来源:http://bbs.ichunqiu.com/thread-10436-1-1.html?from=ch
作者:万年死宅
既然如此,我们就试试看能不能插入...标签吧,我们就那alert(/XSS/)来演示吧:
确实弹窗了,那童鞋们肯定又要问了,弹个窗又能有什么用呢?貌似还是没什么用吧?
这就不然了,嘿嘿,首先,在不讲其他知识的前提下,第一点就是可以用来钓鱼,例如:
[XHTML]纯文本查看复制代码
1
看效果:
OK,至于怎么把密码传回来,这个后面再讲。我们现在就来总结下XSS是个啥情况。首先,其实XSS是属于Code Injection的一种。就和SQL注射一样都是属于Code Injection漏洞,只是Injection的代码不同,SQL注射注射的是SQL语句,XSS则是注射的HTML和JS的语句。
目的都是一样的,妄图执行被注射的代码,来达到攻击者的目的。
root@2~# XSS的分类
接着,我们来说XSS的分类,刚才在root1的地方,大家可能就一直听我说反射型XSS了,对,这也是XSS分类的一种。
一般来说XSS普遍分为三种:
存储型XSS
反射型XSS
DOM型XSS
这三种存在这很多异同之处,这个就只能靠大家自己去体会了。我只能给大家粗浅的讲一下了。
我们先说存储型的XSS,我们知道很多地方都有评论啊这些功能,如果我们键入评论并提交了,那么我们的评论内容存在什么地方了呢?
答案就是数据库,我们来数据库里建立一个xssDemo数据库,然后建立一个如下结构的表:
然后向其中插入一条数据:
然后,我们编写一个PHP的文件,代码如下:
我们接下来访问页面:
这就是存储型XSS,我们可以看到URL中没有传参,POST也没,这就是直接从数据库得到的数据然后渲染时执行。
这是最不受限制的一种XSS,因为反射型的XSS只能在Firefox下执行,IE和Chrome都已经有对应的解决方案了。
但是存储型XSS则不受这个限制。而且更具有隐蔽性。因为代码不出现在URL里面。
接着,我们来说反射型的XSS,只是这次换成一行的Demo,嘿嘿。如下:
我们在浏览器上访问如下:
然后插入JS,如下:
相比存储型的XSS来说,反射型的XSS的利用方案就有不同,一般都会事先写好一个Payload,然后将链接发给用户,诱使用户访问含有Payload的URL达到JS代码执行的目的,而且仅仅限于Firefox,而且这种XSS在诱使用户点击的时候我们也不知道用户是否登录,从而导致不一定能读取得到Cookie。
接着我们来说DOM型XSS,这个其实是基于DOM执行的XSS,我们看如下Demo:
我们用浏览器加载下:
输入
a
,点击OK,如下:
我们可以看到,HTML成功执行了,那我们试试弹窗:
成功!嘿嘿,DOM-XSS和存储型XSS是一样的,不会因为浏览器的不同而存在不能执行的问题。
OK了,XSS的分类就这些了,我们来进入这篇paper的最后一个主题。
root@3~# 简单理解同源策略(SOP)
OK,这篇paper的最后一个内容就是SOP了,所有讲XSS的书都有说SOP对于搞前端安全Very重要。所以,我们不得不提一下。
所谓SOP,其实是一个所有浏览器都遵循的规定。它限制着JS对浏览器上的一些元素的读写的权限。
正是因为有了SOP,浏览器的世界才不混乱,不然的话,我们iframe嵌入一个页面,直接在本地域就能直接读取嵌入的Iframe的域的cookie这些敏感内容了。而且如果没有SOP,我们甚至可以控制所有页面在客户端(浏览器)的逻辑。
我们试想这样的局面存在,那么Web的世界根本就不可能存在安全的概念,因为这个客户端都是“假”的,我们无法看到“真”的内容。每一步操作可能都是“攻击者”布下的陷阱,或许要一次点击就是灾难的来临。
所以SOP显得由为重要!Web世界的一切都离不开SOP!这一点绝对不用质疑的!
所以,我们今天就来先简单的学习一下SOP。
首先,SOP的规定换成“人话”来说就是:不同域的客户端脚本在未授权的情况下不能读写别的域的资源。
其实这句话很好理解,但是其中的几个概念需要专门说一下,首先就是“同域”的概念。什么情况能被浏览器视为“同域”?
如下图(这经典的图,余弦哥哥的书里扣来的):
这个就是同域和不同域的概念,很清晰了。至于客户端脚本,就是JS,VBS,AS这些能在浏览器这个容器里只能个的脚本。
至于明确授权的话就是有个HTTP响应头:
Access-Control-Allow-Origin
这个头的值将表明允许跨域的情况。然后就是在不同域的情况下两个不同的域的脚本无法读写对方的资源(明确授权情况除外)。
好了,这篇paper就到这里,下一篇,我们来讲如何利用XSS做一些Evil的事情,嘿嘿。
