DVWA靶场XSS三种类型漏洞练习

最新推荐文章于 2024-06-23 14:17:48 发布

c_programj

最新推荐文章于 2024-06-23 14:17:48 发布

阅读量1.9k

点赞数 3

文章标签： xss 安全漏洞 php

本文链接：https://blog.csdn.net/c_programj/article/details/116798637

版权

本文详细介绍了DVWA靶场中的反射型、存储型和DOM型XSS漏洞，涵盖从低到高四个安全等级的实战练习，包括payload的构造与绕过策略，并总结了常见的XSS防护函数。

摘要由CSDN通过智能技术生成

DVWA靶场XSS三种漏洞练习

反射型XSS（非持久性）
存储型XSS（持久性）
DOM型
总结：XSS漏洞常见函数：

反射型XSS（非持久性）

反射型

【low】

后台码源：

<?php
    header ("X-XSS-Protection: 0");
    // Is there any input?
    if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
   
       // Feedback for end user
       echo '<pre>Hello ' . $_GET[ 'name' ] . '</pre>';
    }
?>

观察到程序并没有对用户输入的name进行任何的过滤操作，那么我们直接输入<script>alert('XSS')</script>即可观察到弹窗，从而验证XSS漏洞的存在。
在这里插入图片描述

可尝试其他操作，直接获取Cookie值，输入<script>alert(document.cookie)</script> ，结果如下：
在这里插入图片描述

【Medium】

将系统的安全等级调为Medium，然后输入刚才的payload：<script>alert('XSS')</script> ，发现已经无法正常发生弹窗了：
在这里插入图片描述

后台源码：

<?php
    header ("X-XSS-Protection: 0");
    // Is there any input?
    if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
   
       // Get input
       $name = str_replace( '<script>', '', $_GET[ 'name' ] );
       // Feedback for end user
      echo "<pre>Hello ${name}</pre>";
   }
?>

在将获取到的name值的时候，str_replace（）函数将name值中的<script>标签转化为空。然后再将name值的结果输出，所以当我们再次使用low级别的payload的时候我们的<script>标签被过滤掉。但是这个函数区分大小写。所以当我们使用low级别中的payload大写的时候，一样可以绕过它的过滤。我们试一下：Payload：<SCRIPT>alert('XSS')</SCRIPT>
在这里插入图片描述

【High】

后台码源：

<?php
   header ("X-XSS-Protection: 0");
   // Is there any input?
   if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
   
        // Get input
        $name = preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $_GET[ 'name' ] );
       // Feedback for end user
       echo "<pre>Hello ${name}</pre>";
   }
?>

观察到使用了正则表达式来过滤。preg_replace()函数，将包含<script的字符，不管大小写，不管后面跟着1个或多个与之相同的字符都转换为空。那么我们就不能使用大小写绕过和重写的方法来绕过了。
虽然无法使用<script>标签注入XSS代码，但是可以通过img、body等标签的事件或者iframe等标签的src注入恶意的js代码。这样就会避免出现<script>标签被正则表达式匹配到。
我们可以使用以下Payload：

<img src=1 onerror=alert(1)>

在这里插入图片描述标签是添加一张图片。src，指定图片的url，onerror是指定加载图片时如果出现错误则要执行的事件。这里我们的图片url肯定是错误的，这个弹窗事件也必会执行。

【Impossible】

后台码源：

<?php
   // Is there any input?
   if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
   
       // Check Anti-CSRF token
       checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );
       // Get input
       $name = htmlspecialchars( $_GET[ 'name' ] );
       // Feedback for end user
       echo "<pre>Hello ${name}</pre>";
   }
   // Generate Anti-CSRF token
   generateSessionToken();
?>

这个很难做到弹框。里面处理$_GET[‘name’]的值得时候利用了函数htmlspecialchars()，将值里面的预定义函数，都变成html实体。
（在php中，htmlspecialchars()函数是使用来把一些预定义的字符转换为HTML实体，返回转换后的新字符串，原字符串不变。）

被转换的预定义的字符有：
&：转换为&amp;
"：转换为&quot;
'：转换为成为 '
<：转换为&lt
>：转换为&gt;

存储型XSS（持久性）

【Low】

后台码源：

<?php
  if( isset( $_POST[ 'btnSign' ] ) ) {
   
    // Get input
    $message = trim(

最低0.47元/天解锁文章

c_programj

关注

3
点赞
踩
18

收藏

觉得还不错? 一键收藏
1
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