XSS的原理和分类
跨站脚本攻击XSS(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页面时,嵌入Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。XSS攻击针对的是用户层面的攻击!
XSS分为:存储型 、反射型 、DOM型XSS
存储型XSS:存储型XSS,持久化,代码是存储在服务器中的,如在个人信息或发表文章等地方,插入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器中,用户访问该页面的时候触发代码执行。这种XSS比较危险,容易造成蠕虫,盗窃cookie
反射型XSS:非持久化,需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面。反射型XSS大多数是用来盗取用户的Cookie信息。
DOM型XSS:不经过后端,DOM-XSS漏洞是基于文档对象模型(Document Objeet Model,DOM)的一种漏洞,DOM-XSS是通过url传入参数去控制触发的,其实也属于反射型XSS。 DOM的详解:DOM文档对象模型
可能触发DOM型XSS的属性
document.referer
window.name
location
innerHTML
documen.write如图,我们在URL中传入参数的值,然后客户端页面通过js脚本利用DOM的方法获得URL中参数的值,再通过DOM方法赋值给选择列表,该过程没有经过后端,完全是在前端完成的。所以,我们就可以在我们输入的参数上做手脚了。
XSS的攻击载荷
以下所有标签的 > 都可以用 // 代替, 例如
#弹出hack
#弹出hack
#弹出1,对于数字可以不用引号
#弹出cookie
#引用外部的xss svg标签 标签: video标签: style标签: 黑盒测试 尽可能找到一切用户可控并且能够输出在页面代码中的地方,比如下面这些: 常见业务场景 白盒测试(代码审计) 关于XSS的代码审计主要就是从接收参数的地方和一些关键词入手。 PHP中常见的接收参数的方式有$_GET、$_POST、$_REQUEST等等,可以搜索所有接收参数的地方。然后对接收到的数据进行跟踪,看看有没有输出到页面中,然后看输出到页面中的数据是否进行了过滤和html编码等处理。 也可以搜索类似echo这样的输出语句,跟踪输出的变量是从哪里来的,我们是否能控制,如果从数据库中取的,是否能控制存到数据库中的数据,存到数据库之前有没有进行过滤等等。 大多数程序会对接收参数封装在公共文件的函数中统一调用,我们就需要审计这些公共函数看有没有过滤,能否绕过等等。 同理审计DOM型注入可以搜索一些js操作DOM元素的关键词进行审计。 反射型XSS漏洞: 存储型XSS漏洞: 从以上我们可以知道,存储型的XSS危害最大。因为他存储在服务器端,所以不需要我们和被攻击者有任何接触,只要被攻击者访问了该页面就会遭受攻击。而反射型和DOM型的XSS则需要我们去诱使用户点击我们构造的恶意的URL,需要我们和用户有直接或者间接的接触,比如利用社会工程学或者利用在其他网页挂马的方式。 那么,利用XSS漏洞可以干什么呢? 如果我们的JS水平一般的话,我们可以利用网上免费的XSS平台来构造代码实施攻击。 先放出源代码 这里有一个用户提交的页面,用户可以在此提交数据,数据提交之后给后台处理 所以,我们可以在输入框中提交数据: ,看看会有什么反应 页面直接弹出了hack的页面,可以看到,我们插入的语句已经被页面给执行了。 先给出源代码 这里有一个用户提交的页面,数据提交给后端之后,后端存储在数据库中。然后当其他用户访问另一个页面的时候,后端调出该数据,显示给另一个用户,XSS代码就被执行了。 我们输入 1 和 ,注意,这里的hack的单引号要进行转义,因为sql语句中的$name是单引号的,所以这里不转义的话就会闭合sql语句中的单引号。不然注入不进去。提交了之后,我们看看数据库 先放上源代码 这里有一个用户提交的页面,用户可以在此提交数据,数据提交之后给后台处理 我们可以输入 页面直接弹出了 hack 的页面,可以看到,我们插入的语句已经被页面给执行了。 前面讲sql注入的时候,我们讲过程序猿对于sql注入的一些过滤,利用一些函数(如:preg_replace()),将组成sql语句的一些字符给过滤,以防止注入。那么,程序猿也可以用一些函数将构成xss代码的一些关键字符给过滤了。可是,道高一尺魔高一丈,虽然过滤了,但是还是可以进行过滤绕过,以达到XSS攻击的目的。 一:区分大小写过滤标签 先放上源代码 绕过技巧:可以使用大小写绕过 二:不区分大小写过滤标签 先放上源代码 这个和上面的代码一模一样,只不过是过滤的时候多加了一个 i ,以不区分大小写 绕过技巧:可以使用嵌套的script标签绕过 三:不区分大小写,过滤之间的所有内容 先放上源代码 这个和上面的代码一模一样,只不过是过滤的时候过滤条件发生了变化 标签:
#弹出cookie
XSS可以插在哪里?
