XSS攻击详解

XSS文章上

XSS文章下

什么是XSS

  1. 跨站脚本攻击(前端注入)
  2. 注入攻击的本质,是把用户输入的数据当做前端代码执行。
    设置cookie操纵浏览器:

    在这里插入图片描述

  3. 这里有两个关键条件:
    第一个是用户能够控制输入;
    第二个是原本程序要执行的代码,拼接了用户输入的数据。
  4. SQL注入拼接的是操作数据库的SQL语句。XSS拼接的是网页的HTML代码,一般而言我们是可以拼接出合适的HTML代码去执行恶意的JS语句(总结:XSS就是拼接恶意的HTML

XSS能做什么

  • 盗取Cookie并发送(用的最频繁的) , document.cookie —— 读取cookieAJAX【核心是默认异步执行机制,依靠JS】发送数据
  • 获取内网ip(攻击内网、扫描内网)
  • 获取浏览器保存的明文密码
  • 截取网页屏幕
  • 网页上的键盘记录

XSS业务场景

重灾区:评论区、留言区、个人信息、订单信息等
针对型:站内信、网页即时通讯、私信、意见反馈
存在风险:搜索框、当前目录、图片属性等

存储型XSS会出现在什么地方?

任何可能插入数据库的地方
比如:用户注册的时候
 	       留言板
           上传文件的文件名
          (管理员可见的)报错信息
         	……

XSS类型

  1. 反射型XSS (你提交的恶意数据成功的实现了XSS,但是仅仅是对你这次访问产生了影响,是非持久型攻击)。
  2. 存储型XSS (你提交的数据成功的实现了XSS,存入了数据库或者写入日志,别人访问这个页面的时候就会自动触发)。
  3. DOMXSS (比较复杂,后面会有专门的文章)

如何检测XSS

  1. 需要用恶意语句传参一般为反射型XSS
  2. <script>alert(1)</script> —— 测试是否存在XSS的常用语句,刷新之后若还有弹窗,说明为存储型XSS

XSS核心 —— 同源策略

同源策略:同域名|IP、同端口、同协议 —— 共用cookie

浏览器的同源策略,认为同一个网站,访问同一个东西,限制了不同源的Js,对当前页面的资源和属性的权限。同源策略保护了a.com域名下的资源不被来自其他网页的脚本读取或篡改。

同源:

http://www.baidu.com
http://14.215.177.39


https://a.b.c
https://a.b.c/abc    

不同源:

http://a.gyy.cn   => a.gyy.cn
http://b.gyy.cn   => b.gyy.cn

https://a.b.c  => https:       //443端口
http://a.b.c   => http:        //80端口

注意

  • cookie可以有多个,必须获得完整cookie

  • cookie注入和cookie不是同一个东西,cookie注入只是目标站点滥用REQUEST接受传参,而cookie具有时效性【一次会话或者开发设定,浏览器不关闭,一次会话都存在】,而且不应该也不会放入数据库中。

    在这里插入图片描述

  • cookie不能被爆破出来。

  • cookie是随机字符串(一串或者多串)。

  • 第一次访问网页,目标网站会给你设置一个cookie,除非自己有cookie

  • 原则上而言Cookie需要完整的,但是实际上而言,Cookie不一定每一条都代表权限。

ASPSESSIONIDAQBQBCQS=GHFLAMIDIDJEEACJJOCGHAJP; 
BWSsoft%5F2010=phone=aaaaa&admin=0&realname=aaaaa&dlcs=1&username=aaaaa&bumen=aaaaaaaaaa&loginname=aaaaa&danwei=aaaaa&shenfen=2&UserID=106

XSS语句

三种触发JS:

  • 标签风格【JS代码】: <script>alert(1)</script><script>confirm(1)</script>【判断是否进行某一个操作】、<script>prompt(1)</script>【用于输入文本内容】

    前端常用的弹窗函数

  • 伪协议: <a href=Javascript:alert(1)>123</a>Javascript实际上是一个伪协议,引导用户访问,类似于超链接】

  • 事件【较常见】:<img src='图片路径' onerror=alert(1) />【满足条件,则触发事件;onxxxxx就是事件,加载错误会触发onerror事件,加载成功触发onload事件,oninput 事件在用户输入时触发。】 ,JS所有事件

XSS防御方法

  1. HTML实体化 + 过滤
  2. httponly【禁止JS代码获取Cookie

    在这里插入图片描述

    - IE浏览器不支持httponly
  • 想办法让页面输出cookie【使用目录扫描来获取网页中的探针文件,比如 phpinfo(),这些探针文件可能会有cookie。一键化搭建的网站容易有探针,其中最常见的文件有phpinfo.phpi.php】。
  1. 总原则:输入作过滤,输出作转义
    过滤:根据业务需求进行过滤,比如输入点要求输入手机号,则只允许输入手机号格式的数字。
    转义:所有输出到前端的数据都根据输出点进行转义,比如输出到html中进行html实体转义,输入到js里面的进行js转义。

