漏洞重温之XSS(上)
漏洞简介
跨站脚本攻击(XSS)是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览页面之时,嵌入web网页中的script代码会被执行,从而达到恶意攻击用户的目的。
XSS漏洞通常是通过php的输出函数将javascript代码输出到html页面中,通过用户本地浏览器执行的,所以xss漏洞关键就是寻找参数未过滤的输出函数。
常见的输出函数有:echo printf print print_r sprintf die var-dump var_export
xss漏洞最常见的验证方法为先插入一段恶意代码,完成在网站上的弹窗操作,利用恶意代码攻击自己,如果再重复访问网页时发现弹窗,则可以证明该位置存在xss漏洞。
xss漏洞的危害:
(1)窃取管理员账号或cookie,入侵者可以冒充管理员的身份登录后台,使入侵者具有恶意操控后台数据的能力,包括增删改查信息等。
(2)窃取用户的个人信息或者登录账号,对网站用户的安全产生巨大威胁。例如冒充用户身份进行各种操作。
(3)网站挂马。先将恶意攻击代码嵌入到web应用程序之中。当用户浏览该挂马页面时,用户的计算机会被植入木马。
(4)发送广告或垃圾信息。攻击者可以利用xss漏洞植入广告,或者发送垃圾信息,严重影响到用户的正常使用。
常见的xss漏洞分为存储型 反射型、DOM型三种。
(1)反射型xss
用户在请求某条URL地址的地时候,会携带一部分数据。当客户端进行访问某条连接时,攻击者可以将恶意代码植入到url,如果服务端未对url携带的参数做判断或者过滤处理,直接返回相应页面,那么xss攻击代码就会一起被传输到用户的浏览器,从而出发反射型xss。例如,当用户进行搜索时,返回结果通常会包括用户原始的搜索内容,如果攻击者精心构造包含xss恶意代码的链接,诱导用户点击并成功执行后,用户的信息就可以被窃取,甚至可以模仿用户进行一些操作。
反射型xss不会永久存储用户的数据;仅发生在用户的一次访问过程之后。这个过程就像一次反射,因此得名反射型xss。反射型xss的触发条件比较苛刻,需要攻击者想法设法的引导用户点击链接,但产生的危害不容忽视。
(2)存储型xss
存储型xss又叫持久性。一般而言,它是三种xss里危害最大的一种。此类型的xss漏洞是犹豫而已攻击代码被持久化保存到服务器上,然后被显示到html页面之中。这类漏洞经常出现在用户评论的页面,攻击者精心构造xss代码,保存到数据库中,当其他用户再次访问这个页面时,就会触发并执行恶意的xss代码,从而窃取用户的敏感信息。
(3)DOM型xss
DOM-basedXSS漏洞是基于文档对象模型(Document Object Model)的一种漏洞。这种xss与反射型xss、存储型xss在原理上有本质区别,它的攻击代码并不需要服务器解析响应,触发xss靠的是浏览器端的DOM解析。客户端上的javascript脚本可以访问浏览器的DOM并修改页面内容,不依赖服务器的数据,直接从浏览器端获取数据并执行。
XSS挑战之旅level1-level7
level1
进入主页,发现只有一张图片,没有任何文本框可以尝试插入。
但发现网站url用name参数传参,并且更改name会改变页面显示。
直接尝试在name参数后面写入测试代码
<script>alert(1)</script>
第一关,通过
level2
第二关开头,发现了xss最熟悉的文本框,本着最基本的见框就插原则,使用测试代码尝试。
<script>alert(1)</script>
根据网页反馈,发现代码并没有被执行。
右键,点击查看源码,找问题所在。
可以看到,我们插入的代码在两个双引号中间,并当做字符串传送,故没有完成他本来应该完成的操作。
尝试闭合前面的单引号,代码如下:
"><script>alert(1)</script>
第二关,通关。
level3
第三关,发现插入框,使用测试代码测试。
<script>alert(1)</script>
根据网页反馈,发现插入代码并没有被执行
右键查看网页源码,发现网站过滤了尖括号,显然script、img这些常用标签无法使用。
尝试使用onclick事件进行xss攻击。
使用单引号闭合value
' onclick=alert(1)
尝试触发事件,但代码却依然没有执行,猜测代码出现问题。
右键查看网页源码
发现代码后面多了一个单引号,引起代码出错。
尝试在代码后面多写一个单引号闭合后方代码。
第三关,通关。
level4
第四关开始,研习传统,使用测试代码测试。
PS:
测试代码的作用:
1.简单直接的检测。如果网站没有设置对xss的防备,可以直接通过代码检测出问题所在。
2.查看网站的防御机制如何。如第三关,第四关,网站通过过滤尖括号来阻止xss攻击,在攻击没有成功的时候,我们可以通过查看网页源码,来查看具体哪个地方出现问题。
发现代码没有被执行,右键查看网页源码。
发现该源码和第四关区别仅仅在于一个使用单引号,一个使用双引号。
废话不多,直接上代码。
" onclick=alert(1) "
第四关,通关。
level5
第五关开局,发现文本框,上测试代码。
发现插入代码未执行,右键查看网站源码。
发现该处需要先闭合前方的value,同时,注意到script标签被转义,变成了scr_ipt,导致该标签不可用。
换测试代码,注意闭合前方。
"><img src=a onerror=alert(1)>
从未加载的图片位置,可以看出来,代码已经成功执行了,但是却没有弹窗,说明代码某处出现问题,导致无法正常运行。
右键查看源代码,找寻问题所在。
问题发现,在我们插入的代码后方,多了一个">,因为这个,才导致我们的代码没有正常执行。
尝试闭合后方尖括号。
发现我们希望出现的弹窗依然没有出现,右键查看网页源码。
从这个地方,可以看出来,问题的确出在最后的尖括号上,正常情况,后方尖括号是可以被闭合的,但是现在却无法完成。
尝试不闭合,直接将后方注释。
PS:这里这么尝试的原因是,代码前方并没有出现任何问题,只是后面多了一个尖括号,如果可以将后面代码注释掉,使其不会影响代码正常运行,可能会达到预期目的。
尝试过后,发现依然无法执行,猜测后方尖括号可能无法被注释等操作,可以利用到尖括号和双引号的有之前提到的onclick事件。
事件依然没有被执行,右键查看源码。
发现onclick事件被过滤,导致无法成功执行。
尝试使用a标签来完成xss攻击。
代码如下
"><a href="javascript:alert(1)
第五关,通关。
level6
第六关,依然先对文本框进行xss攻击。
发现网站转义了script标签,猜测可能也转义了其他常见标签和事件,直接采用a标签进行xss攻击尝试。
代码没有达到预期效果,右键查看网站源码。
发现网站转义了href属性,尝试使用大小写来绕过。
第六关,通关。
level7
第七关,开局使用测试代码进行第一次攻击。
发现script标签被过滤。
经过测试script、src、on等关键字被过滤,显然无法再使用script标签、img标签,和a标签来完成目的。
尝试使用单词嵌套来进行攻击。
" oonnclick=alert(1) "
第七关,通关。
