前言
XSS 的原理是 WEB 应用程序混淆了用户提交的数据和 JS 脚本的代码边界,导致浏览器把用户的输入当成了 JS 代码来执行。XSS 的攻击对象是浏览器一端的普通用户。
XSS 又叫 CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往 Web 页面里插入恶意 html 代码,当用户浏览该页之时,嵌入其中 Web 里面的 html 代码会被执行,从而达到恶意用户的特殊目的。它与 SQL 注入攻击类似,SQL 注入攻击中以 SQL 语句作为用户输入,从而达到查询 / 修改 / 删除数据的目的,而在 xss 攻击中,通过插入恶意脚本,实现对用户游览器的控制,获取用户的一些信息。
一、XSS详解
XSS分为:存储型 、反射型 、DOM型XSS
存储型
存储型XSS,持久化,代码是存储在服务器中的,如在个人信息或发表文章等地方,插入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器中,用户访问该页面的时候触发代码执行。这种XSS比较危险,容易造成蠕虫,盗窃cookie
反射型
非持久化,需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面。反射型XSS大多数是用来盗取用户的Cookie信息。
DOM型
不经过后端,DOM-XSS漏洞是基于文档对象模型(Document Objeet Model,DOM)的一种漏洞,DOM-XSS是通过url传入参数去控制触发的,其实也属于反射型XSS。
二、xss-labs通关
第1关:
通过get传参然后显示在页面,可以判断是反射型xss,而且没有做任何过滤,可直接在url中最后面加入代码
<script>alert(1)</script>
第2关:
正常输入是不行的,因为源码中加了个引号
既然使用引号,我们就可以加个引号。让他闭合即可
"><script>alert(1)</script>
第3关:
这里要了解一下HTML中的onclick 事件
参考连接:https://www.runoob.com/jsref/event-onclick.html
看页面源码发现又是引号
按照第一关的闭合试试,发现还是不行,代码仍然在引号里面
看源码是单引号闭合的,但是这里看到尖括号被实例化
用onclick鼠标点击事件
第4关:
分析源码,尖括号被做了替换
跟上一关一样,利用onclick事件,闭合换成了单引号
第5关:
分析源码,仍是做了替换,on也被替换成了,且全部转为小写
这里就要用到另一标签了
"> <a href=javascript:alert('xss')>xss</a>//
看到代码被嵌入到了html源码中
点击页面上的xss即可
第6关:
分析源码,闭合为双引号,全都做了替换,但是发现没有限制大小写
大小写绕过,s换成S,前面的h2闭合,两种都可以
"/h2> <Script>alert('xss')</Script>
"> <a Href=javascript:alert('xss')>xss</a>//
第7关:
双写绕过
" oonnfocus=javascscriptript:alert('xss')//
"><scscriptript>alert("xss")</scscriptript>//
"> <a hhrefref=javascscriptript:alert('xss')>xss</a>//
第8关:
分析源码,前面的都用不了
这关需要进行编码转换,将 javascript:alert(‘xss’) 转化为实体字符
第9关:
继续使用上关的编码,发现不可以
查看源码,源码里检测是否含有http://那就在里面加个http://
javascript:alert('xss')//http://
前面的编码后就成了
<a href="javascript:alert('xss')//http://">友情链接</a>
第10关:
这里要连接一下HTML中hidden影藏属性,看源码可以找到表单中有三个影藏属性
将其中一个type的值改为text,后面加上onclick即可
第11关:
referer检查,这里需要用bp修改一下数据包,伪造一个referer再发送出去
之后就可以看到一个文本框
第12关:
第13关:
第14关:
第15关:
第16关:
第17关:
第18关:
第19关:
第20关:
总结
1-9关都是一些绕过方法,感觉有点像sql注入,绕过的方法有大小写转换,字符编码,双写,HTML特殊表单,onclick, <a href=” “//,
967
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
