DVWA靶场XSS三种漏洞练习
反射型XSS(非持久性)
反射型
【low】
后台码源:
<?php
header ("X-XSS-Protection: 0");
// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
// Feedback for end user
echo '<pre>Hello ' . $_GET[ 'name' ] . '</pre>';
}
?>
观察到程序并没有对用户输入的name进行任何的过滤操作,那么我们直接输入<script>alert('XSS')</script>
即可观察到弹窗,从而验证XSS漏洞的存在。
可尝试其他操作,直接获取Cookie值,输入<script>alert(document.cookie)</script>
,结果如下:
【Medium】
将系统的安全等级调为Medium,然后输入刚才的payload:<script>alert('XSS')</script>
,发现已经无法正常发生弹窗了:
后台源码:
<?php
header ("X-XSS-Protection: 0");
// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
// Get input
$name = str_replace( '<script>', '', $_GET[ 'name' ] );
// Feedback for end user
echo "<pre>Hello ${name}</pre>";
}
?>
在将获取到的name值的时候,str_replace()函数将name值中的<script>
标签转化为空。然后再将name值的结果输出,所以当我们再次使用low级别的payload的时候我们的<script>
标签被过滤掉。但是这个函数区分大小写。所以当我们使用low级别中的payload大写的时候,一样可以绕过它的过滤。我们试一下:Payload:<SCRIPT>alert('XSS')</SCRIPT>
【High】
后台码源:
<?php
header ("X-XSS-Protection: 0");
// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
// Get input
$name = preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $_GET[ 'name' ] );
// Feedback for end user
echo "<pre>Hello ${name}</pre>";
}
?>
观察到使用了正则表达式来过滤。preg_replace()函数,将包含<script的字符,不管大小写,不管后面跟着1个或多个与之相同的字符都转换为空。那么我们就不能使用大小写绕过和重写的方法来绕过了。
虽然无法使用<script>
标签注入XSS代码,但是可以通过img、body等标签的事件或者iframe等标签的src注入恶意的js代码。这样就会避免出现<script>
标签被正则表达式匹配到。
我们可以使用以下Payload:
<img src=1 onerror=alert(1)>
在这里插入图片描述标签是添加一张图片。src,指定图片的url,onerror是指定加载图片时如果出现错误则要执行的事件。这里我们的图片url肯定是错误的,这个弹窗事件也必会执行。
【Impossible】
后台码源:
<?php
// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
// Check Anti-CSRF token
checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );
// Get input
$name = htmlspecialchars( $_GET[ 'name' ] );
// Feedback for end user
echo "<pre>Hello ${name}</pre>";
}
// Generate Anti-CSRF token
generateSessionToken();
?>
这个很难做到弹框。里面处理$_GET[‘name’]的值得时候利用了函数htmlspecialchars(),将值里面的预定义函数,都变成html实体。
(在php中,htmlspecialchars()函数是使用来把一些预定义的字符转换为HTML实体,返回转换后的新字符串,原字符串不变。)
被转换的预定义的字符有:
&:转换为&
":转换为"
':转换为成为 '
<:转换为<
>:转换为>
存储型XSS(持久性)
【Low】
后台码源:
<?php
if( isset( $_POST[ 'btnSign' ] ) ) {
// Get input
$message = trim(