#用户输入作为HTML注释内容,导致攻击者可以进行闭合绕过
#用户输入作为标签属性名,导致攻击者可以进行闭合绕过
XSS漏洞的挖掘
XSS的攻击过程
XSS漏洞的危害
XSS漏洞的简单攻击测试
反射型XSS:
//前端 1.html:
这就是最基本的反射型的XSS漏洞,这种漏洞数据流向是: 前端-->后端-->前端存储型XSS:
//前端:2.html
DOM型XSS:
// 前端3.html
,然后看看页面的变化
这就是DOM型XSS漏洞,这种漏洞数据流向是: 前端-->浏览器XSS的简单过滤和绕过
//前端 1.html:
$name=preg_replace("/$name = preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $_GET[ 'name' ] ); //过滤了
那么,我们要怎么构造恶意代码来诱使用户点击并且用户点击后不会发现点击了恶意链接呢?
我们构造了如下代码,将其保存为html页面,然后放到我们自己的服务器上,做成一个链接。当用户登录了存在漏洞的网站,并且用户点击了我们构造的恶意链接时,该链接页面会偷偷打开iframe框架,iframe会访问其中的链接,然后执行我们的js代码。该js代码会把存在漏洞网站的cookie发送到我们的平台上,但是用户却浑然不知,他会发现打开的是一个404的页面!
404 页面不存在
404很抱歉,您要访问的页面不存在!
而我们的XSS平台将得到用户的Cookie,然后我们就可以利用得到的Cookie以用户的身份访问该网站了。
注:我们的攻击代码可以利用的前提是存在XSS漏洞的网站的X-Frame-options未配置,并且会话Cookie没有设置Http Only属性
post型
我们现在知道一个网站的用户名输入框存在反射型的XSS漏洞
我们抓包查看
我们构造了如下代码,将其保存为html页面,然后放到我们自己的服务器上,做成一个链接。当用户登录了存在漏洞的网站,并且用户点击了我们构造的恶意链接时,该恶意链接的页面加载完后会执行js代码,完成表单的提交,表单的用户名参数是我们的恶意js代码。提交完该表单后,该js代码会把存在漏洞网站的cookie发送到我们的平台上,但是用户却浑然不知,他会发现打开的是一个404的页面。
我们这里写了一个404页面,404页面中隐藏了一个form提交的表单,为了防止提交表单后跳转,我们在表单下加了一个iframe框架,并且iframe框架的name等于form表单的target,并且我们设置iframe框架为不可见。
404 页面不存在
404很抱歉,您要访问的页面不存在!
当用户点击了我们构造的恶意链接,发现打开的是一个404页面。实际上这个页面偷偷的进行了表单的提交。
而我们的XSS平台也收到了发送来的数据(这数据中没有Cookie的原因是这个网站我没设置Cookie,只是随便写的一个页面)。
利用JS将用户信息发送给后台
hello,word!
当用户访问了该页面,我们后台就可以看到用户访问记录。
t>
hello,word!
当用户访问了该页面,我们后台就可以看到用户访问记录。
最后,为了感谢读者们,我想把我收藏的一些网络安全/渗透测试学习干货贡献给大家,回馈每一个读者,希望能帮到你们。
干货主要有:
①2000多本网安必看电子书(主流和经典的书籍应该都有了)
②PHP标准库资料(最全中文版)
③项目源码(四五十个有趣且经典的练手项目及源码)
④ 网络安全基础入门、Linux运维,web安全、渗透测试方面的视频(适合小白学习)
⑤ 网络安全学习路线图(告别不入流的学习)
⑥ 渗透测试工具大全
⑦ 2021网络安全/Web安全/渗透测试工程师面试手册大全
由于篇幅有限,资料都放在我的个人文档,需要的关注我:私信回复“资料”获取网络安全面试资料、源码、笔记、视频架构技术
最后,感谢您的关注和阅读!