DVWA-XSS (Stored)-存储型XSS

已于 2023-11-02 13:50:40 修改
阅读量2.3k 收藏 1
点赞数 1
分类专栏: 安全测试工具和靶场实战 文章标签: 安全测试
于 2023-06-12 15:35:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seanyang_/article/details/131169735
版权
文章详细分析了不同级别存储型XSS漏洞的测试环境,从低级到高级展示了如何通过PHP函数如strip_tags、addslashes、htmlspecialchars、preg_replace等进行输入过滤和转义,以防止恶意脚本存储在数据库中并执行。同时,提到了CSRF防护措施,包括检查令牌和使用PDO进行预编译的SQL查询,以增强Web应用的安全性。
摘要由CSDN通过智能技术生成

存储型XSS 存储在数据库中。XSS 是永久性的,直到重置数据库或手动删除有效负载。

低水平

1、查找输入输出点,在Name和message输入内容,内容显示在了页面下方,且再次点进该页面,内容仍显示在了页面上,说明输入的内容被存储了。

2、构造脚本,输入带script脚本的XSS,显示了弹窗。 因为内容被存储,所以每次点进该页面,都会出现一个弹窗。

每次刷新页面,都会出现该弹窗。这说明输入的恶意<script>脚本被存储在后端数据库或文件中,在每次打开这个页面的时候,脚本都会执行一遍,系统存在存储型XSS漏洞。


<?php

if( isset( $_POST[ 'btnSign' ] ) ) {
    // Get input
    $message = trim( $_POST[ 'mtxMessage' ] );
    $name    = trim( $_POST[ 'txtName' ] );

    // Sanitize message input
    $message = stripslashes( $message );
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Sanitize name input
    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Update database
    $query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    //mysql_close();
}

?>

初级存储型XSS渗透测试环境对输入的“name”和“message”参数值主要使用了3个函数进行处理:trim()函数、stripslashes()函数和mysqli_real_escape_string()函数。trim()函数用于删除字符串两侧的空白字符或者其他自定义字符。源代码并没有指定自定义字符,因此,主要用于删除“name”和“message”参数值两侧的空白字符。stripslashes()函数用于删除字符串中的反斜杠。mysqli_real_escape_string()函数用于转义字符串中的特殊字符。上述3个函数都无法实现JavaScript脚本的过滤,因此,插入数据的SQL语句(变量$query的值)被执行后,将输入的恶意脚本插入到数据库中。

中级

<?php

if( isset( $_POST[ 'btnSign' ] ) ) {
    // Get input
    $message = trim( $_POST[ 'mtxMessage' ] );
    $name    = trim( $_POST[ 'txtName' ] );

    // Sanitize message input
    $message = strip_tags( addslashes( $message ) );
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $message = htmlspecialchars( $message );

    // Sanitize name input
    $name = str_replace( '<script>', '', $name );
    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Update database
    $query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    //mysql_close();
}

?>

①对“message”参数加强了防护:使用addslashes()函数在每个双引号“"”前添加反斜杠;使用strip_tags()函数删除字符串中的HTML、XML以及PHP的标签;使用htmlspecialchars()函数将所有的预定义字符转换成了HTML实体,不会将其作为脚本执行。因此,“Message”文本框做了较强的防护,无法通过该输入处插入JavaScript脚本。②对“name”参数也加强了防护:使用“str_replace(′<script>′,′′,$name);”语句将“<script>”字符串替换成空字符串。 

  1. 使用 strip_tags 函数移除 $message 中的HTML标签。
  2. 使用 addslashes 函数对 $message 进行转义,防止SQL注入。
  3. 使用 mysqli_real_escape_string 函数对 $message 进行额外的转义,这是为了防止SQL注入攻击。这个函数会根据当前数据库的字符集,将可能导致SQL语法错误的字符进行转义。
  4. 最后,使用 htmlspecialchars 函数将 $message 转换为HTML实体,这样可以防止HTML标签被浏览器解析为HTML代码。

构造攻击脚本,“name”参数仅仅将指定的字符串“<script>”进行了替换,因此,大小写和双写就可以绕过这个防护。同时,在前端页面中,“Name”文本框有字符长度最大为10的限制,我们借助Burp Suite来绕过该字符长度限制。

