【Burpsuite靶场】XSS专题精讲

news2024/12/25 0:33:57

个人】:NEUQ大一学生

专业】:通信工程 (Communication Engineering)

个人方向】:网安、开发双管齐下

座右铭】:真正的英雄主义,就是看清生活的真相后依然热爱生活 -- 罗曼.罗兰

 一、认识XSS(跨站脚本攻击):

1、什么是XSS:

XSS,全称 “Cross-Site Script”,burp官方的解释是允许攻击者与应用程序进行交互。攻击者可以利用XSS伪装成受害者,从而利用受害者身份执行其身份下能够执行的任何操作,包括查看其权限下任何数据,所以XSS的危害还是可大可小的,主要取决于受害者的权限大小。

2、XSS如何进行攻击:

XSS就是将恶意的JS脚本投放到受害者端,当受害者端触发到投放的恶意脚本后即会执行攻击者进行构造的操作,从而达到某种恶意目的。

3、XSS的三种类型:

(1)反射型XSS(Stored XSS):

攻击者构造一个包含恶意脚本的链接,诱使用户点击该链接。当用户点击链接并将包含恶意脚本的参数发送给服务器时,服务器会将恶意脚本反射回给用户的浏览器,浏览器执行该脚本。这种攻击通常通过钓鱼链接、恶意广告等方式传播

(2)存储型XSS(Reflected XSS):

攻击者将恶意脚本代码存储在服务器端的数据库或文件中,当其他用户访问包含这些恶意脚本的页面时,恶意代码会被服务器返回并执行。这种攻击通常用于留言板、论坛、博客等允许用户输入内容的地方。

(3)DOM型XSS(DOM-based XSS):

这种类型的攻击不涉及服务器端,而是利用浏览器端解析HTML和执行JavaScript的过程中的漏洞。攻击者构造一个包含恶意代码的URL,当用户访问包含这个URL的页面时,浏览器在解析URL时会执行恶意代码,从而导致攻击。这种攻击方式涉及到客户端的DOM操作,因此称为DOM型XSS。

(4)self型XSS:

对进行的XSS攻击只有自己可见,其他人不受影响,故危害很小。


二、基于source和sink的DOM型XSS:

1、无编码操作的HTML上下文中的反射型XSS:

(1)反射型XSS原理:

反射型XSS就是应用程序接收到一个HTTP请求,然后以不安全的方式映射到响应中,例如某应用程序构造以参数值为索引的HTTP请求
https://insecure-website.com/search?term=gift
然后应用程序会将参数值拼接到响应中
<p>You searched for: gift</p>
现在还属于是正常的参数值,那么如果我们将参数值设置为这个呢
https://insecure-website.com/search?term=<script>/*+Bad+stuff+here...+*/</script>
映射到响应中就会变成这样
<p>You searched for: <script>/* Bad stuff here... */</script></p>
这条响应如果被受害者打开,在经过浏览器的解析后,遇到闭合的script标签,会将其中内容按照JS脚本来解析,这就使得攻击者达到了其目的,执行了恶意的JS脚本。

(2)靶场复现:

进入靶场,发现搜索框:

搜索数字1并进行抓包,发包到repeater进行查看:

可以发现,参数 search 的值可以被映射到响应中,那么我们可以修改参数 search 的值为 <script>alert(1)</scipt>。

发现访问后出现弹窗。 这就表名此处存在XSS漏洞。


2、无编码操作的HTML上下文中的存储型XSS:

(1)存储型XSS漏洞原理:

存储型XSS就是应用程序从Web数据库获取数据后以不安全的形式映射到响应中,又称持久性XSS或二阶XSS。比如在某个提交评论的功能点提交评论,请求包是这样的:

POST /post/comment HTTP/1.1

Host: vulnerable-website.com Content-Length: 100 postId=3&comment=This+post+was+extremely+helpful.&name=Carlos+Montoya&email=carlos%40normal-user.net

 这条评论在响应中的实现形式为:

