文章目录
- 1. XSS(Cross-Site Scripting)
- 1.1 反射型XSS(get)
- 1.2 反射型XSS(post)
- 1.3 存储型XSS
- 1.4 DOM型XSS
- 1.5 DOM型XSS-X
- 1.6 XSS盲打
- 1.7 XSS之过滤
- 1.8 XSS之htmlspecialcharss
- 1.9 XSS之href输出
- 1.10 XSS之JS输出
- 1.11 XSS 漏洞防御
1. XSS(Cross-Site Scripting)
跨站点脚本(Cross Site Scripting,XSS)是指客户端代码注入攻击,攻击者可以在合法网站或Web应用程序中执行恶意脚本。当wb应用程序在其生成的输出中使用未经验证或未编码的用户输入时,就会发生XSS。
跨站脚本攻击,XSS(Cross Site Scripting)。由于与CSS(Cascading Style Sheet)重名,所以就更名为XSS。
XSS作为OWASP TOP10(2017)内容之一,主要使用JavaScript来完成恶意攻击的行为,JS可以非常灵活的操作HTML、CSS、浏览器,这就使得XSS攻击“想象”空间非常大。也就是说,JS强大的灵活性和功能,为XSS攻击提供了非常广阔的攻击面。
1.1 反射型XSS(get)
发现在输入代码的时候,输入到一定长度无法进行输入了。
可以修改页面源代码。将最大值修改为100
<script>alert('芜湖')</script>
最后弹框如下:
1.2 反射型XSS(post)
输入密码进行登录
<script>alert(document.cookie)</script>
输入代码发现没有长度限制,弹框如下
GET方式中, 攻击代码是直接暴露在URL中的
POST方式参数内容不会出现在URL中
1.3 存储型XSS
存储型XSS:持久化,存储型XSS漏洞是指攻击者将恶意脚本代码存储在目标网站的数据库中,通常在用户提交的表单数据中注入恶意代码。当其他用户浏览到包含恶意代码的页面时,脚本代码会被执行,导致攻击者能够获取用户的敏感信息或执行恶意操作。
发现是一个留言板,直接输入攻击代码
<script>alert(document.cookie)</script>
1.4 DOM型XSS
XSS(DOM)是一种基于DOM树的一种代码注入攻击方式,可以是反射型的,也可以是存储型的,所以它一直被划分第三种XSS。与前两种XSS相比,它最大的特点就是不与后台服务器交互,只是通过浏览器的DOM树解析产生。除了js,flash等脚本语言也有可能存在XSS漏洞。
<script>alert(document.cookie)</script>
查看页面源代码
输入的发现攻击代码被传入了一个a标签中。那么这里可以尝试将a标签进行闭合。
修改攻击代码
'> <img src="" οnerrοr=alert('芜湖')>
查看网页源代码
1.5 DOM型XSS-X
先直接点击按钮查看显示内容,弹出了一个链接“有些费尽心机想要忘记的事情,后来真的就忘掉了”,点击该连接又弹出了一句话“就让往事都随风,都随风吧”
查看源代码
发现点击后跳转到了a标签,使得闭合a标签,输出我们的攻击代码
'> <img src="" οnerrοr=alert('芜湖')>
页面显示内容
1.6 XSS盲打
<script>alert('芜湖')</script>
输入攻击代码后发现没有任何弹框,查看源代码。
发现该表单是post提交方式,现在我们查看提示。提示说需要登录后台。
输入路径登录后台查看,发现我们之前的攻击代码生效了。
http://127.0.0.1/pikachu/vul/xss/xssblind/admin.php?id=8
倘若注入xss,是无法得知是否xss被执行,但是管理员在后台查看时,当注入了xss代码,同时管理员又访问了后台,且后台把我们的内容输出,那么后台管理员可能遭受到XSS攻击。这也是称为XSS盲打的原因。
1.7 XSS之过滤
输入攻击代码
<script>alert('芜湖')</script>
发现没有弹窗
猜测这里过滤了一些标签
发现在输入**<script>标签后<script被过滤了,只剩下了>**。
那么这里可以使用多种方式进行绕过
大小写绕过
<sCript>alert('wuhu')</scRIpt>
<SCRIPT>alert('wuhu')</SCRIPT>
使用非<script>的其他标签
<img src=1 onerror='alert("wuhu")'>
1.8 XSS之htmlspecialcharss
输入攻击代码
<script>alert('芜湖')</script>
发现还是没有弹框
htmlspecialchars()的作用就是把预定义的字符转换为了HTML实体。预定义的字符如下:
& 成为 &
" 成为 "
' 成为 '
< 成为 <
> 成为 >
htmlspecialchars()函数默认是不对单引号进行转义的,要想连单引号一起转义,需要给函数传入参数ENT_QUOTES。
ENT_COMPAT:默认,仅编码双引号
ENT_QUOTES:编码双引号和单引号
ENT_NOQUOTES:不编码任何引号
查看源代码,单引号没有被过滤掉。
构造攻击代码
' οnclick='alert(99)'
点击链接' onclick='alert(99)'后弹框如下:
1.9 XSS之href输出
还是先输入<script>alert('芜湖')</script>一个尝试,发现没有弹框。
查看网页源代码,发现左右尖括号,双引号,单引号都被html编码了,这样的话,闭合标签或者闭合属性都行不通了。
发现href 属性的值可以是任何有效文档的相对或绝对 URL,包括片段标识符和 JavaScript 代码段。
所以这里可以输入:
javascript:alert(document.cookie)
解析:
javascript:这是一个伪协议,表示接下来的内容是 JavaScript 代码,可以在当前页面的上下文中执行。alert(): 这是一个 JavaScript 函数,用于在浏览器中显示一个警告框,其中显示指定的消息。document.cookie: 这是一个 JavaScript 表达式,用于获取当前页面的 Cookie 值。Cookie 是一种用于在客户端和服务器之间存储数据的机制,它可以用于标识和跟踪用户会话状态。
1.10 XSS之JS输出
还是先输入一段攻击代码,查看页面响应
<script>alert('芜湖')</script>
发现页面没有响应,查看页面源代码。发现输入的攻击代码被发送到了最外面的<script>标签中了,并且没有被编码。
那么现在可以闭合当前语句,然后再生成我们的攻击代码,这样代码就变成了$ms = '';alert('芜湖');//';
';alert('芜湖');//
1.11 XSS 漏洞防御
参看我写的另一篇博客:跨站脚本攻击(XSS)
- 黑白名单策略
- 输入过滤
- 输出编码
