavaScript场景。

现在有很多Web应用防火墙所使用的过滤器是基于JavaScript函数名列表来实现的，而这种类型的过滤器可以屏蔽包含了类似“alert()”或“String.fromCharCode()”字符串的请求。在全局变量的帮助下js判断字符串包含某个字符串，我们就可以使用字符串连接或十六进制转义序列来轻松绕过这些过滤器了。比如说：


/** alert(document.cookie);/
self“ale”+”rt”


当然了，还有一种更加复杂的语句可以绕过过滤器，也就是用十六进制转义序列来替换之前的字符串。任何字符码低于“256”的字符都可以使用十六进制码来表示，即使用“x”转义序列：
> console.log(“x68x65x6cx6cx6fx2cx20x77x6fx72x6cx64x21”)
< hello, world!

大家可以看到，使用十六进制序列来替换对应的“alert”、“document”和“cookie”字符串可以帮助我们通过全局变量来调用任意函数：
/*** alert(document.cookie)*/
self["x61x6cx65x72x74"](    self["x64x6fx63x75x6dx65x6ex74"]        ["x63x6fx6fx6bx69x65"])


2、 Base64编码字符串和eval()
如果一个Web应用防火墙过滤掉了我们的输入，那么最困难的一件事情就是去实现动态创建（或增加）一个脚本元素，并调用一个远程JavaScript文件（类似
限时特惠：本站每日持续更新海量设计资源，一年会员只需29.9元，全站资源免费下载

站长微信：ziyuanshu688
声明：本站所有文章，如无特殊说明或标注，均为本站原创发布。任何个人或组织，在未征得本站同意时，禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益，可联系我们进行处理。
全局字符过滤

	
		
            
                            
                    htebazile永久VIP

相关文章