XSS的原理和分类
跨站脚本攻击XSS(Cross Site Scripting),为了不和层叠样式表CSS(Cascading Style Sheets)重名,故缩写为XSS。
XSS属于被动式的攻击: 因为其被动且不好利用,所以许多人常呼略其危害性。
XSS漏洞的问题原因: 主要是由于开发人员对XSS了解不足,安全的意识不够造成的,因为没有对用户的输入进行一个合法的过滤或者没有过滤完善,导致用户把相应的恶意代码输入的了页面当中。
XSS攻击的主要目的: 想办法获取目标攻击网站的cookie,因为有了cookie相当于有了seesion,有了这些信息就可以在任意能接进互联网的pc登陆该网站,并以其他人的生份登陆,做一些破坏。
预防措施: 防止下发界面显示html标签,把</>等符号转义。请记住两条原则:过滤输入和转义输出。
XSS漏洞分类
1.反射型XSS
反射型XSS的危害并不是那么大,因为反射型XSS不会插入数据库中,也并不持久,它只能运行一次就结束了。用户提交的数据中可以构造代码来执行,从而实现窃取用户信息等攻击。 需要诱使用户“点击”一个恶意链接,才能攻击成功。
2.DOM型
DOM-basedXSS漏洞是基于文档对象模型(Document Object Model)的一种漏洞。这种XSS与反射型XSS、持久型XSS在原理上有本质区别,它的攻击代码并不需要服务器解析响应,触发XSS靠的是浏览器端的DOM解析。客户端上的JavaScript脚本可以访问浏览器的DOM并修改页面的内容,不依赖服务器的数据,直接从浏览器端获取数据并执行。
在客户端直接输出DOM内容的时候极易触发DOM型XSS漏洞,如
document.getElementByld(“x’).innerHTML、document.write)等。
3.储存型
存储型XSS又叫持久型。一般而言,它三种XSS里危害最大的一种。此类型的XSS漏洞是由于恶意攻击代码被持久化保存到服务器上,然后被显示到HTML页面之中。这类漏洞经常出现在用户评论的页面,攻击者精心构造XSS代码,保存到数据库中,当其他用户再次访问这个页面时,就会触发并执行恶意的XSS代码,从而窃取用户的敏感信息。它的利用过程如图所示。
DOM型和反射型的区别
反射型XSS:通过诱导用户点击,我们构造好的恶意payload才会触发的XSS。 反射型XSS的检测我们在每次请求带payload的链接时页面应该是会带有特定的畸形数据的。
DOM型:通过修改页面的DOM节点形成的XSS。 DOM-based XSS由于是通过js代码进行dom操作产生的XSS,所以在请求的响应中我们甚至不一定会得到相应的畸形数据。 根本区别在我看来是输出点的不同。
XSS漏洞查找方法
- 黑盒测试
所谓黑盒测试, 就是在不知道系统的代码和运行状态的条件下,对系统进行的测试。在对XSS漏洞的检测中,我们可以模拟黑客的攻击手段,在所有可能的数据输入接口处,尝试 进行一些XSS注入。通过观察注入后的引用这些数据的页面,看其是否出现被注入的现象,即可确实是否存在XSS漏洞。比如我们可以用下面所列的一些脚本来 尝试XSS注入:
=’>
<imgsrc=/uploadfile/2015/0301/20150301105236644.png” nerror=”alert(’XSS’)”>
-
静态分析
静态分析方法属于白盒测试方法的一种,它通过对Web应用的代码进行分析,从而发现其中可能存在的问题。 -
数据流分析
XSS 之所以产生,根本原因在于不安全的数据流, 使得用户的输入数据被直接嵌入到某些页面中。比如PHP中的echo语句,就能够将一些数据直接添加为 HTML页面的一部分,如果这个数据是用户注入了XSS脚本的数据,则会导致产生XSS攻击。因此,数据流分析的主要思想就是使用一些模型或者工具,分析 Web应用程序代码中的数据传输情况,从而发现其中存在的问题。
1、XSS定位器
在大多数存在漏洞且不需要特定XSS攻击代码的地方插入下列代码会弹出包含“XSS”字样的对话框。使用URL编码器来对整个代码进行编码。
小技巧:如果你时间很紧想要快速检查页面,通常只要插入“<任意文本>”标签,然后观察页面输出是否明显改变了就可以判断是否存在漏洞:
‘;alert(String.fromCharCode(88,83,83))//’;alert(String.fromCharCode(88,83,83))//”;
alert(String.fromCharCode(88,83,83))//”;alert(String.fromCharCode(88,83,83))//–
”>’>
2、XSS定位器(短)
如果你没有足够的空间并且知道页面上没有存在漏洞的JavaScript,这个字符串是一个不错的简洁XSS注入检查。注入后查看页面源代码并且寻找是否存在**<XSS** 或**<XSS**字样来确认是否存在漏洞?