<p>This+post+was+extremely+helpful</p>,由于是评论,所以每一个到评论区的用户都能接收到这条响应。

若将评论的语句改为 : <script>alert(1)</script>等恶意代码,则会造成大范围影响,每一个到达评论区接收到此响应的用户都会被波及。

(2)靶场复现:

在靶场评论区进行评论 <script>alert(1)</script>

证明:存在存储型XSS漏洞。


什么是基于DOM型的XSS:

DOM有一个 source 和 一个sink。

source指可以接收用户输入或其他不受信任的数据的地方,例如 URL 查询字符串、表单输入等。

sink指对这些输入进行处理的地方,如果没有适当的验证和过滤,可能导致安全漏洞,例如 document.writeinnerHTMLeval 等方法

DOM型XSS漏洞就是在 source输入点处的输入在被传递给出口点sink的时候,被出口点sink处的函数执行导致触发XSS。

3、基于location.search和document.write使用的DOM型XSS漏洞:

(1)漏洞原理:

location.search:返回 URL 中的查询字符串部分。攻击者可以构造一个包含恶意脚本的 URL,并将其发送给受害者。

http://example.com/page?name=<script>alert('XSS')</script>

document.write():将字符串写入到 HTML 文档中,攻击者可以通过 document.write 在页面中直接插入恶意脚本。

<script>
  var query = location.search;
  document.write(query);
</script>

(2)靶场复现:

进入靶场,查看页面源代码,发现了如下代码:

审计代码:发现 URL中的search参数不经过任何处理便被赋值给 query,然后调用 trackSearch()函数直接将 参数query 拼接至<img>标签中。

我们可以构造 search参数的值对 <img> 标签进行闭合,再跟上想要执行的恶意代码,来构造payload。

将 payload : "> <script>alert(1)</script> 赋值给 search。

闭合后效果如下:

出现弹窗,证明存在XSS漏洞。

4、HTML--select元素中基于location.search和document.write使用的DOM型XSS漏洞:

(1)HTML中的<select>元素:

<select>元素,用于创建下拉列表,允许用户从预定义的选项中选择一个或多个值。下拉列表通常用于表单中,让用户从一组选项中进行选择。

 

代码示例:

执行效果:

(2)靶场复现:

进入靶场,view points,查看页面源代码:

代码中使用 window.location.search 来获取URL中的 参数search 的值,并将其赋值给 store。

然后利用document.write将其与标签 <option selected></option>拼接后写入HTML文档。

构造payload: &storeId=</select><img%20src=1%20οnerrοr=alert(1)>

拼接后效果如下:

出现弹窗,证明存在XSS漏洞。


5、基于location.search和innerHTML使用的DOM型XSS漏洞:

(1)什么是innerHTML:

innerHTML 是一个 JavaScript 中的 DOM 操作方法,用于设置或获取指定元素的 HTML 内容。攻击者可能会尝试利用 innerHTML 来注入恶意脚本或其他不安全的内容到页面中,从而进行 XSS(跨站脚本攻击)等攻击。

(2)innerHTML的特性:

1、innerHTML不接受 <script> 标签。

2、innerHTML不接受 使用onload 事件的 <svg>标签。

(3)靶场复现:

进入靶场,查看源代码:

既然 innerHTML 不接受 <script>标签与使用onload事件的<svg>标签,则使用 <img>标签和 onerror 事件来构造payload: <img src="1" οnerrοr="alert(1)">

出现弹窗,证明存在XSS漏洞。

6、基于location.search和jQuery描点属性的DOM型XSS漏洞:

jQuery库为一种Js库,其中含有修改DOM元素的函数,例如attr()函数

(1)jQuery库中的attr()函数:

attr() 函数是 jQuery 中用于获取或设置 HTML 元素属性的方法。它允许你通过 jQuery 选择器选中一个或多个元素,并对它们的属性进行操作。

// 获取属性的值
$(selector).attr(attributeName);

// 设置属性的值
$(selector).attr(attributeName, value);

