Web安全学习之——基于dvwa的XSS (Stored)学习教程

最新推荐文章于 2024-04-27 17:47:40 发布
最新推荐文章于 2024-04-27 17:47:40 发布
阅读量372 收藏 1
点赞数
分类专栏: web安全学习 # XSS 文章标签: XSS web安全学习 dvwa
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41657031/article/details/96380742
版权

1.什么是XSS(stored)?

存储型XSS,持久化,代码是存储在服务器中的,如在个人信息或发表文章等地方,加入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器中,用户访问该页面的时候触发代码执行。这种XSS比较危险,容易造成蠕虫,盗窃cookie等

例子:

  1. 发一篇文章,里面包含了恶意脚本
今天和女朋友出去约会了,心情不错<script>alert('handsome boy')</script>

  1. 后端没有对文章进行过滤,直接保存文章内容到数据库。

  2. 当其他人看这篇文章的时候,包含的恶意脚本就会执行。

注:因为大部分文章是保存整个HTML内容的,前端显示时候也不做过滤,就极可能出现这种情况。

结论:
后端尽可能对提交数据做过滤,在场景需求而不过滤的情况下,前端就需要做些处理了。

Low level

先看看代码:

<?php 

if( isset( $_POST[ 'btnSign' ] ) ) { 
    // Get input 
    $message = trim( $_POST[ 'mtxMessage' ] ); 
    $name    = trim( $_POST[ 'txtName' ] ); 

    // Sanitize message input 
    $message = stripslashes( $message ); 
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : "")); 

    // Sanitize name input 
    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : "")); 

    // Update database 
    $query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );"; 
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    //mysql_close(); 
} 

?>

分析代码

trim(string,charlist)

trim函数移除字符串两侧的空白字符或其他预定义字符,预定义字符包括**\0、\t、\n、\x0B、\r以及空格**,可选参数charlist支持添加额外需要删除的字符。

mysqli_real_escape_string(string,connection)

mysqli_real_escape_string函数会对字符串中的特殊符号(\x00,\n,\r,\,’,",\x1a)进行转义

stripslashes(string)

函数删除字符串中的反斜杠。

分析代码可知:程序对输入并没有做XSS方面的过滤与检查,且存储在数据库中,因此这里存在明显的存储型XSS漏洞

输入
name:123
message:this is a test

在这里插入图片描述

输入
name:123
message:123<script>alert('xss')</script>

在这里插入图片描述
点击刷新
在这里插入图片描述
成功弹框,且注意到message只显示了123,后面的<script>被隐藏
接下来我们试试在name中输入payload

输入
name:123<script>alert('xss')</script>
message:123

在这里插入图片描述
发现输入不了,查看源代码
在这里插入图片描述
显然name属性值最大值为10,长度明显受到限制。

Medium level

先看代码:

<?php

if( isset( $_POST[ 'btnSign' ] ) ) {
    // Get input
    $message = trim( $_POST[ 'mtxMessage' ] );
    $name    = trim( $_POST[ 'txtName' ] );

    // Sanitize message input
    $message = strip_tags( addslashes( $message ) );
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $message = htmlspecialchars( $message );

    // Sanitize name input
    $name = str_replace( '<script>', '', $name );
    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Update database
    $query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    //mysql_close();
}

?>

分析代码:
(1)strip_tags()函数剥去字符串中的HTML、XML以及PHP的标签,但允许使用<b>标签。

例:
<?php
$text = '<p>Test paragraph.</p><!-- Comment --> <a href="#fragment">Other text</a>';
echo strip_tags($text);
echo "\n";

// 允许 <p> 和 <a>
echo strip_tags($text, '<p><a>');
?>

以上代码将输出:

Test paragraph. Other text
<p>Test paragraph.</p> <a href="#fragment">Other text</a>

(2)addslashes()函数返回在预定义字符(单引号、双引号、反斜杠、NULL)之前添加反斜杠的字符串。

例:
<!DOCTYPE html>
<html>
<body>

<?php 
$str = addslashes('Shanghai is the "biggest" city in China.');
echo($str); 
?>  

</body>
</html>

以上代码将会输出:

Shanghai is the \"biggest\" city in China.

