存储型XSS漏洞
存储型XSS跟反射型形成的原因一样,不同的是存储型XSS下攻击者可以将脚本注入到后台存储起来,构成更加持久的危害,因此存储型XSS也称“永久型”XSS;
打开pikachu网站-cross-site-scripting
这里可以看到这个是一个留言板,然后我们按照之前的思路,再这个输入点,输入一些特殊字符看看是否有被过滤转移。
这里看到我们输入的一些特殊字符被原封不动的记录了下来,然后我们查看一下页面源代码,页面-右键-产看页面源代码,按下ctrl+f查找下我们刚刚输入的特殊字符6666。
我们可以发现,我们输入的特殊字符,也是被输出到了一个p标签中的,可以看到和之前的反射型XSS差不多,是没有做特殊字符过滤转义处理的。
回到刚刚的留言板,我们输入一串js脚本
<script>alert("xss")</script>
然后我们点击提交
可以看到我们输入的js脚本在输出的时候被执行了,因为这是一个留言板,也就是说我们刚刚输入的js脚本也被存入了数据库,每当我们访问这个网页的时候就会执行js代码。
每当我们访问这个也也买你的时候就会执行我们之前的js代码,因为这个留言已经被存储到数据库中了。
引起的原因:
后端没有对输出的特殊字符进行转义和过滤。
$link=connect();
$html='';
if(array_key_exists("message",$_POST) && $_POST['message']!=null){
$message=escape($link, $_POST['message']);
$query="insert into message(content,time) values('$message',now())";
$result=execute($link, $query);
if(mysqli_affected_rows($link)!=1){
$html.="<p>数据库出现异常,提交失败!</p>";
}
$query="select * from message";
$result=execute($link, $query);
while($data=mysqli_fetch_assoc($result)){
echo "<p class='con'>{$data['content']}</p><a href='xss_stored.php?id={$data['id']}'>删除</a>";
}
DOM型XSS
DOM:在前端通过,javascript对html进行操作的一个借口。
例子:
<!DOCTYPE html>
<html>
<head>
<meta charset="utf-8">
<title>W3Cschool教程(w3cschool.cn)</title>
</head>
<head>
<script>
function changetext(id){
id.innerHTML="Ooops!";//js脚本通过dom接口访问html
}
</script>
</head>
<body>
<h1 onclick="changetext(this)">点击文本!</h1>
</body>
</html>
这个代码执行的这整一个过程都是通过dom在前端完成的,并没用通过什么请求与后端交互。
通过pikachu平台做一个演示
我们先输入123进行测试,然后发现,页面返回了一个类似于a标签的东西。
我们再来查看下页面的源码,页面-右键-查看页面源代码,按下ctrl+f对刚刚的a标签进行查找。
然后我们发现,找出一段js的代码,首先它用了一下dom里面的getElementById这个方法去获取id=text的这一个值。
var str = document.getElementById("text").value;
然后我们发现这个text的内容就是我们在输入点输入的一个内容,这行代码,把我们输入的内容赋值给了str,然后使用字符串拼接的方式写到了这个a标签的href当中,整个意思就是说,我们在这个input标签(输入点)里面输入的字符串之后,它就会把这个字符串通过dom的方法拼接到这个a标签当中href上来,这是它的一整个逻辑。
然后我们通过之前测试XSS漏洞的步骤来测试是否存在XSS漏洞。
可是DOM型XSS与之前的反射型,和存储型,有所不同,它是前端通过DOM来进行操作的,并没有与后台进行交互,这里我们复制一下:
<a href='"+str+"'>what do you see?</a>
然后在这个做一个分析, 中间的这个str就是我们输入的内容,我们在这里可以输入一些内容对前面的href进行一个闭合操作。
<a href='#' onclick="alert(111)">'>what do you see?</a>
我们把构造的输入拿出来:#‘ οnclick=“alert(111)”>,我们把这串输入复制到DOMXSS,点击click me后返回了一行a标签,这个时候我们点击a标签的话,应该是能够按照我们的预期弹出一个111的弹框的。
点击a标签后,就弹出了一个111的弹框,也就是说这里是存在一个dom型的一个xss漏洞的。