// 设置多个属性的值
$(selector).attr({attribute1: value1, attribute2: value2, ...});
  • selector:用于选择要操作的 HTML 元素的 jQuery 选择器。
  • attributeName:要获取或设置的属性名称。
  • value:要设置的属性值

范例:

1、获取属性的值:  

var value = $('img').attr('src');

这将返回所有 <img> 元素的 src 属性值。

 2、设置属性的值:

$('img').attr('alt', 'Alternative text');

这将设置所有 <img> 元素的 alt 属性为 "Alternative text"。

 

3、设置多个属性的值:

$('img').attr({ 'alt': 'Alternative text', 'title': 'Image Title' });

 这将同时设置所有 <img> 元素的 alttitle 属性。

(2)靶场复现:

进入靶场,测试submit feedback功能点,查看源代码:

可以通过修改 returnPath 的值来构造payload,利用JS伪协议,构造payload为:?returnPath =javascript:alert(1)

JS伪协议:

JS 伪协议(JavaScript pseudo-protocol)是一种 URL 协议,用于在网页中执行 JavaScript 代码。它通常以 javascript: 开头,后面跟随着要执行的 JavaScript 代码。

<a href="javascript:alert('Hello, world!')">Click me</a>

存在XSS漏洞。

7、基于Angular JS框架的执行JS代码的DOM型XSS漏洞:

(1)漏洞原理:

如果使用的是像AngularJS这种框架,就可以在没有尖括号和事件的情况下执行JS。当HTML元素使用ng-app属性时,就会被AngularJS处理,就可以在双花括号内执行JS并且回显在HTML页面或属性中

因为防止XSS攻击,可能会对尖括号和双引号进行HTML编码处理。

(2)靶场复现:

进入靶场后,利用工具 Wappalyzer 可以得知使用框架为 Angular JS框架:

于是构造payload: {{$on.constructor('alert(1)')()}}

成功弹窗,存在XSS漏洞。


三、基于反射型与存储型的DOM型XSS漏洞:

二中介绍的DOM型XSS,source是从客户端进行输入的,若source是HTTP请求/数据库,就会衍生出 反射型DOM XSS和存储型DOM XSS

1、反射型DOM-XSS:

(1)靶场复现:

进入靶场,发现搜索框,搜索数字1,发现出现一个开始时没有的JS文件:

  

发现出现一个JS文件,查看源代码并进行审计:

function search(path) {
    var xhr = new XMLHttpRequest();
    xhr.onreadystatechange = function() {
        if (this.readyState == 4 && this.status == 200) {
            eval('var searchResultsObj = ' + this.responseText);
            displaySearchResults(searchResultsObj);
        }
    };
    xhr.open("GET", path + window.location.search);
    xhr.send();

发现函数中调用了eval()函数,只要返回包responseText中存在Json格式的javascript恶意代码,eval()函数便可执行。

对发出的GET请求进行抓包:

发现响应包内容格式为Json,只需要修改参数search参数进行闭合即可。

但有些字符可能会被转义处理,例如尖括号和双引号等。

测试尖括号和双引号是否被转义:

发现双引号被转义了,对我们进行闭合很不利,所以我们手动添加反斜杠,形成双反斜杠使转义失效,于是构造payload: 

成功弹窗,存在XSS漏洞。

2、存储型DOM-XSS:

(1)靶场复现:

进入靶场,view points访问一个页面,利用F12查看前后的 源代码/来源 内容发生的变化,发现访问新的页面后多出了一个JS文件:

审计JS文件源代码:

所有代码集合在 loadComments(postCommentPath)这个函数中,根据函数名loadComments判断这个函数的作用为加载评论区的数据,并通过displayComments()显示,并且通过GET请求加载。

为防止XSS攻击,代码使用escapeHTML()函数对尖括号进行了HTML实体编码使其失效

接着对每条评论进行处理,但是对每一条评论的作者名(comment.author)只进行了一次escapeHTML,若存在多个尖括号<>便可实现绕过。

由此构造payload: <><img src=1 οnerrοr="alert(1)">

提交评论后退出,第二次进入评论区查看评论时便会弹窗:

存在XSS。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1631281.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

