实验原理
XSS是最常见的计算机安全漏洞,又叫CSS(Cross Site Script) ,即跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意代码,当用户浏览该页之时,嵌入其中web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。
在XSS的攻击方式中,需要欺骗用户自己去点击链接才能触发的XSS称为反射型XSS,也称为非持久型XSS(Non-persistent XSS)。反射型XSS只是简单的把用户输入的数据“反射”给浏览器,特点为单击时触发,执行一次。
实验目的
理解反射型XSS的原理
学习反射型XSS的实现过程
实验内容
跨站脚本攻击之反射型XSS
打开测试站点,发现是一个提交并输出数据的表单,如下图所示。
尝试输入,发现成功弹窗,证明网站存在XSS漏洞。
XSS挑战初中高级
初级
example 1
点击进入,由提示可知关键代码如下:
echo $_GET["name"];
?>
易知源代码未作任何过滤,构建payload
/example1.php?name=
即可成功弹窗。
example 2
由提示可知关键代码如下:
可以看到过滤了小写的,因此可以采用大小写混淆的方式绕过,构建payload
/example2.php?name=
即可成功弹窗。
example 3
由提示可知关键代码如下:
过滤了不区分大小写的,因此可以采用双写
/example3.php?name=ript>alert(1)pt>
即可成功弹窗。
中级
example 4
由提示可知关键代码如下:
可以看到对script做了大小写过滤/i,大小写混淆不再有效,但没有做更多限制。因此可以选择放弃使用
构建payload
/example4.php?name=
即可成功弹窗。
example 5
由提示可知关键代码如下:
过滤了大小写的alert,但可以利用字符串编码绕过。构建payload
/example5.php?name=
即可成功弹窗。
example 6
由提示可知关键代码如下:
可以采用闭合标签绕过。构建payload
/example6.php?name=
即可成功弹窗。
高级
example 7
由提示可知关键代码如下:
可知代码通过htmlentities()函数把字符转换为 HTML 实体。
htmlentities() 并不能转换所有的特殊字符,是转换除了空格之外的特殊字符,且单引号和双引号需要单独控制(通过第二个参数)。第2个参数取值有3种,分别如下:
ENT_COMPAT(默认值):只转换双引号。
ENT_QUOTES:两种引号都转换。
ENT_NOQUOTES:两种引号都不转换。
由图可知该函数在应用时没有设置过滤单引号,因此构建payload
/example7.php?name=';alert('1');'
即可成功弹窗。
example 8
由提示可知关键代码如下:
可知post地址使用了当前url,即
,因此构建payload
/example8.php/>
即可成功弹窗。
此时标签闭合如下图
example 9
由提示可知关键代码如下:
xss直接在页面输出锚点id,因此构建payload
/example8.php#
并刷新网页,即可成功弹窗。
DVWA之反射型XSS
Low
在low级别中,关键代码如下所示:
可以看出未做任何防护,直接构建payload
即可成功弹窗。
Medium
在Medium级别中,关键代码如下所示:
可以看到只替换了小写的
或
ript>alert(1)
即可成功弹窗。
结果及分析
通过url的输入,将恶意脚本附加到url地址的参数中。能够弹出一个警告框,说明跨站脚本攻击漏洞存在。
实验结论
我抄我自己
XSS攻击的是浏览器,不同的浏览器效果不一样,同一款浏览器不同版本之间效果不同。反射型XSS通常出现在网站的搜索栏、用户登入口等地方,具有单击时触发、执行一次的特点。
对于反射型XSS,需要服务端和前端共同预防,针对用户输入的数据做解析和转义,或是限定脚本的来源域,以尽可能地避免XSS攻击。
XSS注入流程
通过常用语句漏洞的验证,如;
查看源代码判断XSS的闭合,有没有过滤<>;
查看源代码利用XSS的结构,若结构中会受到过滤等则进行XSS的变形。
常见的XSS攻击方法
利用<>构造HTML 或者JS标签;
利用HTML 标签的属性值进行XSS;
产生自己的事件;
利用CSS跨站等
常见XSS变形
根据过滤代码的写法采取不同的变形以绕过过滤,常见的有以下几种。
1. 扰乱过滤规则
大小写转换
引号的引用
@ 无引号
@ 单引号
@ 双引号
类型
写法
一个正常的XSS输入
转换大小写后的XSS
大小写混淆的XSS
不用双引号,而是使用单引号的XSS
不使用引号的XSS
2. 利用 / 代替空格
3. CSS中变形
@ 使用全角字符
@ 注释会被浏览器忽略
body{background-image:expre/***/ssion(alert(/xss/))}
@ 样式表中的\ 和\0 同样会被浏览器忽略
4. 利用空格、Tab或回车
@ 利用Tab
click me!
@ 利用回车
5. 对标签属性值进行转码
@ 将字符转为十进制或十六进制,例如
a 97 a a
e 101 e e
click me!
6. 拆分跨站
@ 拼接
@ 注释
*/cookie
XSS的危害
网络钓鱼,包括窃取用户账号;
窃取用户cookies资料,从而获得用户隐私信息,或利用用户身份进一步对网站执行操作;
劫持用户会话,进行非法转账、强制发表日志、发送电子邮件等;
强制弹出广告、刷流量等;
恶意操作,删除文章等;
网页挂马;
传播跨站脚本蠕虫等
常见应对XSS方法
输入输出检查并对敏感字符编码,如
在XSS的防御上,输入检查一般是检查用户输入的数据中是否包含一些特殊字符,如
在变量输出到HTML页面时,可以使用编码或转义的方式来防御XSS攻击。如php可以使用htmlentities()函数及htmlspecialchars()函数;JavascriptEncode使用escapeJavascript()函数来转义、<>\等,同时要求输出变量必须在引号内部。在Java中也存在第三方组件支持过滤XSS漏洞,如JSOUP、OWASP Esapi、xssprotext等。
黑名单,白名单
对于富文本的过滤,需要考虑输入过滤,严格禁止“事件”。同时禁止一些威胁的标签:、、
在标签的选择上,应该使用白名单,如只允许、、
等比较安全的标签