XSS检测方法 —— XSS平台

XSS平台详解以及练习,使用平台会有风险,可以拿cookie但不安全。

  • XSS平台核心是获取cookie
  • 因为XSSpayload构建复杂,所以一般情况下我们都是使用XSS平台去获取cookie ,建议隐私模式【shift+n】访问,不确定平台有没有恶意代码。
  • cookie失效后会有邮件、短信通知,但不建议使用。
  • 机器人被大部分XSS平台拉黑,是由于机器人10s发一次包。
  • 图片探测不能获得cookie,只能获得IP

DOM型XSS —— 因为JS的处理才产生XSS漏洞

通过DOM可以让脚本动态的访问、控制网页,通过Js去对网页进行修改,变化执行才产生的XSS漏洞,documen开头的document.write('123')就是DOM。【因为JS的处理才产生XSS漏洞】

DOM—based XSS漏洞是基于文档对象模型Document Object ModelDOM)的一种漏洞。DOM是一个与平台、编程语言无关的接口,它允许程序或脚本动态地访问和更新文档内容、结构和样式,处理后的结果能够成为显示页面的一部分。DOM中有很多对象,其中一些是用户可以操纵的,如urllocationrefelTer等。客户端的脚本程序可以通过DOM动态地检查和修改页面内容,它不依赖于提交数据到服务器端,而从客户端获得DOM中的数据在本地执行,如果DOM中的数据没有经过严格确认,就会产生DOM—based XSS漏洞。

document对象

Document 对象使我们可以从脚本中对 HTML 页面中的所有元素进行访问。

Document的存在可以让浏览器获取网页信息,然后用Js来填充来节约服务器性能,因为前端代码都在客户浏览器上面执行,和服务器无关。

在这里插入图片描述

document.cookie 读取当前网页的Cookie —— 【xss必备】
document.lastModified 获得当前页面的最后修改时间 —— 【识别伪静态必备】
document.write(' ') 向文档中写入HTML或者JS代码 —— 【Dom xss常见的存在方式】

静态网页 :纯前端代码,文件后缀为html的一般为静态页面,唯一的漏洞DOMXSS
动态网页 :有后端代码所参与的网页就是动态网页
伪静态 : 动态网页假装成静态页面(SQL注入),与动态页面唯一的区别在于传参。

http://lri45456.ia.aqlab.cn/news/detail/7.html
http://lri45456.ia.aqlab.cn/news/?detail=7       //伪静态页面传参情况

Dom型XSS常见三种状态

  1. Document.write 在页面上面写内容,下面代码的含义是获取URL里面的name的传参然后输出在页面,它可以接受native编码值 。
    转码地址
http://127.0.0.1/1.html?name=123<script>alert('123')</script>
http://127.0.0.1/1.html#name=123<script>alert('123')</script>    //其中#为锚点

在这里插入图片描述


indexOf() 方法可返回某个指定的字符串值在字符串中首次出现的位置。
unescape()函数
substring()用于提取介于两个指定下标之间的字符。

  1. innerHTML 属性设置或返回表格行的开始和结束标签之间的 HTML
    下面代码是重新设置id=zkaq的标签里面的值

    在这里插入图片描述


    在这里插入图片描述

document.getElementById("NF").innerHTML="<script>alert(1)</script>"
  1. eval 把字符串当代码执行,这里是获取锚点后的值然后放入eval

    在这里插入图片描述


    Location hash 属性

反射型XSS练习

  1. 我们首先尝试最简单的标签风格的JS代码<script>alert(1)</script>,查看源码后我们发现尖括号被过滤。

  2. 我们只能使用事件法来构造JS代码。
  3. 我们先随便输入abcd,查看标签闭合方式为单引号。

  4. 使用oninput事件' oninput=alert(123)//,发现弹窗说明注入成功,即可得到flag。


存储型XSS练习

  1. 使用FineCMS搭建的一个网站,通过百度搜索这个CMS的XSS漏洞,发现其漏洞。
    FineCMS —— XSS漏洞复现

  2. 点击注册页面,在url中添加c=mail&m=test

  3. 使用xss平台,即可在cookie中发现flag


DOM型XSS练习

  1. 我们点击F12,打开开发者工具,发现了document.write,我们尝试在后面添加?id=1,发现页面回显。

  2. 而且,使用url传参修改url,发现页面显示也会被修改。

  3. 我们使用传参传入简单的弹窗语句,http://59.63.166.75:8014/dom_xss/?id=1<script>alert(1)</script>,发现被网站防火墙拦截。