”;!–”=&{()}
3、无过滤绕过
这是一个常规的XSS注入代码,虽然通常它会被防御,但是建议首先去测试一下。(引号在任何现代浏览器中都不需要,所以这里省略了它):
4、利用多语言进行过滤绕过
‘”>>”></plaintext></|><plaintext/οnmοuseοver=prompt(1)>
<img/id=”confirm(1)”/alt=”/”src=”/”οnerrοr=eval(id)>’”>
5、通过JavaScript命令实现的图片XSS
图片注入使用JavaScript命令实现(IE7.0 不支持在图片上下文中使用JavaScript 命令,但是可以在其他上下文触发。下面的例子展示了一种其他标签依旧通用的原理):
6、无分号无引号
7、不区分大小写的XSS攻击向量
8、HTML实体
必须有分号才可生效
9、重音符混淆
如果你的JavaScript代码中需要同时使用单引号和双引号,那么可以使用重音符(`)来包含JavaScript 代码。这通常会有很大帮助,因为大部分跨站脚本过滤器都没有过滤这个字符:
<IMG SRC=javascript:alert(“RSnake says, ‘XSS’”)>
10.、畸形的A标签
跳过HREF标签找到XSS的重点…由DavidCross提交~已在Chrome上验证:
xxs link
此外Chrome经常帮你补全确实的引号…如果在这方面遇到问题就直接省略引号,Chrome会帮你补全在URL或脚本中缺少的引号。
xxs link
11、畸形的IMG标签
最初由Begeek发现(短小精湛适用于所有浏览器),这个XSS攻击向量使用了不严格的渲染引擎来构造含有IMG标签并被引号包含的XSS攻击向量。我猜测这种解析原来是为了兼容不规范的编码。这会让它更加难以正确的解析HTML标签:
<IMG “”">”>
12、fromCharCode函数
如果不允许任何形式的引号,你可以通过执行JavaScript里的fromCharCode函数来创建任何你需要的XSS攻击向量:
13、使用默认SRC属性绕过SRC域名过滤器
这种方法可以绕过大多数SRC域名过滤器。将JavaScript代码插入事件方法同样适用于注入使用elements的任何HTML标签,例如Form,Iframe, Input, Embed等等。它同样允许将事件替换为任何标签中可用的事件类型,例如onblur,onclick。下面会给出许多不同的可注入事件列表。
14、使用默认为空的SRC属性
<IMG SRC= οnmοuseοver=”alert(‘xxs’)”>
15、使用不含SRC属性
16、通过error事件触发alert
1
17、对IMG标签中onerror属性进行编码
18、十进制HTML字符实体编码
所有在IMG标签里直接使用javascript:形式的XSS示例无法在Firefox或Netscape8.1以上浏览器(使用Gecko渲染引擎)运行。
<IMG SRC=javascript:alert(
'XSS')>
19、不带分号的十进制HTML字符实体编码
这对于绕过对“&#XX;”形式的XSS过滤非常有用,因为大多数人不知道最长可使用7位数字。这同样对例如$tmp_string =~s/.&#(\d+);./$1/;形式的过滤器有效,这种过滤器是错误的认为HTML字符实体编码需要用分号结尾(无意中发现的):
<IMG SRC=javascript:a&
#0000108ert('XSS')>
20、不带分号的十六进制HTML字符实体编码
这是有效绕过例如$tmp_string =~ s/.&#(\d+);./$1/;过滤器的方法。这种过滤器错误的认为#号后会跟着数字(十六进制HTML字符实体编码并非如此)
388
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