高水平

开发人员认为他们已经通过删除模式“<s*c*r*i*p*t”来禁用所有脚本使用。

高级存储型XSS渗透测试环境的源代码中“name”参数的值使用preg_replace()函数基于正则表达式进行替换,且添加“i”修饰符,不区分大小写,以防止发生大小写绕过和双写绕过的XSS攻击。与高级反射型XSS渗透测试环境的防护机制相同,因此,考虑使用标签绕过即可。


<?php

if( isset( $_POST[ 'btnSign' ] ) ) {
    // Get input
    $message = trim( $_POST[ 'mtxMessage' ] );
    $name    = trim( $_POST[ 'txtName' ] );

    // Sanitize message input
    $message = strip_tags( addslashes( $message ) );
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $message = htmlspecialchars( $message );

    // Sanitize name input
    $name = preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $name );
    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Update database
    $query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    //mysql_close();
}

?>

不可能的水平

使用内置的PHP函数(如“htmlspecialchars()”), 可以转义任何会改变输入行为的值。


<?php

if( isset( $_POST[ 'btnSign' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Get input
    $message = trim( $_POST[ 'mtxMessage' ] );
    $name    = trim( $_POST[ 'txtName' ] );

    // Sanitize message input
    $message = stripslashes( $message );
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $message = htmlspecialchars( $message );

    // Sanitize name input
    $name = stripslashes( $name );
    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $name = htmlspecialchars( $name );

    // Update database
    $data = $db->prepare( 'INSERT INTO guestbook ( comment, name ) VALUES ( :message, :name );' );
    $data->bindParam( ':message', $message, PDO::PARAM_STR );
    $data->bindParam( ':name', $name, PDO::PARAM_STR );
    $data->execute();
}

// Generate Anti-CSRF token
generateSessionToken();

?>

不可能水平,

这是一个将用户输入数据插入到数据库中的 PHP 脚本,并增加了防范CSRF攻击的安全措施。

脚本首先使用 `checkToken()` 函数验证用户提交的token是否与当前session中的token相同,以避免CSRF攻击的风险。

随后,脚本使用多种净化方法来加强安全性,包括:

- 使用 `strip_slashes()` 函数删除用户输入消息和用户名中可能存在的反斜杠字符。
- 使用 `mysqli_real_escape_string()` 函数对用户输入数据进行SQL注入攻击的防御。
- 使用 `htmlspecialchars()` 函数转义用户输入消息和用户名中的特殊字符。

此外,脚本还使用了PDO数据库抽象层来执行对数据库的操作,避免了使用原生SQL语句时,出现的SQL注入漏洞。

最后,脚本调用 `generateSessionToken()` 函数生成新的Session token。

使用这些净化方法和安全措施可以大大增强Web应用程序的安全性和可靠性,并避免恶意攻击。

防护

  • 禁止解析为html标签

有的输入显示没有过滤字符,但是页面不会显示alert,是因为显示被过滤了。复制如下元素,显示为<span>&lt;/span&gt;10.100.40.35&lt;script&gt;alert(1)&lt;/script&gt;&lt;span&gt;</span> 。

 

