跨站脚本攻击漏洞概述-XSS

什么是跨站脚本攻击

跨站脚本( Cross-site Scripting ) 攻击，攻击者通过网站注入点注入客户端可执行解析的payload(脚本代码)，当用户访问网页时，恶意payload自动加载并执行，以达到攻击者目的(窃取cookie、恶意传播、钓鱼欺骗等)。为了避免与HTML语言中的CSS相混滑，通常称它为“XSS”

危害

获取用户信息：(如浏览器信息、ip地址、cookie信息等 )
钓鱼：(利用xss漏洞构造出一个登录框，骗取用户账户密码，提示登录过期，模拟一个网站的登录框，将用户名、密码发送到攻击者服务器
注入木马或广告链接：有些在主站注入非法网站的链接，对公司的声誉有一定的影响后台增删改网站数据等操作：配合CSRF漏洞，骗取用户点击，利用s模拟浏览器发包
xss蠕虫：
微博蠕虫：只要看过某人的微博就是自动关注某人
贴吧蠕虫：看过某个帖子就是自动回复这个帖子

漏洞类型及利用场景

1.反射性XSS 可用于钓鱼、引流、配合其他漏洞如CSRF等
2.存储型XSS 攻击范围广，流量传播大。可配合其他漏洞
3.DOM型XSS 配合、长度大小不受限制。

反射性XSS

特点:仅执行一次，非持久型;参数型跨站脚本
主要存在于攻击者将恶意脚本附加到ur的参数中，发送给受害者，服务端未经严格过滤处理
而输出在用户浏览器中，导致浏览器执行代码数据。

反射性XSS利用场景

见框就插，改url参数

我们测试一下DVWA的low等级
我们输入hello 他返回hello
我们测试h1 hello 是否会变成一级标签 可以成功
我们就可以利用script 的alert 警示框 也可以成功

array_key_exists判断这个数值里面有没有这个name的值和这个name值是否不为空 他会输出这个name的值 他没有进行这个进行过滤 过滤一般分替换大小写和替换特殊符

设置为Medium等级
我们通过看源代码发现他只是把script替换成空白 没有进行大小写区分
我们可以通过写SCRIPT全部大写来绕过

我们等级设置为high
当我们输入hello 正常运行
当我们输入h1 一级标签他变大了
当我们输入script 他直接变成了alert(1)
我们通过看源代码发现他做了一个script替换成空白
那我们第一种写在sciprt标签中不可用 第二种写在scr指定的文件也不可用 那我们可以用某个事件处理器img src=1 οnerrοr=alert(1) 发现可以成功 说明我们的思路是对的
这个思路就是 我们让他去找一个为1的文件 这个事件有个是路径不存在他会报一个错叫onerror 我们可以写script的代码




我们设置为impossible
我们看源代码发现他使用了htmlspecialchars 这个函数的意思是吧预定义的字符< 、> & 这些转换为HTML实体 防止浏览器将其作为HTML的元素

反射性XSS利用场景

首先没有对onclick进行过滤 %20是空格
我们分析到mann后面的“闭合前面的value 后面的”闭合后面的“ 使得onlick单独出来

在搜索框加/" 闭合前面标签 这个123是不存在的 他会执行onerror这个后面代码 eval是把后面的执行代码进行执行

存储型XSS

特点: 持久型
主要存在于攻击者将恶意脚本存储到服务器数据库中，当用户访问包含恶意相关数据的页面
时，服务端未经严格过滤处理而输出在用户浏览器中，导致浏览器执行代码数据。

存储型XSS利用场景

我们设置low等级
可以看到没有做任何的过滤
我们输入正常的值、h1的值和script的值


我们设置为Medium
srtip_tag(string,allow)函数去除字符串中HTML、XML以及PHP的标签
addslashes(string)返回在预定义字符(单引号、双引号、反斜杠、NULL)之前添加反斜杠的字符串
这个htmlspecialchars函数我之前说过了 他会把特殊字符变成实体
下面还有一个替换将script替换成空 这个str_replace是不区别大小写的
但是我们可以看到又两个输入框一个是name一个是Message
我们对name的长度进行修改然后把script写进去

设置为high
srtip_tag(string,allow)函数去除字符串中HTML、XML以及PHP的标签
htmlspecialchars函数把特殊字符变成实体
preg_replace替换空白不区分大小写
那我们第一种写在sciprt标签中不可用 第二种写在scr指定的文件也不可用 那我们可以用某个事件处理器img src=1 οnerrοr=alert(1) 发现可以成功 说明我们的思路是对的
这个思路就是 我们让他去找一个为1的文件 这个事件有个是路径不存在他会报一个错叫onerror 我们可以写script的代码

我们看看impossible
查看源代码，发现使用内置的PHP函数来转义任何改变输入行为的值，并且使用token验证来防止CSRF攻击。
最下面的date->的部分是对SQL注入的防范，采用了预编译语句。这个到SQL注入通关的时候再分析。

DOM型XSS

特点:通过JavaScript操作document，实现dom树的重构
主要存在于用户能修改页面的dom，造成客户端payload在浏览器中执行
ducument.URL获取该网页地址

DOM型XSS利用场景

我们看到源代码是没有任何防护的 我们可以查看html的源代码
我们看到这个值是default我们直接=script即可

查看Medium
stripos(string,find,start) 函数查找字符串在另一字符串中第一次出现的位置（不区分大小写）。
header() 函数向客户端发送原始的 HTTP 报头。
当匹配到<script 字符串的时候就会将URL后面的参数修正为 ?default=English
我们看到网页前面有option和select我们给他结束掉 然后写我们的img src

我们设置high
通过看源代码我们可以知道用了switch这个选择结构如果不等于这几个的时候则是默认english
可以加入注释符 “#”，注释后边的内容不会发送到服务端，但是会被前端代码所执行。

impossible
我们看到源代码没有任何防护 我们查看html的源代码
并没有对我们输入的内容进行URL解码，所以我们输入的任何内容都是经过URL编码，然后直接赋值。因此不存在XSS漏洞。