4.28总结

根据项目要求进行在线状态功能的实现&#xff08;还未真正实现&#xff0c;仅在数据库进行修改状态并与服务器断开连接&#xff09; 在登录界面时 此时服务器等待连接 连接成功后数据库里的在线状态进行更改 我设置了两种方式来进行改变状态 一&#xff1a; 通过不退出界面进…

基础动态规划 - 过河卒

过河卒 兵从A点走到B点的所有路径方案&#xff0c;且不能经过 “马能吃棋子”的格子。 如果没有马&#xff0c;那么这道题就是一个简单的从A点走到B点的所有路径情况的简单动态规划。 状态转移方程为 dp[i,j] dp[i - 1,j] dp[i,j - 1]。 但如果加上了马这个棋子&#xff0…

Day 21 LAMP架构和DNS域名

LAMP架构简介 针对不同的后端开发语言&#xff0c;使用不同的架构&#xff0c;后端项目开发语言有&#xff1a;Java&#xff0c;PHP&#xff0c;Python...... 针对于PHP项目 LAMP架构 LinuxApacheMysql/MariadbPhp LNMP架构 LinuxNginxMysql/MariadbPhp 针对于Java项目 w…

windows电脑改造为linux

有个大学用的旧笔记本电脑没啥用了&#xff0c;决定把它改成linux搭一个服务器&#xff1b; 一、linux安装盘制作 首先要有一个大于8G的U盘&#xff0c;然后去下载需要的linux系统镜像&#xff0c;我下的是ubuntu&#xff0c;这里自选版本 https://cn.ubuntu.com/download/d…

第三节课,后端登录【1】.1--本人

一、后端登录逻辑&#xff0c;检测账户密码是否合法及密码输入是否正确 视频链接&#xff1a; 网址&#xff1a; 第三节&#xff1a;【视频】后端登录逻辑&#xff0c;检测账户密码是否合法及密码输入是否正确视频链接&#xff1a;-CSDN博客 从5.1开始 这是一个Java方法&am…

新能源设备远程监控解决方案

新能源设备远程监控解决方案 在当今全球能源转型的大背景下&#xff0c;新能源设备的广泛应用已成为应对环境挑战、推动可持续发展的重要途径。然而&#xff0c;新能源设备的高效运维与管理却面临诸多挑战&#xff0c;尤其是在地域广阔、环境复杂的应用场景中&#xff0c;如何…

Ragas

文章目录 一、关于 Ragas二、安装&#x1f6e1;️三、快速使用 &#x1f525;Open Analytics &#x1f50d; 四、References五、生成综合测试集文档数据生成 六、使用您的测试集进行评估数据Metrics 指标评估 七、监控生产中的 RAG需要监控的方面 一、关于 Ragas Ragas 是 RAG…

FPGA -手写异步FIFO

一&#xff0c;FIFO原理 FIFO&#xff08;First In First Out&#xff09;是一种先进先出的数据缓存器&#xff0c;没有外部读写地址线&#xff0c;使用起来非常简单&#xff0c;只能顺序写入数据&#xff0c;顺序的读出数据&#xff0c;其数据地址由内部读写指针自动加1完成&a…

游戏新手村20:游戏落地页广告页如何设计

在互联网营销中,着陆页(Landing Page,有时被称为首要捕获用户页)就是当潜在用户点击广告或者搜索引擎搜索结果页后显示给用户的网页&#xff0c;LandingPage对于游戏广告的转化率和重要性就不言而喻了。 网页游戏LP页面 上图就是我们大家在浏览网站时不小心蹦出或者主动点击某…

一文讲解Android车载系统camera架构 - EVS

Android的camera开发中&#xff0c;使用最多的是camera2 以及现在Google主推的cameraX 架构&#xff0c;而这两个架构主要针对的是手机移动端上camera的流程。 而今天介绍的EVS(Exterior View System)架构是不同于camera2上的手机架构&#xff0c;针对Automotive的版本&#x…

数据库介绍(Mysql安装)

