★★实战前置声明★★
文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与学习之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。

1、简单了解HTML和JS基础

想要知道怎么XSS攻击,是需要了解一些HTML和JS基础知识点的,不然后面一些脚本注入会不清楚。HTML全称HyperText Markup Language超文本标记语言,HTML文档也可以叫做web页面,主要功能是实现页面跳转,显示数据。

1.1、HTML结构标准

<!doctype html> //声明文档类型,由渲染引擎解析
<html> //根标签
<head> //头部标签
<title></title> //标题标签 ,位于页面最上方定义浏览器工具栏中的标题
</head>
<body> // 主体标签,给用户、浏览者看
<!-- 在此处写注释 -->
</body>
</html>

层级关系说明

<head> </head>和<body> </body>为并列关系
<head> </head>和<title> </title> 为嵌套关系

1.2、HTML标签

HTML标签是HTML语言中最基本的单位,也是最重要的组成部分。 标签大小写无关,但推荐使用小写。标签可分为单标签(比如<br/>)和双标签(比如<h1></h1>)。

常见的单标签:

<br/> // 换行
<hr/> //水平分隔线
<img /> //图片标签
<input /> //输入标签
<meta /> //HTML文档的元数据,机器可读,如<meta charset=UTF-8”/

常见的双标签:

<html></html>
<head></head>
<title></title>
<body></body>
<h1></h1> //大标题
<p></p> //段落标签
<div></div> //块标签,对内容样式控制、实现布局效果
<a></a>		// <a href="https://www.baidu.com">百度</a>
<ul></ul> //列表标签
<form></form> //表单标签,用于用户输入创建HTML表单,向服务器传输数据
<select></select> //选项标签

1.3、JS(JavaScript)

JavaScript是一种直译式的脚本语言、是一种动态类型、弱类型、基于原型的语言,内置支持类型。它可以将文本动态放入HTML页面、读写HTML元素、对事件做出响应、可用来验证用户输入的数据、也可创建Cookies存储访问者计算机中的信息等。

百度百科定义
JavaScript(简称“JS”)是一种具有函数优先的轻量级,解释型或即时编译型的编程语言。虽然它是作为开发Web页面的脚本语言而出名,但是它也被用到了很多非浏览器环境中,JavaScript基于原型编程、多范式的动态脚本语言,并且支持面向对象、命令式、声明式、函数式编程范式。

使用方式有两种

// 写在html的形式
<script> JavaScript的内容(123、'xss')</script>

// 引用文件的形式
<script type="text/javascript" src="js文件的路径" />

常用一些函数举例

<script>alert(1)</script>
<svg onload=alert(1)>
<img src=1 onerror=alert(1)>
<M onmouseover=alert(1)>M
<marquee onscroll=alert(1)>
<a href=javascript:alert(1)>M</a>
<body onload=alert(1)>
<details open ontoggle=alert(1)>
<embed src=javascript:alert(1)

更全面的学习可以到菜鸟教程学习,个人建议非专业前端开发人员快速了解学习就行。

2、XSS简介

XSS全称Cross Site Script,跨站脚本攻击,由于简写CSS与html的css样式重名,简称为XSS。属于web应用中计算机安全漏洞,是恶意的web访问者将脚本植入到提供给用户使用的页面中。一般使用JavaScript编写的危险代码,当用户使用浏览器访问页面时,脚本会被执行,从而达到攻击者目的。本质是恶意代码未经过滤,与网站正常的代码混在一起,浏览器无法分辨哪些脚本是可信的,导致恶意脚本被执行。

2.1、XSS攻击流程

一般包含5个节点:

1、攻击者查找目标网站或Web应用程序,尝试找到可以插入恶意脚本的漏洞点。

2、一旦攻击者找到了潜在的漏洞点,他们将准备好的恶意脚本插入到这些地方。

3、用户访问包含恶意脚本的页面,或者与包含恶意脚本的数据进行交互。

4、用户的浏览器接收到恶意脚本,并执行它。

5、恶意脚本可以执行多种操作,包括窃取用户的会话令牌、cookie、输入的敏感信息,或者将用户重定向到其他恶意网站。

(图片来源于网络)

3、XSS漏洞分类和利用

XSS漏洞可分为3类:反射型(非持续型)、存储型(持续型) 和DOM型。

3.1、反射型(非持续型)

全称:Reflected Cross-site Scripting,也称作非持久型、参数型跨站脚本,主要用于将恶意脚本附加到URL地址参数中。漏洞特征:一次性的、前端执行、不会存储到后端数据库中。危害等级:中。

反射型XSS攻击步骤:

  • 攻击者构造出包含恶意代码的URL。
  • 用户访问时,恶意代码会被拼接在HTML中返回给浏览器。
  • 用户浏览器接收到响应后解析执行,混在其中的恶意代码也被执行。
  • 窃取用户数据并发送到攻击者的网站,或冒充用户的行为执行攻击者指定的操作。

3.2、存储型(持续型)

全称:Stored Cross-site Scripting,攻击者事先将恶意JS代码上传或存储到漏洞服务器,当用户浏览含恶意JS代码的页面就会执行恶意代码,不需要用户单击特定URL就能执行跨站脚本。漏洞特征:持久性、前端执行、储存在后端数据库。危害等级:高。

存储型 XSS 的攻击步骤:

  • 攻击者将恶意代码提交到目标网站的数据库中。
  • 用户打开目标网站时,网站服务端将恶意代码从数据库取出,拼接在HTML中返回给浏览器。
  • 用户浏览器接收到响应后解析执行,混在其中的恶意代码也被执行
  • 窃取用户数据并发送到攻击者的网站,或冒充用户的行为执行攻击者指定的操作。

3.3、DOM型

DOM-based XSS发生在应用程序通过JavaScript操作页面DOM时,未对用户输入进行适当的过滤或转义,导致攻击者可以注入恶意脚本,进而影响其他用户。漏洞特征:一次性、前端执行、不会储存在后端数据库、程序执行不依赖服务器端的数据。危害等级:中。

与前两种类型的XSS区别,漏洞发生原因跟服务器解析无关,只是JS代码读取了URL内容导致,dom-xss取决于输出位置,并不取决于输出环境,因此dom-xss有可能是反射型的,也可能是存储型的。

4、靶场小试牛刀(一)

选择pikachu靶场的Cross-Site Scripting,实验选择反射型xss(get)。本文暂时给出一个攻击示例,其他类型的会有另外一篇分享。

先随便填写提交,看界面展示数据,右击查看页面码数据是回显的,然后根据数据结构确定构建poc提交验证。

测试验证内容

'<>?"&/6666

4.1、正常操作

输入'<>?"&/6666,界面显示如下:

4.2、查看源码

查看源码,发现输入的内容,是填充在p标签内,没有被编码。注意:文本框长度限制20

4.3、确定攻击poc

由于文本框长度限制20,攻击poc可用就变得很少了

<svg onload=alert(1)>

验证成功

5、资料获取

靶场环境搭建请参考《靶场环境搭建【XP、pikachu、dvwa、sqli-labs】》

posted on 2023-11-10 00:57  大象只为你  阅读(222)  评论(0编辑  收藏  举报