2 XSS
2.1 Xss概念
同源策略
javaScript中的同源,需要对比 两者中的协议、域名、端口。三者完全相同才认为是同源的,否则即是来自不同源的内容。
Xss概念
恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。
用户提交的数据没有过滤,或者过滤不严格,输出到网页中 ,导致可以构造执行JS代码,或者修改网页内容。
2.2 Xss危害
•盗取用户或者管理员的Cookie
• XSS Worm
• 挂马(水坑攻击)
• 有局限性的键盘记录
2.3 Xss分类
• 反射型
非持久型XSS。XSS代码出现在URL参数或者请求中,浏览器发出请求时,参数值作为输入提交到服务器,服务器接受处理后参数值出现在响应的HTML中,最后浏览器解析执行了这段XSS代码。
(1) 反射get
(2) 反射post
• 存储型
又称持久型XSS,他和反射型XSS最大的不同就是,攻击脚本将被永久地存放在目标服务器的数据库或文件中。
• DOM
与反射型XSS和存储型XSS的差别是在于DOM XSS的代码不需要服务器解析响应的直接参与,触发XSS靠的是浏览器DOM解析器的解析,可以完全认为是客户端的事情。
dom1
dom2
dom3
• flash
利用的是网页上flash文件缺陷来执行js脚本,一般是反射型xss
2.4 测试方法
条件
1. 需要向web页面注入恶意代码;
2. 恶意代码能够被浏览器成功的执行。
工具扫描:Appscan、awvs、burp suite、XSSERXSSF
Xss输出点位置
• 输出在标签外:需要可以构造标签
- 输出到标签中
如果输出在"双引号或者'单引号内部,需要能够闭合引号,如果不能闭合引号,看能否在当前的标签属性中执行js代码
如果没有输出在"双引号或者'单引号内部,或者可以闭合引号,可以构造新属性,使用新的属性的值来执行JS代码,如事件属性
- 输出到Script标签中
@ 如果输出在"双引号或者'单引号内部,需要能够闭合引号,
@ 如果不能闭合引号,需要看当前变量能不能innerHTML或者document.write,插入到网页中,如果可以就可以构造XSS,如果没有,就不存在XSS(引号内部可以使用unicode编码, < 不能编码)
@ 如果输出"双引号或者'单引号内部,需要能够闭合引号,如果可以闭合引号,就可以直接传递进去js代码,使用注释符号,注释掉后面的js代码就可以构造XSS
Xss输出点位置
• 基于黑名单的过滤和基于白名单的过滤。
• 在cookie中加入httponly属性可以在一定程度上保护用户的cookie,减少出现XSS时损失
• (1,apache2.2.x;2.注册网站,把攻击者自己的加了httponly的cookie复制过去,补全信息)
• Flash XSS的修复需要对相应的flash进行修改或升级替换。
常用编码
URL编码:一个百分号和该字符的ASCII编码所对应的2位十六进制数字。
# | %23 | . | %2e | + | %2b | ! | %21 |
< | %3c | > | %3e | 空格 | %20 | & | %26 |
( | %28 | ) | %29 | “ | %22 | ‘ | %27 |
HTML编码
HTML实体编码:&开头,分号结尾 如“<”编码为“<”
HTML10进制: “<”编码为<
HTML16进制: “<”编码为<
JavaScript编码:js提供了四种字符编码的策略
1、三个八进制数,如果不够个数,前面补0,例如“<”编码为“\074”
2、两个十六进制数,如果不够个数,前面补0,例如“<”编码为“\x3c”
3、四个十六进制数,如果不够个数,前面补0,例如“<”编码为“\u003c”
4、对于一些控制字符,使用特殊的C类型的转义风格(例如\n)
测试xss漏洞代码:
“ /></textarea><script>alert(1)</script> ” <script>alert(1)</script> <svg οnlοad=alert(1)> <img src=x οnerrοr=alert(1)> 过滤<> ' " javascript,整条base64编码 <img src=javascript:alert('XSS')> <img src=1 οnerrοr="\u0061\u006c\u0065\u0072\u0074(1)"> 对alert十进制HTNL实体编码 <img src=1 οnerrοr="\u0061\u006c\u0065\u0072\u0074`1`"> 对alert十六进制HTNL实体编码 <img src=1 οnerrοr="alert('xss')"> 实体编码的数字前加多个0绕过 <a href=javascr http://www.gdftu.org.cn/ ipt:alert(1)> <a href=<script>alert(1)</script>> <a href="data:text/html;base64,PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg==">test</a> base64加密 <a href="javasc
ript:alert(1)">click</a> H5新增实体命名编码 : => [冒号] 
 => [换行] (内容必须加引号) <iframe src=<script>alert(1)</script>></iframe> <object data=<script>alert(1)</script>></object> "οnclick=alert(1)// input标签过滤的<>符号 “οnchange=alert(1) οnfοcus=alert(1) autofocus onfcus=alert(1)
2.5 攻击防御
1. 在表单提交或者url参数传递前,对需要的参数进行过滤
2. 过滤用户输入的 检查用户输入的内容中是否有非法内容。如<>(尖括号)、”(引号)、 ‘(单引号)、%(百分比符号)、;(分号)、()(括号)、&(& 符号)、+(加号)等。、严格控制输出