存储型XSS漏洞源码审计

最新推荐文章于 2024-07-07 21:44:34 发布
最新推荐文章于 2024-07-07 21:44:34 发布
阅读量888 收藏 16
点赞数 34
文章标签: xss 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74003366/article/details/139919204
版权

记一次简单的源码审计流程,审计方法参考先前博客:

phpstorm + phpstudy 进行php项目调试和调试时超出连接时长500问题_phpstudy接口请求超时-CSDN博客

存储型XSS——/monstra-3.0.4/users/1/edit

漏洞复现

注册用户并登录,

获取Cookie: _ga=GA1.1.696573224.1717850752; XDEBUG_SESSION=XDEBUG_ECLIPSE; PHPSESSID=0c26ifno9mng4dsc3h99f8qnf2; _gid=GA1.1.1605504635.1718256879

,点击Edit profile进入/monstra-3.0.4/users/1/edit

在About Me字段输入payload:</textarea><script>alert(1)</script>

点击Save后,payload通过post方法发送给服务器

再次点击Edit profile进入/monstra-3.0.4/users/5/edit,返回页面就成功把payload显示到前端about_me字段

上述图片可以看到触发了XSS

该xss为存储型xss漏洞,刚刚输入的payload会存储在本地数据库\monstra-3.0.4\storage\database\users.table.xml中,以下是数据库中对应的内容

漏洞成因:

对于用户输入的数据</textarea><script>alert(1)</script>

虽然经过htmlspecialchars()函数转义特殊字符”<”,”>”为< >后

再存储  </textarea><script>alert(1)</script>

但是当网页再次通过以下方式读取时:

$xml = file_get_contents($file); $data = simplexml_load_string($xml);

$data->xpath()

会将数据库中原本已经成功转义在存储的特殊字符重新变回原本的”<”和”>”

从而导致xss漏洞产生

下面是源码调试过程:

Xss触发路径为/monstra-3.0.4/users/5/edit,

该路径对应的php文件:monstra-3.0.4/plugins/box/users/views/frontend/edit.view.php

edit.view.php文件第40行,调用echo方法直接输出$user数组变量中的’about_me’对应的value值;

而Array类型变量$user在edit.view.php的父文件users.admin.php中第114行定义,如下图

这一行代码中$users变量通过select方法,查询数据库中user_id对于的数据并通过Array的形式返回给先前提到的$user变量。

$user变量在users.admin.php中第22行定义,是一个Table类

Table类在monstra-3.0.4/engine/Xmldb/Table.php文件中被定义

在Table.php文件中第444行定义select方法,其中在454行调用xpath方法来对xml类型的数据库对象进行数据查询,并接受返回值

这个xml_object是Table类实例化时调用__constract()方法给实例的内置Array类型变量table所绑定的key,它在创建实例时赋初值,是SimpleXMLElement类型对象。对应函数参考下图:

可以发现其中的XML::loadFile方法就是返回’xml_object’对应的value取值

而在XML.php文件中的loadFile方法,最关键的两条函数便是

$xml = file_get_contents($file); $data = simplexml_load_string($xml);

最终return $data就是返回了SimpleXMLElement类型对象

补充payload存储时经过:

Payload在存储时会经过如下函数,被htmlspecialchar()转义特殊字符

总结:

当用户输入payload,存储进数据库后,再次访问/monstra-3.0.4/users/5/edit时,会因为执行echo $user[about_me]实现xss,这个$user的值是通过Table类的select方法:识别user_id拼接入xpath定位方法,查询对应数据库中的值并返回,生成SimpleXMLElement类型对象,再把SimpleXMLElement对象转换为对应Array类型对象然后retutn,最终赋值给$user[about_me]变量。虽然在用户写入payload时,会通过htmlspecialchars()函数转义特殊字符,当在读取数据时——“生成SimpleXMLElement类型对象”这一步会导致先前被转义字符变回原本字符形式,最终导致存储型xss漏洞。

