《邓哥奇遇记11》—— XSS注入攻击

Posted 2021-04-29 Duing

XSS攻击是我们经常听到的词汇，也是我们在面试的时候，经常被提起问到的词。那么今天我们就来聊一聊XSS攻击。

我们今天依然用我们渡一“教父”（教具之父）邓哥的例子，来给大家形象的讲讲XSS攻击的来龙去脉~对剧情不感兴趣的同学可以直接跳到后面红字部分，直接看总结的理论~

有一天，渡一教育举办了一场互相随机赠送礼物的活动~活动要求是每人准备一份小礼物放在盒子里，然后每个人都可以在盒子里抽取一份礼物。

这个盒子就像是一个服务器，每个人可以向服务器提交东西，每个人也可以从服务器上获取东西，举个具体的例子，就是XX微博，我们每个人都可以发文章，每个人也可以看到其他人的文章。

这时，邓嫂比较皮，准备的礼物是一个挂坠，上面有个针孔摄像头，还有一个定位器。并且暗示邓哥要选择这个礼物~邓嫂“温柔”的对邓哥说：“如果你不选，我要你好看~”

这样的文章总会使用一些方法让你进行点击，比如标题党等。

邓哥很“开心”的选择了这个礼物，本以为是什么惊吓，但是没想到还挺好看，于是每天都会带着这个挂坠，但是邓哥并不知道这个挂坠上面有一个针孔摄像机~所以邓哥每天洗澡，搬砖，撩妹都被邓嫂发现了。

这就像是XSS攻击，攻击者提交了一个内容，但是这段内容中带有获取他人隐私的代码。当其他人看到这个内容的时候，不知不觉间，自己的隐私就被泄露了。

虽然故事是这样，那么XSS攻击究竟是如何一步一步的获取了别人的隐私呢？下面我们就来一步一步的来进行解析。

1. 攻击者，上传一片文章或者博客，这边文章中带有一段JS代码，这段代码内容很简单，读取本地Cookie，发送给某个url。

2. XX微博的服务器没有对用户上传的内容进行审查，就将内容存储起来。

3. 当正常用户访问XX微博的时候，服务器将有问题的文章推送给了这个正常用户。（因为服务器并没有检查哪篇文章有问题，所以它会认为这是一篇正常的文章，以正常的方式推送给用户。）

4. 当正常的用户点开这篇文章的时候，攻击者编写的脚本就会在正常的用户的电脑上执行。（因为攻击者的脚本就是在文章的内容中加入一段script代码，浏览器会将script标签中的内容当作js代码来看待，然后执行这段代码）

5. 这段带有攻击性的代码可以读取用户本地的cookie内容，并将内容发送给攻击者事先准备好的url。（因为正常用户在本地打开，所以不存在跨域的问题）

6. 攻击者收到了发送过来的cookie之后，就可以将cookie内容写入自己的浏览器里，然后就能登录这个正常用户的XX微博了。

（因为现在很多网站都做了免登录功能，这个功能主要是依赖于种在浏览器里的cookie，这个cookie中会带有用户的部分信息，当用户在每次进入网站的时候，由于这些cookie的存在，就可以免登录了。我们这个例子中，XSS攻击就是获取到了用户的Cookie，从而在我们的本地来将这份cookie写入到我们的浏览器里，就能登录这个正常用户的帐号了~）

我们会发现XSS攻击最大的问题在于，服务器端在用户上传文章内容的时候，没有进行内容审查。其实，我们只要将一些危险的符号进行html编码就可以了，比如将‘<’替换为"<"，将‘>’替换为">"，这样攻击者就无法通过script标签的方式来进行攻击了~

ps：后台回复【邓哥奇遇记】可查看邓哥奇遇记系列文章哦~

 · · · 要 不 再 看 看 · · ·

-

 更多有趣的

请戳一戳