在我之前的博客文章中，我展示了如何把eval当作异常处理程序并把指定字元串作为参数。简单回顾一下，你就会发现在字元串前加上一个=，就能将Uncaught字元串变成一个变数并执行任意javascript。例如：

<script>{onerror=eval}throw=alertx281337x29</script>

发送给eval函数的是Uncaught=alert(1337)。以上XSS能在Chrome上正常工作，但在Firefox上不行，因为Firefox的前缀是uncaught exception，代码最后执行时会出现语法错误。于是我开始寻找通用的方法。

值得注意的是，当从控制台执行throw时，onerror/throw这套XSS是无法生效的。这是因为在控制台中执行throw时，结果将发送到控制台而不是异常处理程序。

当你在Firefox中使用Error函数创建异常时，最后报错语句的前缀不是uncaught exception，而是字元串Error：

throw new Error("My message")//Error: My message

当然，我显然无法直接使用Error函数，因为它需要括弧，但我想也许我能使用带有Error原型的object literal来模拟它的动作。很可惜，试验后我发现这依旧不行——Firefox仍然使用相同的字元串作为前缀。接著我使用Hackability Inspector检查Error对象以查看它具有的属性。我将所有属性添加到object literal，发现它居然有效！于是我一个接一个地删除属性，直到找到最小的属性集合：

<script>{onerror=eval}throw{lineNumber:1,columnNumber:1,fileName:1,message:alertx281x29}</script>

<script>{onerror=prompt}throw{lineNumber:1,columnNumber:1,fileName:second argument,message:first argument}</script>

我在推特@terjanq和@cgvwzq（Pepe Vila）上公布了这些发现，上面后面还有一些很酷的变种。例如在@terjanq上有一个删除了所有字元串的XSS：

<script>throw/a/,Uncaught=1,g=alert,a=URL+0,onerror=eval,/1/g+a[12]+[1337]+a[13]</script>

还有通过使用类型错误自动将字元串发送到异常处理程序的方法，这使得我们完全不需要throw语句。

<script>TypeError.prototype.name ==/,0[onerror=eval][/-alert(1)//]</script>

感谢你的阅读！

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场

来源：无需括弧和分号的XSS|NOSEC安全讯息平台 - 白帽汇安全研究院

原文：https://portswigger.net/blog/xss-without-parentheses-and-semi-colons

白帽汇从事信息安全，专注于安全大数据、企业威胁情报。

公司产品：FOFA-网路空间安全搜索引擎、FOEYE-网路空间检索系统、NOSEC-安全讯息平台。

为您提供：网路空间测绘、企业资产收集、企业威胁情报、应急响应服务。