xss跨站达到原理,危害和特点
他和语言没有太大关系,它大部分都是属于一个前端的漏洞,搭建一个简易的php网站存在xss跨站漏洞
访问这个网站,x=1,就输出1,
如果我们把x=<script>alert(1)</script> ,这是javascript代码,这个可以被浏览器识别和执行。
出现一个弹窗,弹窗的内容是1,而上传那一串是代码,浏览器会把那个代码执行,执行结果alert就是弹窗,1是控制弹窗的值,所以这里看到的就是弹窗一个效果,这就是一个简易的跨站漏洞。
原理就非常简单了就是一个可以控制一个变量,和可以输出出来的环境,就是代码或文件对数据进行显示或者调试出现的安全问题,我们在访问网站的时候会显示出来内容,如果这个内容收你控制的话,就可以让他显示其他内容,其他内容如果是javascript 所控制的,这个页面中给就会执行javascript的代码,javascript就是js代码,js代码是可以做一些常规的,比如用js去获取一些浏览器的信息,所访问网站的信息。
本质就是产生在前端,js代码上的漏洞,他这里执行的通常都是javascript代码,就是就是代码,js代码能干吗,他就能干嘛。一般常见的输出型函数会和他有关系,凡是输出的函数,他输出一个变量或者你能控制的值,这个地方就是产生跨站的漏洞的地方。危害就会收到javascript的代码语句影响,也就是说这个代码想实现什么攻击,通过js代码实现。浏览器内核版本也会决定这个漏洞的情况,刚刚火狐可以执行,
但是切换到ie浏览器就不可以了。
这就是跨站漏洞鸡肋的地方,跨漏洞有很多前提条件,最简单就是浏览器版本是否符合,会决定是否能执行,js代码是脚本,有一些浏览器本身有安全策略,会阻止一些js脚本执行,如果对方浏览器有检测的话,即使有漏洞也没办法执行。
他的原理就是一些输出类型函数,刚好有我们可以更改的变量,我们修改为js代码,如浏览器去执行一些命案操作。
xss跨站漏分类,反射(非储存)性,储存(持续)性,dom性
打开pikachu的靶场,演示一些反射性
在那个白框里面输出什么就会返回一个值,我们在白框里面输入js代码,就会被浏览器所识别和执行,
他这里有长度限制,打不了了,可以在
我输出地址发现,上面的网址会发生相应的变化,我们就可以把js代码输入到网址上来,
把这里的长度限制改成210,也可以。输入代码<script>alert(1)</script>,点执行,就显示出来了。
这种类型称之为反射性。
我们再看一些储存性
我们在里面属于1和2,就会出现在留言列表里面,<script>alert(1)</script>
输入这个代码执行,就会出现弹窗属于一的值,然后就会出现一种情况,刷新一下网址
两个的区别就是一个一直在攻击,一个没有,储存性我们为什么叫储存或者就是持续,就是这个攻击会一直下去,
造成持续的原因,因为他那个是留言板这个东西,我们在之后去访问可以看到之前的留言,我们把跨站语句写成留言,下一个访问的也会看到留言,也会执行,这种情况就称之为储存性,因为这个留言相当于写到了数据库里,攻击就一直持续到数据被删除结束。反射性是这里有漏洞,不去鼓噪就无法触发这个漏洞,会正常的访问,我们可以复制之前攻击的网址,在去访问也会直接攻击。两者的第一个区别就是攻击数据不会储存到对方的数据库里面去,储存性危害大一点,他会一直攻击。
dom性
打开测试靶场演示一下
查看一下网址有没有变化,
点一下出来的语句,是从dom树取出来的,查看网页源码,
带你那个有哪些费尽心思,就会触发鼠标事件onclick,指向domxxs,就回到上面来dom形式上上了,执行这个javascript代码。dom跨站的操作就在htm代码里面实现的这种atm,java式的代码,服务的和客户端看到的代码结果是一样的,而php的给客户端看到的是执行后的结果代码。
这个代码在htm里面,操作的网址本身的源代码,前端语言java,来实点一下出现别的东西的,这就是一个dom的跨站。
总结一下过程
反射型
比如可定义的是x,就把x=xiaodi,然后发出数据包x=xiaoid,到对方的x.php的文件上去,然后x.php给一个回显。
储存型
比如可定义的是x,就把x=xiaodi,然后发出数据包x=xiaoid,对方会先把它储存到数据库某一个表里面,然后在返回给x.php,之后回显出去
dom型
比如可定义的是x,就把x=xiaodi,然后发出数据包x=xiaoid,然后直接给了本地浏览器前端代码,在通过其他的给x.php,然后在回显出来。
dom型呢就是说数据给的是前端的代码,不是给的php代码,脚本代码,操作就是给到前端去了,直接给htm代码去处理了,没有给php去处理,
我们看一下那关的源码,test是传参数给他的,输入个1,test=1
test有值之后,就会执行下面的$html代码,就会去调用donxss这个函数,