OoLs
关注
  • 34
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
XSS漏洞分析
qq_50646296的博客
07-28 1444
一个挖漏洞项目,可以将它的hook.js通过XSS的方法被存储到某个网站,然后那个网站只要访问这个页面信息,那么整个网站就被监控了。此时查看设备已经在线,可以看到已经拿到了服务端那里的cookie,并且可以任意修改网站的配置文件,危害十分巨大。XSS代码被存储到服务器上的数据库里的某张表的字段里,或者页面,或者某个上传文件里,此类危害最大。里插入恶意JS代码,当用户浏览该页之时,嵌入其中Web里面的JS代码会被执行,从而。利用我们所知道的各种黑魔法,向Web页面插入JS代码,让JS代码可以被浏览器执行,.
存储XSS漏洞的挖掘
weixin_44186370的博客
08-20 1061
存储XSS漏洞的挖掘 在第2节中我们曾经演示过如何发掘一些简单的XSS漏洞,以及确定XSS漏洞的基本方法是使用攻击字符串。例如把“”之类的字符串提交给应用程序的每个参数,同时监控这个输入的响应,如果攻击字符串原样出现在响应中,那么几乎可以肯定应用程序存在XSS漏洞,现在的许多自动化测试工具就是基于这项规则实现的。但是有些时候使用上述基本方法,可能无法确定应用程序中是否存在XSS漏洞。因为触发XSS的形式和因素众多,而且手段灵活多变,所以,需要建立一套完整的测试方案,甚至要运用多种特别的方法和技术。实际上,
XSS攻击的理解及防范
浮生离梦的博客
08-15 1015
1. XSS XSS(Cross-Site Scripting,跨站脚本攻击)是一种代码注入攻击,攻击者在目标网站上注入恶意代码,当被攻击者登陆网站时就会执行这些恶意代码,这些脚本可以读取 cookie,session tokens,或者其它敏感的网站信息,对用户进行钓鱼欺诈,甚至发起蠕虫攻击等 2. XSS 的本质 恶意代码未经过滤,与网站正常的代码混在一起;浏览器无法分辨哪些脚本是可信的,导致...
324、Vue学习笔记30 -【安全】 2020.04.21
youyouwuxin1234的博客
04-21 560
0、目录1、报告安全漏洞2、第一原则:永远不要使用不可信任的模板3、Vue 的安全措施3.1 HTML 内容3.2 Attribute 绑定4、潜在危险4.1 注入 HTML4.2 注入 URL4.3 注入样式4.4 注入 JavaScript5、最佳实践6、后端协作7、服务端渲染 (SSR)8、参考链接 1、报告安全漏洞 当我们收到一个安全漏洞报告,将给予其最高优先级,并由全职贡献者停下...
xss漏洞存储XSS漏洞之钓鱼及键盘记录
weixin_43526443的博客
04-24 612
一、攻击方脚本代码     1. 钓鱼脚本 1.1.1 弹出伪造验证框脚本 <?php error_reporting(0); // var_dump($_SERVER); if ((!isset($_SERVER['PHP_AUTH_USER'])) || (!isset($_SERVER['PHP_AUTH_PW']))) { //发送...
Java权限中遇到的问题汇总
邱慕夏 没有比脚更长的路,没有比人更高的山
08-30 4049
一直在做ITOOJava权限,做这一部分,一上来就遇到很多的问题,这些问题因为先前没有做过,有点心有余而力不足。问题很多,大致是一上来之后,看懂了就不觉得难了。 我将错误一直记录在我的onenote里面,为之后的学习提供资料,这些问题大致都是遇到了解决了,下回就没有问题了,做完之后一个感觉,这个项目封装的很不错,一个新手上来,并没有非多大的力气就能很快加入到项目中,而且项目有很好的封装性
存储XSS与DOMXSS
qq_68233961的博客
08-30 1086
存储XSS与DOMXSS
YXcms-含有存储XSS漏洞源码
03-17
"YXcms-含有存储XSS漏洞源码包" 这个标题揭示了我们要讨论的核心内容。YXcms是一个内容管理系统(CMS),它不幸地包含了存储跨站脚本(Stored XSS)的安全漏洞存储XSSXSS攻击的一种类,这种漏洞通常...
YXcms-含有存储XSS漏洞源码包(1).zip
12-31
YXcms是一个常见的内容管理系统,但在这个特定的版本——"YXcms-含有存储XSS漏洞源码包(1).zip"中,存在一个严重的安全问题:存储跨站脚本(Stored Cross-Site Scripting,简称存储XSS漏洞。这种漏洞允许...
