前言
DVWA安装使用介绍,见:【工具-DVWA】DVWA的安装和使用
本渗透系列包含最新DVWA的14个渗透测试样例:
1.Brute Force(暴力破解)
2.Command Injection(命令注入)
3.CSRF(跨站请求伪造)
4.File Inclusion(文件包含)
5.File Upload(文件上传)
6.Insecure CAPTCHA(不安全的验证码)
7.SQL Injection(SQL注入)
8.SQL Injection(Blind)(SQL盲注)
9.Weak Session IDs(有问题的会话ID)
10.XSS(DOM)(DOM型xss)
11.XSS(ref)(反射型xss)
12.XSS(Stored)(存储型xss)
13.CSP Bypass(Content Security Policy内容安全策略,旁路/绕过)
14.JavaScript
安全级别分低、中、高、安全四个级别来分析XSS(DOM)的渗透测试过程。
1 基础知识
- XSS
Cross Site Scripting,一种将恶意代码注入到页面的攻击手段,当用户访问页面时,恶意代码会被执行。
- DOM
文档对象模型(Document Object Model),是W3C组织推荐的处理可扩展置标语言的标准编程接口。也就是一种可以被页面解释执行的代码。
- 常用注入代码
<script>alert(1)</script>
<img src=1 onerror=alert(1) hidden="true"/>
<iframe onload=alert(1) height="0" width="0" hidden="true"/>
2 Low
2.1 渗透测试
- 采用最简单的alert测试:结果浏览器自动拦截了DOM式的XSS请求。
- 查看源代码:猜测可能是decodeURI函数被监控,无法被利用,那么改为渗透<option>
- 二次渗透:option+script,不行,所以采用option+iframe或img,都可以成功!</select>是为了破坏选择框的结构。
</select><img src=1 onerror=alert(1)>
</select><iframe onload=alert(1) height="0" width="0" hidden="true"/>
PS:为何是用IE,因为最新版谷歌,怎么都没绕过去......
- 好的,过了五分钟,居然发现绕过谷歌的方法:
English#</select><img%20src=1%20onerror=alert(1)>
【#】号后面的内容是不会提交到后台,那么浏览器就觉得,小子,你是安全的,嘿嘿嘿!
2.2 源码分析
发现:nothing!够直接
# No protections, anything goes
3 Medium+High
3.1 渗透测试
- Medium
发现:之前的渗透方式都可行,那就等会看看源码加了啥防护
</select><img src=1 onerror=alert(1)>
</select><iframe onload=alert(1) height="0" width="0" hidden="true"/>
-
High
采用【#】截断绕过,顺便破了谷歌不能绕过DOM的问题。
English#</select><img%20src=1%20onerror=alert(1)>
3.2 源码分析
- Medium:限制了不能有【<script】
if (stripos ($default, "<script") !== false) {
- High:采用了白名单,采用【#】可以绕过后台效验,同时前端依旧安装原本请求的URL去获取数据。
# White list the allowable languages
switch ($_GET['default']) {
case "French":
case "English":
case "German":
case "Spanish":
# ok
break;
default:
header ("location: ?default=English");
exit;
}
前端:
var lang = document.location.href.substring(document.location.href.indexOf("default=")+8);
4 Impossible
源码分析:后台什么也不做,前端去除了URI解码的函数,默认不解码,所以无法被前端执行。
# Don't need to do anything, protction handled on the client side
前端:
$decodeURI = "decodeURI";
if ($vulnerabilityFile == 'impossible.php') {
$decodeURI = "";
}
5 总结
利用:任何URL带参页面,都可以尝试渗透
预防:在页面跳转时,不要过分依赖URL数据,尽量通过POST重新获取数据
爱家人,爱生活,爱设计,爱编程,拥抱精彩人生!