(3)htmlspecialchars()函数把预定义的字符转换为 HTML 实体。
预定义的字符是:

& (和号)      
" (双引号)         
' (单引号)       
< (小于)        
 > (大于)

由于对message参数使用了htmlspecialchars函数进行编码,因此无法再通过message参数注入XSS代码,但是对于name参数,只是简单过滤了<script>字符串,仍然存在存储型的XSS。
因此我们可以通过burpsuite来抓包,更改name的信息(因为name限制长度为10)
如图:
在这里插入图片描述
把name的内容换成:<sCript>alert('xss')</sCript>这里记得把<script>里的大小写换一下,不然会被函数str_replace替换掉
在这里插入图片描述
弹框成功

High level

jax-w
关注
专栏目录
【网络安全XSS之Cookie外带攻击姿势及例题详析
等风来
05-19 7210
XSS 的 Cookie 外带攻击就是一种针对 Web 应用程序XSS(跨站脚本攻击)漏洞进行的攻击,攻击者通过在 XSS 攻击注入恶意脚本,从而窃取用户的 Cookie 信息。攻击者通常会利用已经存在的 XSS 漏洞,在受害者的浏览器上注入恶意代码,并将受害者的 Cookie 数据上传到攻击者控制的服务器上,然后攻击者就可以使用该 Cookie 来冒充受害者,执行一些恶意操作,例如盗取用户的账户信息、发起钓鱼攻击等。
基于DVWAXSS学习_1
m0_47129108的博客
12-14 185
存储型XSS 存储型XSS,持久化,代码是存储在服务器的,如在个人信息或发表文章等地方,加入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器,用户访问该页面的时候触发代码执行。这种XSS比较危险,容易造成蠕虫,盗窃cookie等。参考自:路西法. 攻击者事先将恶意代码上传或储存到漏洞服务器,只要受害者浏览包含此恶意代码的页面就会执行恶意代码。这就意味着只要访问了这个页面的访客,都有可能会执行这段恶意脚本,因此储存型XSS的危害会更大。因为存储型XSS的代码存在于网页的代码,可以说是永久型的。
Web安全学习之——基于dvwaXSS (DOM)学习教程
weixin_41657031的博客
07-20 331
1.什么是DOM型XSS? DOM全称Document Object Model,是一个平台和语言都立的接口,可以使程序和脚本能够动态访问和更新文档的内容、结构以及样式。 DOM型XSS其实是一种特殊类型的反射型XSS,它是基于DOM文档对象模型的一种漏洞,其触发不需要经过服务器端,也就是说,服务端的防御并不起作用。 它的特殊之处在于它是利用 JS 的document.write 、docume...
Web安全学习之——基于dvwaXSS (Reflecte)学习教程
weixin_41657031的博客
07-17 340
什么是XSSXSS,全称Cross Site Scripting(为了与CSS区分开来故称为XSS),即跨站脚本攻击,某种意义上也是一种注入攻击,是指攻击者在页面注入恶意的脚本代码,当受害者访问该页面时,恶意代码会在其浏览器上执行,需要强调的是,XSS不仅仅限于JavaScript,还包括flash等其它脚本语言。根据恶意代码是否存储在服务器XSS可以分为存储型的XSS与反射型的XSS。...
基于DVWAXSS学习_0
m0_47129108的博客
11-29 193
XSS简介 XSS,全称Cross Site Scripting,即跨站脚本攻击,某种意义上也是一种注入攻击,是指攻击者在页面注入恶意的脚本代码,当受害者访问该页面时,恶意代码会在其浏览器上执行,需要强调的是,XSS不仅仅限于JavaScript,还包括flash等其它脚本语言。根据恶意代码是否存储在服务器XSS可以分为存储型的XSS与反射型的XSS。 DOM型的XSS由于其特殊性,常常被分为第三种,这是一种基于DOM树的XSS。例如服务器端经常使用document.boby.innerHtml等函数
DVWA学习XSS(跨站脚本攻击)(超级详细)
热门推荐
weixin_40950781的博客
08-22 1万+
DVWA学习XSSXSS 跨站脚本攻击0x01 XSS(Cross Site Script)简介0x02 何为XSS0x03 XSS存在的原因0x04 XSS漏洞的危害0x05 XSS 的分类及特点1. 存储型XSS2. 反射型XSS3. MOD型XSS XSS 跨站脚本攻击 0x01 XSS(Cross Site Script)简介 0x02 何为XSS 跨站脚本攻击XSS(Cross Sit...
web_XSS安全学习
zcc1414的专栏
09-17 6393
漏洞知识库: 1  CSRF 跨站请求伪造 crossdomain.xml 文件来验证是否允许客户端的flash 跨域发送请求,使用的是白名单的思想 使用 token 足够复杂来防御 同源政策 a.com 通过 加载了b.com 的b.js 但是b.js 是运行在a.com 页面的所以对于a.com来说,b.js的源就应该是a.com而非b.com 等标签都可以跨域加载资