测试-东方不败之鸭梨
关注
专栏目录
DVWA-XSS(存储)
HoYim
04-11 1207
一.存储XSS 存储XSS攻击原理图: (一)LOW 1.从代码可以看到,没有防御XSS漏洞,只防御了SQL注入漏洞 尝试一般的XSS攻击 在message栏中测试: <⁢script>alert(‘x’)<⁢/script> <⁢body οnlοad=alert(‘xss’)> <⁢a href=http://www.baidu.com&gt...
DVWA-存储xss
Darklord.W
04-09 523
存储: 低: 输入 <script>alert('XSS stored')</script> 存储XSS是长期存储在服务器端,每次访问时都会执行js脚本 <script onload=alert('XSS1')> <a href=https://www.baidu.com>登录</a>3 <scrip...
DVWAXSSstored)存储XSS
RexHa的博客
10-08 2073
dvwa 存储XSS
存储XSS实验
最新发布
qq_52579508的博客
07-04 408
原理:使用者提交的XSS代码被存储到服务器上的数据库里或页面或某个上传文件里,导致用户访问页面展示的内容时直接触发xss代码。
dvwa_xss_储存
weixin_44110913的博客
12-16 613
文章目录一.xss储存概念二.储存图片演示三.代码分析四.dvwa_储存_演练五.总结 一.xss储存概念 黑客发现个人信息或发表文章,等,处存在xss漏洞(并且是储存在数据库中),可以直接插入js代码。 比如在登陆处写下,下图中的代码,发现弹出了我们写的js代码,则说明存在xss储存漏洞,并且是储存到数据库中的。 当发现以后,我们就可以利用该漏洞,写入恶意js代码,当用户点击时,就会盗...
DVWAXSS存储
ANDTM的博客
06-26 753
存储XSS又称持久XSS,攻击脚本将被永久地存放在目标服务器的数据库或文件中,具有很高的隐蔽性。反射XSS的被攻击对象一般是攻击者去寻找的,就比如说:一个攻击者想盗取A的账号,那么攻击者就可以将一个含有反射XSS的特制URL链接发送给A,然后用花言巧语诱骗A点击链接。当A不小心点进去时,就会立即受到XSS攻击。这种攻击方式需要一点骗术,所以这种攻击范围不是特别的广,并且提交漏洞时要么平台不认,要么会被认定为低危漏洞。
DVWA-XSS (Stored)
qq_45751902的博客
04-25 3152
目录简介安全级别:Low安全级别:Medium安全级别:High安全级别:Impossible 简介 存储XSS 长期存储于服务器端; 每次用户访问都会执行脚本代码; 安全级别:Low 查看源码 <?php if( isset( $_POST[ 'btnSign' ] ) ) { // Get input $message = trim( $_POST[ 'mtxMessage' ] ); $name = trim( $_POST[ 'txtName' ] );
DVWA通关--存储XSSXSS (Stored))
箭雨镜屋
07-16 6892
LOW 通关步骤 源码分析 MEDIUM 通关步骤 源码分析 HIGH 通关步骤 源码分析 IMPOSSIBLE 源码分析 总结
DVWA--XSS(DOM)
weixin_45038413的博客
05-09 537
Javascript弹窗函数 Low 等级 Medium 等级 过滤了<script stripos() 函数查找字符串在另一字符串中第一次出现的位置(不区分大小写) 使用img标签发现没有弹窗 查看网页源码,发现语句被插入到了value值中,并没有插入到option标签的值中,所以img标签并没有发起任何作用。 构造语句闭合option标签: default=></o...
DVWA-XSS(Reflected+Stored)
原味瓜子、的博客
09-24 327
文章目录XSS-Reflected反射一、各等级漏洞分析及利用XSS-Stored存储一、各等级漏洞分析及利用 XSS-Reflected反射 把用户输入的数据反射给浏览器,诱使用户点击一个恶意链接,才能攻击成功。 一、各等级漏洞分析及利用 Low等级,没做任何过滤 直接弹 medium等级,过滤掉<script>,用空替换掉 大小写、过滤规则漏洞利用,使用其他标签 high等级,匹配一些<script>的关键字符,进一步过滤<script>
DVWA-xss详细讲解
qq_43395215的博客
05-08 1331
XSS,全称跨站脚本,即跨站脚本攻击,某种意义上也是一种注入攻击,是指攻击者在页面中注入恶意的脚本代码,当受害者访问该页面时,恶意代码会在其浏览器上执行,需要修改的是,XSS不仅仅扩展JavaScript,还包括flash等其他脚本语言。根据恶意代码是否存储在服务器中,XSS可以分为存储XSS与反射XSS。 博客地址:http://soliym.top/ XSS分类: 反射xss:只是简...
DVWA】--- 十、存储XSS(XSS Stored)
qq_43168364的博客
