关于XSS跨站的一些笔记

Posted 2021-12-15 玛卡_八嘎

关于XSS跨站的一些笔记

一.XSS的原理

1.XSS的本质

XSS的本质是一种前端漏洞,用户的数据被当成前端代码的一部分来执行,从而混淆了原本的语义,产生了新的语义.
比如在这里输入xiaodi，页面回显了xiaodi，如果把这换成js脚本那么就可以实现一些目的。(当然现实远远没有这么简单)

2.XSS的产生层面

如果网站使用MVC架构,那么XSS就发生在VIEW层,即在应用拼接变量到html页面时产生.在有用户提交数据进行输入检查的方法,其实并不是在真正发生攻击的地方防御.比如在线购物平台会将购买人的信息返回到服务器查看，这是如果使用注入语句填写在购买人信息中，工作人员在查看信息时注入语句就会执行，就可以实现一些功能了。

3.XSS的危害

或者说学会XSS攻击后咱能干啥呢，啊不，能避免坏分子干啥呢：
• 窃取管理员帐号或Cookie，入侵者可以冒充管理员的身份登录后台。使得入侵者具有恶意操纵后台数据的能力，包括读取、更改、添加、删除一些信息。

• 窃取用户的个人信息或者登录帐号，对网站的用户安全产生巨大的威胁。例如冒充用户身份进行各种操作，查看用户记录，真实ip，开放端口等。或者控制受害者机器向其它网站发起攻击。

• 进行大量的客户端攻击，DDOS攻击。

• 网站挂马。先将恶意攻击代码嵌入到Web应用程序之中。当用户浏览该挂马页面时，用户的计算机会被植入木马。

• 发送广告或者垃圾信息。攻击者可以利用XSS漏洞植入广告，或者发送垃圾信息，严重影响到用户的正常使用。

4.XSS的检测

• 检测WEB应用程序是否存在XSS漏洞，最重要的就是搞清楚在哪里可以进行注入，信息又在哪里输出。

• 在知道输入和输出位置时， 可以输入一些敏感字符，比如” ’ ()<>等，在提交请求后 查看HTML源代码，看这些输入的字符是否被转义，再进行相应的绕过。

• 无法得知输出位置时，看不到源码时，有可能无法得知输入数据到底在哪里显示。比如留言本， 留言之后要经过审核才显示，这时候就无法得知输入的数据在后 台管理页面是何种状态。

二.XSS的分类

1.反射型XSS

反射型跨站脚本也称作非持久型、参数型跨站脚本。这种类型的跨站脚本是最常见的，也是使用最广的一种，主要用于将恶意脚本附加到URL地址的参数中，参数作为输入提交到服务器端，服务器端解析后响应，XSS代码随响应内容一起传回给浏览器，最后浏览器解析执行XSS代码。反射型跨站脚本经过后端不经过数据库。
比如说网站让我们输入最喜欢的球员：

提交后在url回显中发现message值被修改了
那么用检查是否存在XSS漏洞，如果有弹窗那么证明存在XSS漏洞。

2.储存型XSS

存储型XSS和反射型XSS的差别仅在于，提交的代码会存储在服务器端（数据库、内存、文件系统等），下次请求目标页面时不用再提交XSS代码（是一种持续的攻击）。最典型的例子就是留言板XSS，用户提交一条包含XSS代码的留言存储到数据库，目标用户查看留言板时，那些留言就会从数据库中加载出来并显示，于是出发了XSS攻击

如果存在储存型

留言储存在了对方的服务器中
那么在留言中就可以写入注入语句了

3.Dom型XSS

DOM型XSS是特殊的XSS，页面中有很多元素，浏览器会为这些元素创建对应的文档对象，每个对象都有属性和方法。通过构造js编辑文档对象，修改页面，获取DOM中的数据，DOM XSS代码并不需要服务器参与，出发XSS靠的是浏览器的DOM解析。

我们可以通过查看页面源代码来发现注入点所属的文件，然后通过修改变量或文件达到注入效果。

三.XSS的攻击手法

攻击手法
链接: 虽然没啥人看但是我还是会更新，因为这是我自己的笔记.
这里给下一篇关于XSS靶场的通关记录链接留个位置（i kill you 靶场），在下一篇同时会通过靶场通关的方式讲攻击手法和一些绕过waf的方法。

四.XSS的绕过方式

1.绕过httponly

httponly开启的表现：XSS攻击成功但获取不到cookie
httponly的作用：防止js读取cookie
在此之前说下，我们获取cookie的目的是为了获取用户身份，以此来登陆后台，httponly是防止js读取cookile，我们可以转而寻找后台管理员的账户密码。
浏览器未保存账户密码：需要xss产生登陆地址，利用表单劫持（需要登陆界面有跨站漏洞，利用有难度）。
浏览器保存账户密码：借助在后台的xss，使用存储型xss或者其他方式获取账户密码。
攻击思路
①以进入后台做为我们的目标
那么除了获取cookie之外，还可以直接账号密码登录，但是账号密码又分为两种情况，保存读取和没保存读取，也就是是否让浏览器记住密码了。
②保存读取：
攻击思路：读取保存的数据
③没保存读取：
攻击思路：表单劫持
前提：XSS跨站漏洞要产生在登录框那里
原理：管理员输入账号密码之后，一份发给服务器，另一份发给攻击者。

2. 绕waf

链接: 虽然没啥人看但是我还是会更新，毕竟这是我自己的笔记.
这里给下一篇关于XSS靶场的通关记录链接留个位置（i kill you 靶场），在下一篇同时会通过靶场通关的方式讲攻击手法和一些绕过waf的方法。

五.XSS漏洞的修复

对用户输入的数据进行全面安全检查或过滤，尤其注意检查是否包含HTML特殊字符。这些检查或过滤必须在服务器端完成，建议过滤的常见危险字符如下：
|（竖线符号）
& （& 符号）
;（分号）
$（美元符号）
%（百分比符号）
@（at 符号）
'（单引号）
"（引号）
'（反斜杠转义单引号）
"（反斜杠转义引号）
<>（尖括号）
()（括号）
+（加号）
CR（回车符，ASCII 0x0d）
LF（换行，ASCII 0x0a）
,（逗号）
\\（反斜杠）

六.XSS的简单实战——pikachu靶场记录

1. 反射型XSS（get）

让cookie显示在弹框中
在url的message中注入：

<script>alert(document.cookie)</script>

2. 反射型XSS（post）

爆破完密码后和get一样

<script>alert(document.cookie)</script>

3. 储存型：注入后刷新页面

<script>alert(document.cookie)</script>

4. DOM

输入123
因为数据在herf中，所以构造js语句

javascript:alert(document.cookie)

点击what do you see

5. DOM2

查看源代码一样的在herf里还是用上面的句子用两次

6. XSS盲打

盲打就是没有实时回显，也不知道一些关键字有没有被屏蔽，注入成功的话效果也是会有的，就像用下面这句话会在后台管理员界面中弹出cookie。

<script>alert(document.cookie)</script>

登录后台后

7. XSS过滤

采用大小写混合绕过，其实不止这一种方法（会下下一篇靶场练习中细细道来）

8. Xss htmlspecialchars

储存在了herf里，那么用js

javascript:alert(document.cookie)