  4. 我们尝试使用锚点,http://59.63.166.75:8014/dom_xss/#id=1<script>alert(1)</script>,发现聊天页面回显正常,说明后端代码获取url
  5. document.write可以接收一个独特的编码Native,我们通过doucument.write()传参Native编码。
  6. 我们可以看出,第一行是后端代码,第二行是页面输出。



  7. 使用XSS平台。


  8. 发现没有flag,我们点击投诉建议,在其输入框中再次尝试。

  9. 我们诱导客服去访问,即可在XSS平台获取到flag。【不建议使用短链接,因为客服可能会查看链接域名是否正确】

原文地址:https://blog.csdn.net/m0_55854679

版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。

相关推荐


$.AJAX()方法中的PROCESSDATA参数 在使用jQuery的$.ajax()方法的时候参数processData默认为true(该方法为jQuery独有的) 默认情况下会将发送的数据序列化以适应默认的内容类型application/x-www-form-urlencoded 如果想发送不
form表单提交的几种方式 表单提交方式一:直接利用form表单提交 html页面代码: &lt;!DOCTYPE html&gt; &lt;html&gt; &lt;head&gt; &lt;meta charset=&quot;UTF-8&quot; /&gt; &lt;title&gt;Ins
文章浏览阅读1.3k次。AJAX的无刷新机制使得在注册系统中对于注册名称的检测能即时显示。常见的用户注册是用户输入用户名,后台程序检测数据库中用户名是否重复而做出注册的成功与失败之提示(当用户注册重名时将返回重新注册),或者稍微人性化一点就是在用户名文本框后添加一个检测按钮,让用户检测后再做注册。以上操作,对于用户体验方面来说是比较“差劲”的,一个很好的用户体验就是:当用户输入完注册用户名后,Web系统应能即时检查并即时_用户注册 实时异步检测
文章浏览阅读1.2k次。 本文将解释如何使用AJAX和JSON分析器在客户端和服务器之间创建复杂的JSON数据传输层。一、 引言毫无疑问,AJAX已经成为当今Web开发中一种强有力的用户交互技术,但是它的许多可能性应用仍然鲜为人知。在本文中,我们将来共同探讨如何 使用JavaScript对象标志(JSON)和JSON分析器在服务器和客户端AJAX引擎之间创建复杂而强有力的JSON数据传输层。我们将_ajax技术可行性
文章浏览阅读2.2k次。/************************** 创建XMLHttpRequest对象 **************************/function CreateRequest(){ var xmlObj = null; try { xmlObj = new XMLHttpRequest(); } catch(e) {
文章浏览阅读3.7k次。在ajax应用中,通常一个页面要同时发送多个请求,如果只有一个XMLHttpRequest对象,前面的请求还未完成,后面的就会把前面的覆盖 掉,如果每次都创建一个新的XMLHttpRequest对象,也会造成浪费。解决的办法就是创建一个XMLHttpRequset的对象池,如果池里有 空闲的对象,则使用此对象,否则将创建一个新的对象。下面是我最近写的一个简单的类:* XMLHttpReques_xmlhttprequest发送多个请求
文章浏览阅读3.1k次。Ajax 同一页面如何同时执行多个 XMLHTTP 呢,比如博客页,需要同时利用 Ajax 读取作者信息、文章信息、评论信息……我们的第一反应可能是创建多个全局 XMLHTTP 对象,但这并不现实。其实实现方式非常简单,就是给 onreadystatechange 对应的回调函数加上参数,以下代码是解决方案中一个函数中的一段代码。xmlhttp.open("GET", "ajax_proc_ajax响应多个mxl文件
文章浏览阅读1.5k次。数据岛指的是存在Html网页中的xml代码段,它在Html中形成了一个数据的集合,数据岛允许我们在Html网页中集成xml,对xml编写脚本.数据岛有它特有的形式,由标记xml开始,在开始标记中要有一个ID属性,用于指定该指定数据岛的名称。 (当然要以/xml结束).元素xml包含的内容就是xml代码。数据岛也分为2种:1)内嵌的数据岛形式2)外嵌的数据岛形式说了那么多废话,还_数据中岛计算模式
文章浏览阅读2.1k次。AJAX 流行之后,总想好好学习一下。但是众多的框架实在难以选择。说明一下 ASP.NET AJAX 并不包括在 AJAX 框架之中。刚开始学了 JQuqery, 众多的 $get(),...等等符号早已把我搞晕了。暂时就放弃了。后来学习 ASP.NET AJAX ,在微软的领导下,逐渐由服务器端转向客户端编程。 激起我客户端编程的兴趣,才想起学习一下了 Jquery. 随着WEB2._jquery ajax asp.net 认证