05-31 599
XSS Stored 目录 一、low级别 二、Medium级别 三、High级别 四、Impossible级别 五、预防方法 一、low级别 不多说直接尝试写入 弹窗成功 由于他是存储的只要我们点击该模块就会引发弹窗,可以看到我们的JS代码是写入了数据库的,只要不清除他就会一直存在. 代码审计 相关函数 trim(string,charlist)函数: 移除字符串两侧的空白字符或其他预定义字符。string—必需, 规定要检查的字符串。charlist—可选, 规定从字符串中删除哪些字符
DVWA-XSS(Stored)
自强不息,厚德载物
01-15 450
文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。
DVWA-xss-存储
AI_SumSky的博客
11-27 1345
xss-存储 将用户输入的数据存储在服务器端。用户访问了带有xss得页面代码后,产生安全问题。 low级别 随便输入发现输入信息被输出到前端 老规矩来个发现一样存在xss stripslashes(string) 函数删除字符串中的反斜杠。 mysql_real_escape_string(string,connection) 函数会对字符串中的特殊符号(\x00,\n,\r,\,‘,“,\x1a)进行转义。 trim(string,charlist) 函数移除字符串两侧的空白字符或其他预定义字符,预
DVWA(XSS存储)
weixin_44023403的博客
12-24 590
XSS DOMXSSXSS存储LowMediumHigh XSS XSS的实质其实是HTML代码与Javscript代码的注入。但由于XSS的攻击对象是与客户对等的Browser端,因此常常不被开发者所重视。 一般意义上的XSS通常可以用简单的方法检测出来:当用户输入中某个参数的全部或其中一部分,原封不动地在源代码里出现时,我们就可以认为这个参数存在XSS漏洞。 XSS存储 存储XSS,持久化,嵌入到web页面的恶意HTML代码被存储到服务器端(数据库),攻击行为将伴随着攻击数据一直存在。如在个人信息
DVWA系列之21 存储XSS分析与利用
weixin_33857679的博客
12-30 157
存储跨站可以将XSS语句直接写入到数据库中,因而相比反射跨站的利用价值要更大。在DVWA中选择XSS stored,这里提供了一个类留言本的页面。我们首先查看low级别的代码,这里提供了$message和$name两个变量,分别用于接收用户在Message和Name框中所提交的数据。对这两个变量都通过mysql_real_escape_string()函数进行了过滤,但是这只能阻止SQL注入...
DVWA-XSS(Stored) 全级别教程
weixin_44716769的博客
09-08 2377
XSS(Reflectrd) Low等级 查看源码 1.trim(string,charlist) 函数移除字符串两侧的空白字符或其他预定义字符,预定义字符包括、\t、\n、\x0B、\r以及空格,可选参数charlist支持添加额外需要删除的字符。 2.mysql_real_escape_string(string,connection) 函数会对字符串中的特殊符号(\x00,\n,\r,\,‘,“,\x1a)进行转义。 3.stripslashes(string)函数删除字符串中的反斜杠。 可以看到,
dvwa详解_DVWA--XSS(stored)
weixin_33478575的博客
12-24 958
XSS0X011、简介跨站脚本(cross site script)为了避免与样式css混淆,所以简称为XSSXSS是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。那么什么是XSS呢?XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去。使别的用户访问都会执行相应的嵌入代码。从而盗取用户资料、利用用户身份...
DVWA -XSSStored)-通关教程-完结
刘箫-技术库
04-11 2648
XSS 攻击全称跨站脚本攻击。是指用户在 Web 页面中提交恶意脚本,从而使浏览包含恶意脚本的页面的用户在不知情的情况下执行该脚本,导致被攻击的行为。与 SQL 注入类似,XSS 也是利用提交恶意信息来实现攻击效果的攻击行为。但是 XSS 一般提交的是 Javascript 脚本,运行在 Web 前端,也就是用户的浏览器;而 SQL 注入提交的SQL 指令是在后台数据库服务器执行。所以两者攻击的对象是不一样的。
DVWA-XSS(DOM)
08-25
DVWA-XSS(DOM)是指DVWA靶机学习中的一种XSS攻击,它利用了DOM(文档对象模)中的漏洞。DOM是一个与平台、编程语言无关的接口,允许程序或脚本动态地访问和更新文档内容、结构和样式。而DVWA-XSS(DOM)攻击则是通过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值