渗透测试（第二章跨站脚本攻击基础）

前言：

大家好，我又来更新了，今天准备聊一聊跨站脚本攻击，我们今天先聊聊前置基础知识。

正文：

HTML基础：

HTML这个我之前讲过，里面介绍的很详细，想要了解的小伙伴可以查看下面链接，这里就不赘述了。

web基础（第一期——HTML语法介绍上）
web基础（第一期——HTML语法介绍下）

JavaScript基础：

Javascript ：是一种可以在浏览器中运行的脚本语言。
主要用来实现在浏览器端的动作：用户交互、数据处理

在HTML中JavaScript的存在方式：
1、< script > 标签中

<html>
	<head>
		<meta charset="utf-8"/>
		<script type="text/javascript">
			var test = "123"
			alert(test);
		</script>
	</head>
	<body>
	</body>
</html>

效果如下图：

2、在< script >的src属性或指定的外部文件中

<html>
	<head>
		<meta charset="utf-8"/>
		<script type="text/javascript" src="js/test.js"> </script> //外部引入
	</head>
	<body>
	</body>
</html>

test.js代码如下：

//将要执行的js文件，文件名为：test.js
var test = "123"
alert(test);

运行效果与第一个代码运行效果一致。

3、在某个HTML事件处理器中，如Onclick、Onmouseover等

<html>
	<head>
		<meta charset="utf-8"/>
	</head>
	<body>
		<input type="button" value="点击弹出对话框" onclick="var a='test'; alert(a)"/>
	</body>

</html>

**文档对象模型（Document Object Model 缩写：DOM）：**访问和操作HTML文档的标准方法，通过利用JavaScript来访问、操作HTML。

1、DOM操作-通过JavaScript改变网页内容：
（1）获取元素：getELementById（“name”）

<html>
	<head>
		<meta charset="utf-8"/>
	</head>
	<body>
		<p id="name">JavaScript基础</p>
		<script type="text/javascript">
			x=document.getElementById("name");
			alert('id为name的内容'+x.innerHTML);
		</script>
	</body>
</html>

（2）修改HTML元素内容：innerHTML赋值修改元素内容

x.innerHTML="Javascript真好玩"

（3）创建动态效果
document.write()写入HTML页面中

<html>
	<head>
		<meta charset="utf-8"/>
	</head>
	<body>
		<script type="text/javascript">
			document.write(Date());
		</script>
	</body>
</html>

（4）添加页面交互效果
利用事件属性，比如Onclick

<html>
	<head>
		<meta charset="utf-8"/>
	</head>
	<body>
		<p id="name">JavaScript基础</p>
		<script type="text/javascript">
			function changetext(id){
				id.innerHTML = "欢迎学习web渗透"
			}
		</script>
		<h2 onclick="changetext(this)">Click here</h2>
	</body>
</html>

常用的事件：

浏览器对象模型（Browser Object Model 缩写：BOM）： BOM 提供了与网页无关的浏览器功能对象，是用于描述这种对象与对象之间层次关系的模型，浏览器对象模型提供了独立于内容的、可以与浏览器窗口进行互动的对象结构。
功能：
（1）让浏览器弹出警告：

alert()   //弹出警告
confirm() //确定弹窗
prompt()  //提示弹窗

通常用来证明漏洞的存在，比如xss。
（2）获取Cookie信息：

document.cookie         //Cookie
alert(document.cookie)  //弹出Cookie

（3）获取浏览器信息：
屏幕信息（window.）screen

（4）获取/控制页面信息：

location

跨站脚本攻击：

跨站脚本（Cross-site Scripting）攻击： 攻击者通过网站注入点注入客户端可执行解析的payload（脚本代码），当用户访问网页时，恶意payload自动加载并执行，已达到攻击者目的（窃取Cookie、恶意传播、钓鱼欺骗等）。为了避免与HTML语言CSS相混淆，通常称他为“XSS”。

危害：
（1）获取用户信息；（如浏览器信息、IP地址、Cookie信息等）
（2）钓鱼；（利用XSS漏洞构造出一个登录框，骗取用户账户密码，提示登录过期，模拟一个网站登录框，将用户名、密码发送到攻击者服务器）
（3）注入木马或广告链接；（有些在主站注入非法网站的链接，对公司的声誉有一定影响）
（4）后台增删改网站数据等操作；（配合CSRF漏洞，骗取用户点击，利用js模拟浏览器发包）
（5）XSS蠕虫（微博蠕虫：只要看过某人的微博就是自动关注某人；贴吧蠕虫：看过某个帖子就自动回复这个帖子）