文章浏览阅读1.7k次。前段时间在用google map api的函数库的时候,发现里面的downloadUrl函数非常好用,所以自己写了一个。用腻了那些什么框架什么池,到头来发现越简单的东西越是适合我这种懒人。downloadUrl(url, callback, data);参数说明: url不用说了; callback是回调函数,函数调用的时候会有两个参数:data, responseCode,data就_xmlhttprequest downloadurl
文章浏览阅读956次。前些时间写了几篇关于XMLHTTP运用的实例.(可以到http://dev.csdn.net/user/wanghr100看之前的几编关于XMLHTTP的介绍.)近来看论坛上经常有人提问关于如何无刷新,自动更新数据.传统上,我们浏览网页,如果加入最新的数据.只能是等我们重新向服务器端请求时才能显示出来.但是,对于一些时效性很强的网站.传统的这种做法是不能满足的.我们可以让程序自动刷新.定时_后端xml怎么实现数据有救新增,没有就更新
文章浏览阅读3.3k次。 XMLHttpRequest调用XMLHttpRequest Call ●●●调用,回调,下载,抓取,实时,查询,远程通信(Remoting),远程通信脚本(RemoteScripting),同步,上传,XMLHttpRequest图6-2:XMLHttpRequest调用 目标故事Reta正在一个批发商网站上购买商品。每次她添加一个商品到购物车时,web站点发出_createxmlhttpre
文章浏览阅读1.3k次。function clearitem(){ var drp1 = document.getElementById("drp1"); while(drp1.options.length>0) { drp1.options.remove(0); } }//动态更改方法(根据城市代码取得该市商业区并添加到DropDownList中_dropdownlist根據動態變化
文章浏览阅读1.9k次。因為 Json.net 是有附原始碼的,他也附了單元測試的專案,底下是我額外增加的UnitTest,我的目標就是讓底下的測試可以pass,而且原來的Test 也要都能通過。 ValueTypeTest.csusing System;using NUnit.Framework;namespace Newtonsoft.Json.Test { [TestFixture] public cl_vb 無效的 json 基本型別
文章浏览阅读844次。利用XMLHTTP无刷新获取数据. 客户端和服务器端数据的交互有几种方法.1.提交,通过提交到服务器端.也称"有刷新"吧.2.通过XMLHTTP无刷新提交到服务器端,并返回数据.也称"无刷新"吧.利用XMLHTTP我们可以实现很多很强大的应用.这文章主要介绍它的一些简单的应用.附:因为XMLHTTP是IE5.0+支持的对象.所以你必须要有IE5.0+才能看到效果.client.htm_xmlhttp取源码没有更新
文章浏览阅读1.8k次。Json.Net 無法序列基本型別(string, int),Asp.Net Ajax 無法正確序列日期,AjaxPro序列出我不想要的_type字串 1. Json.Net 是我最常使用的序列/反序列json套件,標榜速度快,對於一對多關係的object 也都能正常運作, 己能滿足我平日的需要,但前幾天突然有個情況,我要序列的是一個泛型參數,該參數不一定是物object型別,有可能是st_token string in state start
文章浏览阅读1.3k次。转载自:http://www.cnblogs.com/JeffreyZhao/archive/2007/01/31/update_the_updatepanels_by_js.html众 所周知,UpdatePanel是通过Trigger来更新的。被设定为Trigger的控件在PostBack之后会被客户端所截获,并且使用 XMLHttpRequest对象发送内容,然后服务器端由ScriptMan_web.ui.updatepanel 和 updatepanel 的区别
文章浏览阅读1.9k次。有些时候,只是需要更新页面的一个部分甚至只是更新中间的几个数据却需要从服务器DOWN整个页面,导致各种资源的浪费。使用数据岛技术可以很好的解决这个问题:通过定时器或用户事件触发数据岛(XML对象)象服务器获取数据,在数据获取完成后,适时更新相关数据。示例HTML部分:http://localhost/WebService/LoadData/FeaturedService.asmx/GetScore_web数据岛
文章浏览阅读1k次。在页面上使用ActiveXObject的代价是很大的,如果我们的无刷新页面使用xmlhttp技术,我们或许需要频繁的建立xmlhttp对象,当然 我们也可以使用全局变量来cache一个xmlhttp对象实例。但是这样的方法适合于同步方式xmlhttp通信,而对于异步方式xmlhttp通信将 会出现问题。由于没有了进程的堵塞,用户可能再次调用同一个xmlhttp实例,如果这时前一个通信未完成,那么就
文章浏览阅读998次。 by Lokesh Dhakar 译: croc查看原文概要:Lightbox JS 是一个简单而又谦恭的用来把图片覆盖在当前页面上的脚本. 它能被快速安装并且运作于所有流行的浏览器.最新更新 Version 2.0 图片集: 分组相关的图片并且能轻松的导航它们 视觉特效: 奇特的自适应调整 向后兼容: yes! 点击这里查看实例_on lightbox 2 by lokesh dhakar