web渗透测试-从入门到放弃-05存储型XSS与DOM型漏洞

存储型XSS漏洞

存储型XSS跟反射型形成的原因一样，不同的是存储型XSS下攻击者可以将脚本注入到后台存储起来，构成更加持久的危害，因此存储型XSS也称“永久型”XSS；

打开pikachu网站-cross-site-scripting

这里可以看到这个是一个留言板，然后我们按照之前的思路，再这个输入点，输入一些特殊字符看看是否有被过滤转移。

这里看到我们输入的一些特殊字符被原封不动的记录了下来，然后我们查看一下页面源代码，页面-右键-产看页面源代码，按下ctrl+f查找下我们刚刚输入的特殊字符6666。

我们可以发现，我们输入的特殊字符，也是被输出到了一个p标签中的，可以看到和之前的反射型XSS差不多，是没有做特殊字符过滤转义处理的。
回到刚刚的留言板，我们输入一串js脚本

<script>alert("xss")</script>

然后我们点击提交

可以看到我们输入的js脚本在输出的时候被执行了，因为这是一个留言板，也就是说我们刚刚输入的js脚本也被存入了数据库，每当我们访问这个网页的时候就会执行js代码。
每当我们访问这个也也买你的时候就会执行我们之前的js代码，因为这个留言已经被存储到数据库中了。
引起的原因：
后端没有对输出的特殊字符进行转义和过滤。

$link=connect();
$html='';
if(array_key_exists("message",$_POST) && $_POST['message']!=null){
    $message=escape($link, $_POST['message']);
    $query="insert into message(content,time) values('$message',now())";
    $result=execute($link, $query);
    if(mysqli_affected_rows($link)!=1){
        $html.="<p>数据库出现异常，提交失败！</p>";
    }
    
$query="select * from message";
$result=execute($link, $query);
while($data=mysqli_fetch_assoc($result)){
	echo "<p class='con'>{$data['content']}</p><a href='xss_stored.php?id={$data['id']}'>删除</a>";
}

DOM型XSS

DOM：在前端通过，javascript对html进行操作的一个借口。
例子:

<!DOCTYPE html>
<html>
<head>
<meta charset="utf-8">
<title>W3Cschool教程(w3cschool.cn)</title>
</head>
<head>
<script>
function changetext(id){
	id.innerHTML="Ooops!";//js脚本通过dom接口访问html
}
</script>
</head>
<body>

<h1 onclick="changetext(this)">点击文本!</h1>

</body>
</html>

这个代码执行的这整一个过程都是通过dom在前端完成的，并没用通过什么请求与后端交互。

通过pikachu平台做一个演示

我们先输入123进行测试，然后发现，页面返回了一个类似于a标签的东西。
我们再来查看下页面的源码，页面-右键-查看页面源代码，按下ctrl+f对刚刚的a标签进行查找。

然后我们发现，找出一段js的代码，首先它用了一下dom里面的getElementById这个方法去获取id=text的这一个值。

var str = document.getElementById("text").value;

然后我们发现这个text的内容就是我们在输入点输入的一个内容，这行代码，把我们输入的内容赋值给了str，然后使用字符串拼接的方式写到了这个a标签的href当中，整个意思就是说，我们在这个input标签（输入点）里面输入的字符串之后，它就会把这个字符串通过dom的方法拼接到这个a标签当中href上来，这是它的一整个逻辑。

然后我们通过之前测试XSS漏洞的步骤来测试是否存在XSS漏洞。

可是DOM型XSS与之前的反射型，和存储型，有所不同，它是前端通过DOM来进行操作的，并没有与后台进行交互，这里我们复制一下：

<a href='"+str+"'>what do you see?</a>

然后在这个做一个分析， 中间的这个str就是我们输入的内容，我们在这里可以输入一些内容对前面的href进行一个闭合操作。

<a href='#' onclick="alert(111)">'>what do you see?</a>

我们把构造的输入拿出来：#‘ οnclick=“alert(111)”>，我们把这串输入复制到DOMXSS，点击click me后返回了一行a标签，这个时候我们点击a标签的话，应该是能够按照我们的预期弹出一个111的弹框的。

点击a标签后，就弹出了一个111的弹框，也就是说这里是存在一个dom型的一个xss漏洞的。