一、跨站脚本漏洞概述
由于web应用程序对用户的输入过滤不严,通过html注入篡改网页,插入恶意脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击。在这个基础上黑客可以轻易的发起cookie资料窃取,会话劫持,钓鱼欺骗等攻击手段。
二、XSS跨站脚本攻击过程
三、跨站脚本漏洞类型及测试流程
1、漏洞类型
(1)反射型
交互的数据一般不会被存在数据库里面,一次性,所见即所得,一般出现在查询类页面等
(2)存储型
交互的数据会被存在数据库里面,永久性存储,一般出现在留言板,注册等页面
(3)DOM型
不与后台服务器产生交互,是一种通过DOM操作前端代码输出的时候产生的问题,一次性也属于反射型
DOM是什么
通过JavaScript,可以重构整个HTML文档,可以添加、移除、改变或重排页面上的项目
要改变页面的某个东西,JavaScript就需要获得对HTML文档中所有元素进行访问的入口。这个入口,连同对HTML元素进行添加、移动、改变或移除的方法和属性,都是通过文档对象模型来获得的(DOM)
所以,可以把DOM理解为一个一个访问HTML的标准编程接口
2、测试流程
(1)在目标站点上找到输入点,比如查询接口,留言板等
(2)输入一组“特殊字符+识别字符”,点击提交后,查看返回的源码,是否有做对应的处理
(3)通过搜索定位到唯一字符,结合唯一字符前后语法确认是否可以搞到执行js的条件(构造闭合)
(4)提交构造的脚本(以及各种绕过姿势),看是否可以成功执行,如果成功执行则说明存在XSS漏洞
TIPS
1.一般查询接口容易出现反射型XSS,留言板容易出现存储型XSS
2.由于后台可能存在过滤措施,构造的script可能会被过滤掉,而无法生效,或者环境限制了执行(浏览器)
3.通过变化不通的script,尝试绕过后台过滤机制
四、实验演示
1、反射型XSS(get&post)
反射型XSS(get)
get以url方式提交数据
post是以表单方式在请求体里面提交
get方式的xss漏洞更加容易被利用,一般利用的方式是将带有跨站脚本的url伪装后发送给目标,而POST方式由于是以表单方式提交,无法直接使用URL方式进行攻击
先输入一组特殊字符进行测试,然后查看源码,发现将特殊字符原样输出,说明我们输入任何字符它都会进行输出,不会做处理
输入代码发现限制长度,修改的方法,按F12
提交一个js代码,发现成功执行,说明存在反射型xss漏洞
输入<script>alert("xss")</script>
查看源码,可以看见反射型字符
接着我们刷新输入页面,因为是反射型的XSS,所以之前我们输入的代码并不会被保留
2、存储型XSS
输入特殊字符,提示输出
输入一个js代码,出现弹框,和反射型的区别就是刷新页面,还是会弹。说明留言被存到数据库里
3、Dom型XSS(纯前端操作)
DOM型XSS
确认是否存在xss漏洞,随便输入一个字符,查看源代码
右击查看源代码:
Ctrl+F搜索一下“what”定位到源码的相关位置
其中:
var str = document.getElementById(“text”).value
<input id=“text” name=“text” type=“text” value="" / >
用getElementById(),方法获取到id="text"值,即input中我们输入的内容,然后把输入的内容赋值给str
document.getElementById(“dom”).innerHTML = “< a href=’”+str+"’>what do you see?< /a > ";
< div id=“dom” >< /div >
把输入的内容通过字符串拼接的方式写入到a这个标签中的href(属性),再把a标签通过getElementById()方法写到id="dom"这个标签中
构造闭合,输入js代码
#' onclick="alert('hello')">
前端代码就变成这个
< a href=’#' onclick="alert('hello')">“>what do you see?< /a >
执行效果
DOM型XSS-x
查看源码:
构造闭合
#' onclick="alert('hello')">
执行结果