XSS 原理

XSS 原理

跨站脚本（Cross-Site Scripting）是针对 web 应用程序的漏洞。拥有 XSS 漏洞的 WEB 应用业务流程为：

• 【 P 】：用户发送给网站一些数据 P
• 【 R = P + X 】：服务器接收 P ，并拼接响应信息 R = P + X
• 【 R 】：浏览器接收响应信息，并执行 R

在正常使用中，也许业务没有问题。但用户发送的 P 中含有可被浏览器执行的数据时，便出现了问题。

假设有 用户 A，用户 B。他们进行了以下操作：

• 【 P 】：用户 B 构建了可执行的数据 P ，并发送给用户 A
• 【 P 】：用户 A 将 P 发送给网站
• 【 R = P + X 】：服务器接收 P ，并拼接响应信息 R = P + X
• 【 R 】：用户 A 的浏览器接收响应信息，并执行 R

这时用户 A 的浏览器便执行了 用户 B 书写的代码。如果代码含有恶意操作，用户 A 将因为网站漏洞付出代价。

XSS 的分类

XSS 在利用时，也有多种不同的方式。它们被分为：

• 反射型
• 存储型
• DOM 型

反射型 XSS

这个便是最为经典的 XSS。它的流程基本与原理一致：

• 【 url = D + P 】：攻击者构造一个 url = D + P 链接。D 为正常 url，P 就是可执行代码。
• 【 url 】：正常用户使用这个 url 访问服务器。
• 【 R = P + X 】：服务器接收到 url 中的 P ，并构造响应信息 R = P + X
• 【 R 】：正常用户的浏览器接收响应信息，执行 R

存储型 XSS

这类 XSS 的危害远比反射型要大。因为可执行代码被存储进服务器，任何访问服务器的用户都将执行 XSS 代码。

• 【 S = D + P 】：攻击者将代码 P ，上传服务器的一个页面中。
• 【 url 】：其他用户访问这个页面。
• 【 S = D + P 】：服务器将存储的 S 作为响应信息返回。
• 【 S 】：用户浏览器执行 S。

DOM 型 XSS

DOM 型最大的特点是可执行代码没有经过服务器，因此一旦出现，难以防御。

• 【 url = D + P 】：攻击者构建 url = http://192.168.64.2/dom_xss.html#alert(1) 其中 P=#alert(1)
• 【 url = D 】：用户使用 url 访问服务器，浏览器会真正发送的 url = D。同时 P 被浏览器保存备用
• 【 R 】：服务器返回页面 R
• 【 R 执行 P 】：浏览器利用返回的页面 R 执行 P

可以看出这是很特殊的状态，用户提交的 url 没有完整的交给服务器。以至于恶意代码逃过服务器的检测。

同时页面中含有以下代码运行 url 中的脚本：

<script>
	eval(location.hash.substr(1));
</script>

location.hash 将返回 url 中的 #alert(1)
substr(1) 则是用来去掉第一个井号