此文章只用于学习,请勿用作其他违法犯罪行为!
以下部分文字内容以图片形式展示,因为JS代码打不上去。
目录
前言:
XSS被称为跨站脚本攻击,全称Cross-site scripting,本来缩写为CSS,但是为避免与CSS(全称Cascading Style Sheets,层叠样式脚本)重名,于是更名为XSS。这个漏洞主要利用JS(Java Script)完成恶意的攻击行为,因为浏览器不会判断JS代码是否为恶意代码,当攻击者将代码注入到网页中,浏览器解析运行这段代码,就可以达到恶意攻击的目的。比如用户访问被XSS脚本注入的网页,XSS脚本就会被提取出来此时恶意代码已被该浏览器解析执行,即达成恶意攻击的目的。一般我们把攻击者的恶意脚本称之为XSS Payload。
XSS属于针对客户端的攻击,最终的受害者都是用户,网站管理员也属于用户,攻击者会利用XSS(比如获取管理员的cookie)假冒网站管理员的身份,以达到对网站进行各种暗箱操作的目的。
XSS攻击流程:
找到有XSS漏洞的站点,放置伪装(吸引其他用户点击)的脚本
-->
用户点击查看,此时脚本已在用户浏览器上执行
-->
脚本将获取的信息发送到攻击者的电脑
-->
攻击者收集敏感数据(一般为cookie)信息
-->
使用搜集的cookie信息仿冒登录进行恶意操作
XSS的危害:
- 盗取用户cookie
- 修改网页内容
- 网站挂马
- 利用网站重定向
- XSS蠕虫
- 劫持用户会话
XSS的漏洞类型:
- 反射型 :经过后端,不经过数据库。 XSS数据流向:浏览器-->后端-->浏览器
一般攻击者会在有XSS漏洞的网页中设置一个诱骗用户点击的地方,点击后就会开始执行XSS脚本。
- 存储型 :经过后端,经过数据库。 XSS数据流向:浏览器 -> 后端 -> 数据库 -> 后端 -> 浏览器
攻击者通过XSS漏洞将恶意脚本放入当前数据库中,用户每次访问当前页面都会运行恶意脚本。
- DOM型:不经过后端。 XSS数据流向:URL-->浏览器
攻击者直接在当前站点利用浏览器不会判断JS是否为恶意代码这个性质直接将代码注入到网页中。
JS基本语句:
js语句传不上来,放个图片
我们用DVWA这个靶场来验证一下:
XSS Dom Low
首先来到XSS(DOM)这个站点,选择难度为Low,然后出现以下界面:
观察一下弹出的内容,发现翻译成中文分别是:英语,法语,西班牙语,德语。
选择English,发现网页的url后多出来default=English,此时很懵。
然后选择看一下这个页面的View Source,发现了这个:大概意思是,这个客户端处理不需要任何保护。
盲猜一波上面出现的选项应该是选择使用哪种语言的意思,选择英语直接开始注入JS脚本。
XSS Dom Medium:
此时我们可以选择看一下View Source:
array_key_exists("default",$_GET) :
array是定义一个数组的意思,key代表要检查的键,exists代表检查的键的来源。
&&:
代表相与,是PHP的逻辑运算符,若这个运算符的前后都为true ,则返回true。
!is_null($_GET[ 'default' ]):
!代表非,is_null是为空的意思 , $_GET['default']意思是从获取的字符中提取的default值,合起来就是获取的default为非空。
两个语句一起做相与运算之后就是若获取的字符种含default且default为非空就输出获取的default值。
stripos :
是一个函数,作用是查找字符串在另一字符串中第一次出现的位置(不区分大小写) 格式:stripos(被查找的字符串,被查找的字符,开始查找的位置(非必须)。
location:
代表页面跳转 格式:location:"跳转到的位置"。。
! == false:
意思是如果返回的结果不是false,就进行跳转。
有弹窗说明这个有XSS漏洞且已经被浏览器执行。
注:本人对PHP,Java Script还不是非常了解,如果有错还请指出。另外强调此文章只用于学习,请勿用作其他违法犯罪行为!
534
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
