DVWA之XSS存储型

最新推荐文章于 2024-12-12 17:55:08 发布
最新推荐文章于 2024-12-12 17:55:08 发布
阅读量947 收藏 10
点赞数 1
CC 4.0 BY-SA版权
文章标签: xss 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/ANDTM/article/details/131399764
文章讨论了XSS攻击的两种主要类型——存储型和反射型,解释了它们的工作原理和危害。存储型XSS的攻击脚本存储在服务器,影响广泛,而反射型XSS需要用户交互。文中通过PHP代码示例展示了不同级别的防护措施,指出即使在防护级别提高的情况下,仍有可能通过特定方式绕过过滤机制。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

理论知识

存储型XSS又称持久型XSS,攻击脚本将被永久地存放在目标服务器的数据库或文件中,具有很高的隐蔽性。反射型XSS的被攻击对象一般是攻击者去寻找的,就比如说:一个攻击者想盗取A的账号,那么攻击者就可以将一个含有反射型XSS的特制URL链接发送给A,然后用花言巧语诱骗A点击链接。当A不小心点进去时,就会立即受到XSS攻击。这种攻击方式需要一点骗术,所以这种攻击范围不是特别的广,并且提交漏洞时要么平台不认,要么会被认定为低危漏洞。

存储型XSS可以采用广撒网的方式,就是攻击者将存储型XSS代码写进一些有XSS漏洞的网站上,只要有用户访问这个链接就会自动中招。所以我们可以看出,存储型XSS的危害性更大,范围更广,可以不需要寻找被攻击对象,只要存储型XSS在服务器上就能实施攻击。所以提交的存储型XSS评级一般为中危漏洞。

这种攻击多见于论坛、博客和留言板。攻击者在发帖的过程中,将恶意脚本连同正常信息一起注入帖子的内容中。随着帖子被服务器存储下来,恶意脚本也永久地被存放在服务器的后端数据库中。当其他用户浏览这个被注入了恶意脚本的帖子时,恶意脚本会在他们的浏览器中得到触发。如果我们能够谨慎对待不明链接,那么反射型XSS攻击将没有多大作为,而存储型XSS则不同,由于它注入在一些我们非常信任的页面中,因此无论我们多么小心,都难免会受到攻击。

LOW

先查看源码

 <?php

if( isset( $_POST[ 'btnSign' ] ) ) {
    // Get input
    $message = trim( $_POST[ 'mtxMessage' ] );
    $name    = trim( $_POST[ 'txtName' ] );

    // Sanitize message input
    $message = stripslashes( $message );
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Sanitize name input
    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Update database
    $query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    //mysql_close();
}

?>

1.trim(string,charlist)
函数移除字符串两侧的空白字符或其他预定义字符,预定义字符包括、\t、\n、\x0B、\r以及空格,可选参数charlist支持添加额外需要删除的字符。
2.mysql_real_escape_string(string,connection)
函数会对字符串中的特殊符号(\x00,\n,\r,\,‘,“,\x1a)进行转义。
3.stripslashes(string)函数删除字符串中的反斜杠。
可以看到,对输入并没有做XSS方面的过滤与检查,且存储在数据库中,因此这里存在明显的存储型XSS漏洞。

其实LOW级依然没有任何对XSS又影响的过滤,我们用到语句

<script>alert('1')</script>

和之前一样,弹窗成功就说明攻击成功。
在这里插入图片描述
在这里插入图片描述
存储型和反射型最大的不同就是存储型会将这句恶意代码存储到数据库中,每次打开指定页面都会执行,所以我们现在切换到别的页面再切换回来,无需任何操作,依旧会弹窗在这里插入图片描述
在这里插入图片描述

中级

源码

 <?php

if( isset( $_POST[ 'btnSign' ] ) ) {
    // Get input
    $message = trim( $_POST[ 'mtxMessage' ] );
    $name    = trim( $_POST[ 'txtName' ] );

    // Sanitize message input
    $message = strip_tags( addslashes( $message ) );
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $message = htmlspecialchars( $message );

    // Sanitize name input
    $name = str_replace( '<script>', '', $name );
    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Update database
    $query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    //mysql_close();
}

?>

strip_tags() // 函数剥去字符串中的HTML、XML以及PHP的标签,但允许使用标签。
addslashes() // 函数返回在预定义字符(单引号、双引号、反斜杠、NULL)之前添加反斜杠的字符串。
htmlspecialchars(string,flags,character-set,double_encode) // 把预定义的字符转换为 HTML 实体。
由于对message参数使用了htmlspecialchars函数进行编码,因此无法再通过message参数注入XSS代码,但是对于name参数,只是简单过滤了