网络安全-靶机dvwaXSS注入Low到High详解(含代码分析)_dvwa xss注入
最新发布
2401_84300255的博客
04-27 779
正常可以看到是Get型。
DVWA xss
qq_44159634的博客
12-12 669
DVWAXSS 参考文章: http://blog.nsfocus.net/xss-advance/ XSS分类: 反射型xss与存储型xss的区别主要在于,存储型xss是要存储在数据库,然后从数据库调用的 反射型xss low 直接输入<script>alert(1)</script>后,直接弹窗,查看源代码,发现直接注入进去了 medium 和low一样输入,发现不弹窗,回显 查看源码,发现 ...
DVWA系列之XSS(跨站脚本攻击)——存储型XSS源码分析及漏洞利用
7Riven's blog
11-27 1394
存储型XSS 存储型XSS持久化,代码是存储在服芻器的,如在个人信息或发表文章等地方,插入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器,用户每次访问该页面的时候都会触发代码执行。这种XSS比较危险,容易造成蠕虫,盗窃 cookie 1、hack插入恶意js 2、服务器返回含有恶意js页面 3、由于恶意js会一直存储在服务器端,所以每个目标点击含有恶意js页面都会跳转到第三方...
Kali渗透测试之DVWA系列4——反射型XSS(跨站脚本攻击)
浅浅的博客
05-11 4220
目录 一、XSS 1、XSS简介 2、XSS类型 3、漏洞形成的根源 二、反射型XSS 1、原理示意图​ 2、实验环境 3、实验步骤 安全级别:LOW 重定向 获取cookie 安全级...
XSS攻击-DVWA
天威一号
11-21 209
1、 解析:在标签之间,有存在对字符的过滤; <pre>Hello '&quot;&lt;&gt;script</pre>
DVWA-xss全等级教程
Mild_Wind_Jun的博客
06-18 1197
low等级: 反射型(reflected) 在输入框随便输入一串字符,跟踪字符发现其出现在<pre>标签,于是可以通过自建标签方式进行弹框, 这里输入<script>alert(1)</script>来实现弹框。 当然还能输入<img src="xx" onerror="javascript:alert(1)"/> 也可以通过输入<svg onload="javascript:alert(1)"></svg> .
XSS攻击-DVWA(High)
天威一号
11-21 229
阿斯顿发射点
XSS攻击-DVWA(Low)
天威一号
11-21 228
阿斯顿法国红酒
DVWA-XSS(Stored)注入-Low-Medium-Hight
qq_39330735的博客
02-05 480
DVWA-XSS(Stored)注入-Low-Medium-Hight,通关详解~
网络安全-靶机dvwaXSS注入Low到High详解(含代码分析)
关注网络安全、云原生安全
10-18 8896
本篇文章,针对靶机dvwa(Damn Vulnerable Web Application)XSS(DOM)、XSS(Reflected)、XSS(Stored)的LOW、MIDIUM、HIGH安全级别使用网络安全-js安全知识点与XSS常用payloads提到的XSS注入payloads,使用手工进行XSS注入。并根据网络安全-php安全知识点对LOW、MIDIUM、HIGH、IMPOSSIBLE安全级别的代码进行解释。 目标:弹出窗口/获得cookie XSS(DOM)-LOW 正常 可
DVWA -XSSStored)-通关教程-完结
刘箫-技术库
04-11 2615
XSS 攻击全称跨站脚本攻击。是指用户在 Web 页面提交恶意脚本,从而使浏览包含恶意脚本的页面的用户在不知情的情况下执行该脚本,导致被攻击的行为。与 SQL 注入类似,XSS 也是利用提交恶意信息来实现攻击效果的攻击行为。但是 XSS 一般提交的是 Javascript 脚本,运行在 Web 前端,也就是用户的浏览器;而 SQL 注入提交的SQL 指令是在后台数据库服务器执行。所以两者攻击的对象是不一样的。
DVWA-XSS(Stored) 全级别教程
weixin_44716769的博客
09-08 2374
XSS(Reflectrd) Low等级 查看源码 1.trim(string,charlist) 函数移除字符串两侧的空白字符或其他预定义字符,预定义字符包括、\t、\n、\x0B、\r以及空格,可选参数charlist支持添加额外需要删除的字符。 2.mysql_real_escape_string(string,connection) 函数会对字符串的特殊符号(\x00,\n,\r,\,‘,“,\x1a)进行转义。 3.stripslashes(string)函数删除字符串的反斜杠。 可以看到,
DVWA入门实战:Web安全靶场深度解析与部署
此外,作者强调了结合源码学习的重要性,这不仅有助于理解漏洞是如何产生的,还能深入学习安全加固的最佳实践。DVWA作为一个开放源代码项目,其代码本身就是一个很好的学习资源,可以帮助读者提高编码和安全审查的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值