前言 工程师再在存储数据用文件就可以了&#xff0c;为什么还要弄个数据库? 一、什么是数据库&#xff1f; 文件保存数据有以下几个缺点&#xff1a; 文件的安全性问题文件不利于数据查询和管理文件不利于存储海量数据文件在程序中控制不方便 数据库存储介质&#xff1a; 磁…

Blender游戏资产优化技巧

创建视频游戏资产既具有挑战性又富有回报。 经过一些研究并根据我的经验&#xff0c;这里有三个技巧可以帮助你使用 Blender 优化游戏资产。 在 Blender 中优化游戏资源的三种技术可以归结为拥有高效的 3D 模型拓扑、通过烘焙优化纹理&#xff0c;以及最后通过 Blender 节点的…

智慧校园建设有哪些新策略?

在现有智慧校园建设方案中&#xff0c;智慧校园主要是用于解决学校日常事务&#xff0c;如学工管理&#xff0c;教工管理等&#xff0c;并利用数据分析&#xff0c;指导学校的一些决策行为。但随着新技术的不断发展&#xff0c;尤其是云计算、大数据、物联网、移动互联网、人工…

python应用-socket网络编程(1)

目录 1 先简单回顾下客户端和服务端通信的知识 2 服务端常用函数 3 客户端常用函数 4 服务端和客户端都用的函数 5 示例介绍客户端和服务端通信过程 6 建立服务端套接制 7 创建服务端函数socket.create_server() 8 创建客户端套接字 9 客户端连接函数socket.create_co…

春秋云镜 CVE-2023-50564

靶标介绍&#xff1a; Pluck-CMS v4.7.18 中的 /inc/modules_install.php 组件&#xff0c;攻击者可以通过上传一个精心制作的 ZIP 文件来执行任意代码。 开启靶场&#xff1a; 1、点击 admin 进入登录界面 2、使用Burp爆破出登录密码为&#xff1a;admin123&#xff0c;使用…

【吊打面试官系列】Java高并发篇 - 为什么 wait, notify 和 notifyAll 这些方法不在 thread类里面?

大家好&#xff0c;我是锋哥。今天分享关于 【为什么 wait, notify 和 notifyAll 这些方法不在 thread类里面&#xff1f;】面试题&#xff0c;希望对大家有帮助&#xff1b; 为什么 wait, notify 和 notifyAll 这些方法不在 thread类里面&#xff1f; 一个很明显的原因是 JAVA…

个人学习总结__打开摄像头、播放网络视频的以及ffmpeg推流

前言 最近入手了一款非常便宜的usb摄像头&#xff08;买回来感觉画质很低&#xff0c;没有描述的4k&#xff0c;不过也够用于学习了&#xff09;,想着利用它来开启流媒体相关技术的学习。第一步便是打开摄像头&#xff0c;从而才能够对它进行一系列后续操作&#xff0c;诸如实…

python-pytorch 如何使用python库Netron查看模型结构(以pytorch官网模型为例)0.9.2

Netron查看模型结构 参照模型安装Netron写netron代码运行查看结果需要关注的地方 2024年4月27日14:32:30----0.9.2 参照模型 以pytorch官网的tutorial为观察对象&#xff0c;链接是https://pytorch.org/tutorials/intermediate/char_rnn_classification_tutorial.html 模型代…

IDEA代码重构

重构 重构的目的&#xff1a; 提高代码的可读性、可维护性、可扩展性和性能。 重命名元素 重命名类 当我们进行重命名操作的时候可以看到第六行存在一个R(rename)&#xff0c;点击后就会弹出所偶有引用&#xff0c;这样可以避免我们在修改后存在遗漏引用处未修改。 我们可以通过…

Vue项目解决自定义el-dialog的border-radius无效的问题

一、问题产生的原因 自定义el-dialog的border-radius无效的原因其实就是因为层级的问题&#xff0c; f12打开样式检查就能发现组件自身已经全局定义了一个圆角变量 二、解决方法 和上面一样&#xff0c;在项目全局也就是在app.vue中定义全局变量 并且需要给!important&a…