观察可知,该代码只针对message参数进行了彻底的过滤,但对于name参数依然存在XSS漏洞,这里可以用两种方法,一种是抓包改包,一种是双写或者大写绕过。

<s<script>cript>alert('1')</script>

需要注意name参数有长度限制,但这种限制比较蠢,只在页面上限制,并没有在源码上限制,我们我们可以更改限制
先更改限制在这里插入图片描述

在这里插入图片描述

高级

源码

<?php

if( isset( $_POST[ 'btnSign' ] ) ) {
    // Get input
    $message = trim( $_POST[ 'mtxMessage' ] );
    $name    = trim( $_POST[ 'txtName' ] );

    // Sanitize message input
    $message = strip_tags( addslashes( $message ) );
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $message = htmlspecialchars( $message );

    // Sanitize name input
    $name = preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $name );
    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Update database
    $query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    //mysql_close();
}

?>

相对于中级,这次name参数对script进行了彻底过滤,我们可以用插入图片的方式进行绕过

<img src=1 onerror=alert(1) />

具体方法同中级

如果采用抓包的方式
在这里插入图片描述
直接更改name参数就可以

纳纳乌
关注
DVWA-XSS(存储)
HoYim
04-11 1340
一.存储XSS 存储XSS攻击原理图: (一)LOW 1.从代码可以看到,没有防御XSS漏洞,只防御了SQL注入漏洞 尝试一般的XSS攻击 在message栏中测试: <⁢script>alert(‘x’)<⁢/script> <⁢body οnlοad=alert(‘xss’)> <⁢a href=http://www.baidu.com&gt...
Dvwa存储XSS攻击全级别学习笔记
Mbys_Lettuce的博客
09-19 2188
和好像被过滤掉了,会不会像反射一样,只是过滤了,只要复写或者大小写可以攻击了呢?把写入内容修改成alert(document.cookie)或者alert(document.cookie)
dvwa学习笔记——存储xss
weixin_45082914的博客
08-01 1244
二、存储xss
DVWA-XSS (Stored)-存储XSS
seanyang_的博客
06-12 2928
跨站点脚本 (XSS)”攻击是一种注入问题,其中恶意脚本被注入到原本良性和受信任的网站上。当攻击者使用 Web 应用程序发送恶意代码(通常以浏览器端脚本的形式)时,就会发生 XSS 攻击, 给其他最终用户。允许这些攻击成功的缺陷非常普遍,并且发生在使用输出中用户输入的Web应用程序的任何地方, 无需验证或编码。攻击者可以使用 XSS 向毫无戒心的用户发送恶意脚本。最终用户的浏览器无法知道脚本不应该被信任, 并将执行 JavaScript。
dvwa_xss_储存
weixin_44110913的博客
12-16 717
文章目录一.xss储存概念二.储存图片演示三.代码分析四.dvwa_储存_演练五.总结 一.xss储存概念 黑客发现个人信息或发表文章,等,处存在xss漏洞(并且是储存在数据库中),可以直接插入js代码。 比如在登陆处写下,下图中的代码,发现弹出了我们写的js代码,则说明存在xss储存漏洞,并且是储存到数据库中的。 当发现以后,我们就可以利用该漏洞,写入恶意js代码,当用户点击时,就会盗...
DVWAXSS(stored)存储XSS
RexHa的博客
10-08 2424
dvwa 存储XSS
DVWA--存储XSS(初中高)
firecjh的博客
06-09 1031
选择“View Source”查看源程序,发现服务器端对message框内容使用了htmlspecialchars() 函数进行转义,对name框使用str_replace()函数进行替换。选择“View Source”查看源程序,对message参数进行html转义外,还对name参数使用preg_replace()函数进行替换,不能使用常用的绕过方法。2)在界面出现弹框,弹框内容为本人姓名拼音。2)在界面出现弹框,弹框内容为本人姓名拼音。3) 刷新页面,查看是否再次出现弹框,比较与反射XSS的区别。
DVWA靶场——XSS(Stored)
sucker的博客
12-02 2254
标签和alert关键字的机制。2,使用最简单的XSS漏洞测试语句进行测试,但是要先判断存在漏洞的注入点,payload:<script>alert('XSS')
