XSS跨站脚本攻击详解以及复现gallerycms字符长度限制短域名绕过

一.什么是XSS

1.XSS原理

跨网站脚本（Cross-site scripting，XSS） 又称为跨站脚本攻击，是一种经常出现在Web应用程序的安全漏洞攻击，也是代码注入的一种。XSS是由于Web应用程序对用户的输入过滤不足而产生的，攻击者利用网站漏洞把恶意的脚本代码注入到网页之中，当其他用户浏览这些网页时，就会执行其中的恶意代码，对受害者用户可能采取Cookie窃取、会话劫持、钓鱼欺骗等各种攻击。这类攻击通常包含了HTML以及用户端脚本语言。
XSS攻击通常指的是通过利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript，但实际上也可以包括Java、VBScript、ActiveX、 Flash或者甚至是普通的HTML。攻击成功后，攻击者可能得到更高的权限（如执行一些操作）、私密网页内容、会话和cookie等各种内容。

如上图所示，在URL中将搜索关键字设置为JS代码，执行了alert()函数。该图中，上面有一个URL，下面是一个页面返回的HTML代码，我们可以看到白色部分HTML是我们事先定义好的，黑色部分参数是用户想搜索的关键词。当我们搜索了test+Div最后等于123，后台反馈页面的搜索引擎会告诉用户搜索了什么关键词，结果如何等等。
这个地方如果没有做好转移，可能会造成XSS跨站，我们可以看到蓝色部分是我们事先定义好的结构，被攻击者利用之后它先把这个DIV结束了，最后加上一个script标签，它也有可能不跟你谈标签，直接发送到它的服务器上。参数未经过安全过滤，然后恶意脚本被放到网页中执行，用户浏览的时候就会执行了这个脚本。
该漏洞存在的主要原因：
参数输入未经过安全过滤
恶意脚本被输出到网页
用户的浏览器执行了恶意脚本

2.XSS危害

XSS跨脚本攻击主要的危害如下：

网络钓鱼，包括盗取各类用户账号
窃取用户Cookies资料，从而获取用户隐私信息，或利用用户身份进一步对网站执行操作
劫持用户浏览器会话，从而执行任意 操作，例如进行非法转账、强制发表日志、发送电子邮件等
强制弹出广告页面、恶意 刷流量等
网站挂马，进行恶意操作，例如任意篡改页面信息、非法获取网站信息、删除文件等
进行大量的客户端攻击，例如DDOS攻击、传播跨站脚本蠕虫等
获取用户端信息 ，；例如用户的浏览记录、真实IP地址、开放的端口等
结合其他漏洞，如CSRF漏洞，实施进一步作恶

二.XSS分类

反射型
也称为非持久型、参数型跨站脚本。这种类型的跨站脚本是最常见，也是使用最广泛的一种，主要用于恶意脚本附加到URL地址的参数中。一般出现在输入框、URL参数处。
持久型
持久型跨站脚本也可以说是存储型跨站脚本，比反射型XSS更具威胁性，并且可能影响到Web服务器自身安全。一般出现在网站的留言、评论、博客日志等于用户交互处。

1.反射型

反射型又称为非持久型、参数型跨站脚本。这种类型的跨站脚本是最常见，也是使用最广泛的一种，主要用于恶意脚本附加到URL地址的参数中。它需要欺骗用户自己去点击链接才能触发XSS代码（服务器中没有这样的页面和内容），一般容易出现在搜索页面、输入框、URL参数处。反射型XSS大多数是用来盗取用户的Cookie信息。

反射型XSS通常出现在搜索等功能中，需要被攻击者点击对应的链接才能触发，且受到XSS Auditor(chrome内置的XSS保护)、NoScript等防御手段的影响较大，所以它的危害性较存储型要小。

案例

xss-labs第一关无过滤机制，可以发现题目没有输入框，但是url栏中有一个参数，所以尝试传入其他参数

发现页面有变化，在"欢迎用户"后显示了一个1说明可以对传入的参数进行输出，所以在下方还有对字符串长度的统计，所以我们尝试构造脚本<script>alert(1)</script>

<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()  
{
          
confirm("完成的不错！");
 window.location.href="level2.php?keyword=test"; 
}
</script>
<title>欢迎来到level1</title>
</head>
<body>
<h1 align=center>欢迎来到level1</h1>
<?php 
ini_set("display_errors", 0);
$str = $_GET["name"];
echo "<h2 align=center>欢迎用户".$str."</h2>";
?>
<center><img src=level1.png></center>
<?php 
echo "<h3 align=center>payload的长度:".strlen($str)."</h3>";
?>
</body>
</html>

根据源码可以看出，程序将用户以GET方式提交的参数name，没有做任何防御措施就直接显示在HTML页面中，因此存在反射型的XSS漏洞，直接将代码传入name变量中即可触发漏洞。

2.存储型

存储型XSS又称为持久型跨站脚本，比反射型XSS更具威胁性，并且可能影响到Web服务器自身安全。它的代码是存储在服务器中的，如在个人信息或发表文章等地方，插入代码，如果没有过滤或过滤不严，那么这些代码将储存到服务器中，用户访问该页面的时候触发代码执行。存储型XSS一般出现在、评论、博客日志等于用户交互处，这种XSS比较危险，容易造成蠕虫、盗窃cookie等。