var声明变量,text就是接收数据的,然后就到下面的函数,getelementbyid(dom)就是操作dom,后面给了个地址就等于xss,那个a href相当于点了那个地址就执行前面的参数,
在这个靶场里面,点这个是不会再发送数据包的,所以点了之后就直接在前端代码执行了,根本没有去到x.php里面去。
dom型可以在浏览器访问代码中分析出来有没有,而反射型和储存型除了你测试之外,不可能看到源代码。
dom型大部分都属于反射型的一种。
大家现在都知道,是一种输出型的漏洞,哪有什么是我们可以输入的时候,留言板是一个最经典的,还有购物的时候需要我们填写很多信息。我们打开一个在线购买的网址,网址的后台就是用来看到购买人的信息,什么时候发货,什么时间下单的,这些信息是我们个人填写的,对方在看你订单的信息的时候,是不是就相当于把你的信息在页面中展示,这时候写个跨站代码,对方就会执行跨站代码,以前最习惯的跨站攻击就是搞这种上去
。而我们的攻击的时候乱写个订单信息和攻击代码,然后网站后台去查看订单信息的一可垃圾信息可能没当回事,但在他查看订单信息的一刹那,跨站攻击就已经执行成功了,可以获取后台的网站,或者后台的管理者账号密码。
用这个留言板作为测试网站
直接在留言板哪里写个跨站语句<script>alert(1)</script>,点击留言,发现这个浏览器有过滤,跨站语句没有执行。
所以我们换一个可以绕过的语句,
之后在管理员界面点开查看留言,就会出现跨站执行
而那个留言的语句上面还看着是正常的留言,但已经在网页源码里面已经执行了。
如果我们把语句换成恶意攻击语句,直接就会盗取shell的,这里演示一下,就要提一下xxs跨站平台,专门来利用跨站漏洞的外网的一个平台,大部分都是免费的,自己也可以搭建一个,如果用对方的平台,那攻击出来的结果也都会储存到它的那边去.
我们打开一个xxs跨站网站用一下,进入之后可以自由选择攻击的东西,也可以选择默认选择,这里就选择的默认选择,我想获取cookie
选择默认之后给的代码
这些代码都可以直接使用,因为刚刚的网站有过滤,我们选择的是最下面的那串代码,而输入这个在对方查看管理员账户密码的时候就会执行,但是网站可能有拦截,所xss跨站网站上面没有回显出来。
老师进入了自己写网站代码的虚拟机,然后在源码上加了跨站代码,登陆后台地址
查看网站源码的时候看到跨站代码执行成功了
平台里面就有了信息。
但是cookie并没有回显出来,可能是网站上有过滤,测试一下,这个无所谓了,假如说我们已经获取到可cookie之后我们该如何突破呢,
这里把cookie修改成获取的cookie,上面地址改为后台地址,发送出去就是对方的后台地址,这个老师下节课演示,现在只是演示一个攻击的过程。
老师打开了另一个网站,这个网站上面有跨站漏洞
随便点开一个图片,这里演示一下怎么发现网站有跨站的漏洞,
在网站后面加一个单引号 ,在去访问
它报了个错误,而这个错误有显示,这就是可以显示出来的地方,符合跨站漏洞,
我们在网站后面加上跨站语句再去访问一下,夸张语句执行成功了。这就可以当作跨站写入的地方。
这里换一个xxs跨站平台方法,获取到跨站语句,然后注入在那个后面直接访问呢,但是在火狐浏览器里面跨站平台没有得到回显,查看数据包也正常,(估计之前的网站有过滤所以没有读取成功,当然也有可能是代码选取的问题,多试几次)
这时候复制地址到谷歌浏览器上来,刷新一下查看数据包发送状态早支持,再去打开跨站平台就有正常的回显啦
cookie是用户的凭据:通过凭据可以判定对方的身份信息
有一些网站会保存账户密码就是保存到凭据,而我们盗取的也就是这个凭据,如果自己没有登陆网站后台,对方获取到了cookie不管理员的cookie。因为没有登陆过后台管理的cookie和登陆的cookie不一样,这个cookie就没有什么用。
我们攻击成功的条件,第一个是对方有漏洞,对方浏览器版本不拦截,盗取的cookie对方有登陆过后台管理,上面的过滤绕过,如果对方管理员不去触发漏洞地址也不行。
刚刚上面演示的那个漏洞是不建议实战中使用的,建议不要浪费时间,根本没办法让对方管理员访问这个地址。他不和订单界面那种,管理员必须去看。
cookie和session
cookie是储存在本地上的,储存时间较长,是一些小中型网站,;例如在一个网站里面的界面过了一会儿不管他,再去访问还是原来的状态,
session,这种称为会话,是储存在服务器上的,存活时间较短,是大型网站,安全的网站都会用,例如在支付宝的时候,过了一分钟没操作,或者切屏回来让我们重新输入账号免密这就是一个典型的session型的网站。
session更安全为什么都不用session型呢,因为他是储存在服务器,虽然一次只1kb左右很小,但是网站的资源有很多,每次登陆都有一个文件,这样下去太多了就不行了,也比session要麻烦一些。
session也是有可能获取的,比如是五分钟失效,如果对方没有在操作,就很简单,获取到了,但是就五分钟刚获取到就没有了。