基础类型：
（1）反射性XSS：可用于钓鱼、引流、配合其他漏洞如CSRF等。
（2）存储型XSS：攻击范围广，流量传播大。可配合其他漏洞。
（3）DOM型XSS：配合，长度大小不受限制。
反射性XSS：
特点：仅一次执行，非持久型；参数型跨站脚本。
主要存在于攻击者将恶意脚本附加到URL的参数中，发送给受害者，服务端未经严格过滤处理，而输出在浏览器中，导致浏览器执行代码数据。

攻击流程：
攻击者发现存在反射型XSS的URL，根据输出点环境构造XSS代码，（进行编码，缩短增加迷惑性）发送给受害者（一般是通过邮箱），受害者点开链接，XSS代码执行，完成攻击者代码功能。

利用场景：
见到输入框就插入js文件，修改URL参数，

Payload：
经典测试:<script>alert('hack')</script>        //防护：过滤关键字
大写绕过:<SCRIPT>alert('hack')</SCRIPT>        //防护：过滤大小写
双写绕过:<scr<script>ipt>alert('xss')</script> //防护：使用正则表达式过滤
其他标签:<img src=1 onerror=alert('hack')/>    //防护：将输入实体化

存储型XSS：
特点：持久型。
主要存在于攻击者将恶意脚本存储到服务器数据库中，当用户访问包含恶意相关数据的页面时，服务端未经严格过滤处理而输出在用户浏览器中，导致浏览器执行代码数据。

利用场景：
多见于评论留言，个人信息等地方。
防护：
（1）将输入进行实体编码
（2）使用函数去除HTML、PHP标签

DOM型XSS：
特点：通过JavaScript操作document，实现dom树的重构。
主要存在于用户能修改页面的dom，造成客户端Payload在浏览器中执行。

原理：
（1）攻击者找到目标网页中存在漏洞的JavaScript代码。
（2）攻击者使用恶意输入修改DOM元素的属性或事件处理程序。
（3）用户在浏览器中打开被篡改的页面时，浏览器会解析DOM结构并执行恶意脚本，导致攻击成功。

跨站脚本攻击漏洞绕过及防御

绕过：
（1）、<>被过滤：

假如在特殊标签下的时候，可以构造一些事件触发：
" autofocus οnfοcus=alert(1)"

（2）、alert被过滤：

使用编码；或者使用prompt和confirm弹窗
<a href=data:/html:base64,PHNjcmlwdD5hbGVydCgzKTwvc2NyaXB0Pg==>(firefox可，Chrome也不行)
<svg/onload=prompt(1)/>
<a href=j&#x61;v&#97script&#97lert(13)>M

（3）on事件过滤

<from><button formaction=javascript&colon;alert(1)>M
<a href="javascript:alert(document.location);">XSS</a>
<b style="width:expression(alert(document.location));>"XSS</b>（IE6以下可用）
<math><a xlink:href=javascript:alert(1)>1</a></math>(firefox可以，Chrome不行)
可以执行js的属性
formaction action href xlink:href src content data

(4)其他

标签和属性之间并不是只能出现空格	有时候并不需要一个合法的标签
<img/src=x onerror=alert(1)>	<M/>onclick="alert(1)">M

防御
1.阻止恶意代码注入
2.阻止恶意操作执行

不管是反射型还是存储型xss，都能通过服务端过滤进行防御：

• 黑名单：过滤特殊符号及字符
  如<、>、%、#、/、"、、；、(、)、script、svg、object、on事件等

• 白名单：只允许特定类型或符号
  根据输入的数据特征限制使用的类型，如年龄限制为数字类型；输入类型为字符型限制为仅可使用大小写的26个字母及数字及 - 和 _ ；等

• 编码及转义
  输出在标签或属性中进行HTML编码；
  输出在script标签或事件中进行JavaScript编码；
  输出在URL中进行URL编码。

• cookie中设置httponly
  setcookie将httponly选项设置为true，防范Cookie劫持

• 确保执行脚本来源可信
  开发者明确告诉客户端，哪些外部资源可以加载和执行(CSP策略)

• 不使用有缺陷的第三方库

//不同语言防范xss的函数
PHP:htmlentities()、htmlspecialchars()
Python: cgi.escape()
ASP: Server.HTMLEncode()
ASP.NET:Server.HtmlEncode)、Microsoft Anti-Cross Site ScriptingLibrary 
Java:xssprotect(Open Source Library)
Node.js:node-validator
htmlspecialchars默认配置是不过滤单引号的。只有设置了：quotestvle 选项为ENT QUOTES才会过滤单引号。

好了，这大概就是今天的内容，下一期我们会在DVWA上进行xss漏洞的实操，如果没有搭建靶场的小伙伴可以找一下教程去搭建一下靶场，很简单的。那下次文章再见！