Xss学习研究平台源码.zip
05-12
存储XSS是将恶意脚本存储在服务器上,当用户访问含有恶意脚本的页面时,脚本会在用户的浏览器中执行。反射XSS则是通过诱使用户点击链接,链接中包含的恶意脚本会立即在用户的浏览器中执行。DOMXSS则与前两者...
最新完善版XSS平台源码 【40多个模块】,xss源码下载,PHP
03-26
首先,我们需要理解XSS攻击的类,主要分为三类:反射XSS存储XSS和DOMXSS。反射XSS是通过诱使用户点击带有恶意脚本的链接来触发;存储XSS则是在服务器端存储了恶意脚本,当用户访问特定页面时被执行;...
XSS跨站脚本攻击漏洞修复方法
06-18
存储XSS攻击是恶意脚本被永久地存储在目标服务器上,当其他用户访问该页面时,脚本会在他们的浏览器中执行。 3. **DOMXSS(DOM-based XSS)**: 这种类XSS不依赖服务器响应,而是利用了网页的DOM...
XSS平台的搭建
最新发布
weixin_42515203的博客
07-07 200
XSS平台的搭建
Vuex 核心揭秘:打造高效前端状态库
a3098448071的博客
07-03 1101
状态(State)类似于 Vue 组件的data属性,用于存储组件的响应式数据。在 Vuex 中,state用于存储整个应用的全局状态。Getters类似于 Vue 组件的computed计算属性,它们用于从其他数据派生出新的数据。在 Vuex 中,getters用于从state中派生出一些状态,这些状态可以根据state的变化而缓存或重新计算。Mutations类似于 Vue 组件的methods中的方法,用于改变组件的data。在 Vuex 中,mutations用于改变state。
WHAT - NextJS 的路由系统和 react-router-dom
weixin_58540586的博客
07-04 898
不,Next.js 的路由系统并不基于。Next.js 本身内置了自己的路由系统,并且在其生命周期和工作方式上与有所不同。
【vueUse库Component模块各函数简介及使用方法--上篇】
xiejunlan的博客
07-02 1398
vueUseComponent函数理解 `computedInject` 的概念模拟 `computedInject`使用场景总结构想`createReusableTemplate`的用途可能的实现方式方法一:使用高阶组件(HOC)方法二:使用插槽(Slots)和默认插槽内容结论构想`createTemplatePromise`的用途可能的实现方式使用Vue 3的异步组件构想中的`createTemplatePromise`结论使用Vue的`ref`属性在模板中引用元素或组件示例:引用模板中的DOM元素。
Vue前端打包
weixin_63680330的博客
07-04 290
介绍:Nginx是一款轻量级的Web服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器。其特点是占有内存少,并发能力强,在各大互联网公司都有非常广泛的使用。启动:双击nginx.exe 文件启动,服务器默认占用80端口。官网:https://nginx.org/打包好的dist目录赋值到html下。html静态资源文件目录。conf 配置文件目录。logs日志文件目录。temp临时文件目录。
JWT(JSON Web Token)
Casual_Lei的博客
07-03 1294
JWT 提供了一种简洁而强大的方式来进行身份验证和授权,特别适用于分布式系统和微服务架构。Spring Security 通过其强大的扩展机制,使得与 JWT 的集成变得非常简单和高效。通过了解和应用这些技术,开发者可以构建出安全、可靠的现代 Web 应用。
极致CMS(以下简称_JIZHICMS)的一次审计-SQL注入+储存行XSS+逻辑漏洞.pdf
03-22
存储XSS漏洞是指攻击者能够在服务器端存储恶意脚本,当其他用户访问包含这些脚本的页面时,脚本会被执行。审计者可能在`Home`目录下用户的文件或者`Public`目录中的上传文件中发现了此类漏洞,因为这些地方有可能...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值