DVWA——XSS注入复现
m0_74825718的博客
12-12 840
找方法绕过服务器端的处理,直接在本地运行我们构造的语句,可以通过“#”来注释掉后面的内容,因为URL栏中的“#”之后的内容不会被发送到服务器当中去,不会经过JS的过滤,只在客户端显示,可以直接与浏览器进行交互。按照常理来说在low等级中没有对Name做任何限制是应该能够对其进行同样的XSS攻击的,查看别人的博客得知前端页面中返回给后端的Name的值是没有限制的,所以我们可以通过更改Name的maxlenth的值来对它进行XSS攻击实现。我们可以使用/来代替空格,通常可以用/**/,注释符号绕过;
DVWA-存储xss
Darklord.W
04-09 601
存储: 低: 输入 <script>alert('XSS stored')</script> 存储XSS是长期存储在服务器端,每次访问时都会执行js脚本 <script onload=alert('XSS1')> <a href=https://www.baidu.com>登录</a>3 <scrip...
网络安全-靶机dvwaXSS注入Low到High详解(含代码分析)_dvwa xss注入
2401_84300255的博客
04-27 990
正常可以看到是Get
DVWA(XSS存储)
weixin_44023403的博客
12-24 659
XSS DOMXSSXSS存储LowMediumHigh XSS XSS的实质其实是HTML代码与Javscript代码的注入。但由于XSS的攻击对象是与客户对等的Browser端,因此常常不被开发者所重视。 一般意义上的XSS通常可以用简单的方法检测出来:当用户输入中某个参数的全部或其中一部分,原封不动地在源代码里出现时,我们就可以认为这个参数存在XSS漏洞。 XSS存储 存储XSS,持久化,嵌入到web页面的恶意HTML代码被存储到服务器端(数据库),攻击行为将伴随着攻击数据一直存在。如在个人信息
DVWA系列之21 存储XSS分析与利用
weixin_33857679的博客
12-30 204
存储跨站可以将XSS语句直接写入到数据库中,因而相比反射跨站的利用价值要更大。在DVWA中选择XSS stored,这里提供了一个类留言本的页面。我们首先查看low级别的代码,这里提供了$message和$name两个变量,分别用于接收用户在Message和Name框中所提交的数据。对这两个变量都通过mysql_real_escape_string()函数进行了过滤,但是这只能阻止SQL注入...
DVWA-xss-存储
AI_SumSky的博客
11-27 1405
xss-存储 将用户输入的数据存储在服务器端。用户访问了带有xss得页面代码后,产生安全问题。 low级别 随便输入发现输入信息被输出到前端 老规矩来个发现一样存在xss stripslashes(string) 函数删除字符串中的反斜杠。 mysql_real_escape_string(string,connection) 函数会对字符串中的特殊符号(\x00,\n,\r,\,‘,“,\x1a)进行转义。 trim(string,charlist) 函数移除字符串两侧的空白字符或其他预定义字符,预
DVWA通关--存储XSSXSS (Stored))
箭雨镜屋
07-16 8830
LOW 通关步骤 源码分析 MEDIUM 通关步骤 源码分析 HIGH 通关步骤 源码分析 IMPOSSIBLE 源码分析 总结
DVWA存储XSS
qq_39682037的博客
03-19 2421
存储XSS Security Level: low 源码 <?php if( isset( $_POST[ 'btnSign' ] ) ) { // Get input $message = trim( $_POST[ 'mtxMessage' ] ); $name = trim( $_POST[ 'txtName' ] ); // Sa...
DVWA篇之XSS存储
weixin_34269583的博客
05-17 207
Low级别 当我们在表格中输入名字和内容就会存储到数据库,并在页面显示出来 同样的我们输入一个名字,然后在内容中输入我们的payload语句,分析是否能***成功。 ***成功。这时我们的语句被存储在数据库中。 我们查看一下是否真的被存储在数据库中可以看到在第三行的记录就是我们的payload语句,没有被任何过滤,完完整整的存储在数据库中。因为是存储性的,当我们再次访问的时候肯定会直接出...
DVWA4_Stored XSS(存储XSS)
weixin_44193247的博客
03-10 285
DVWA漏洞复现练习篇
DVWA 存储XSS(Stored)
qq_43452198的博客
04-23 1023
XSS Storedlowmediumhighimpossible low <?php if( isset( $_POST[ 'btnSign' ] ) ) { // Get input $message = trim( $_POST[ 'mtxMessage' ] ); $name = trim( $_POST[ 'txtName' ] ); //...
DVWA存储XSS
最新发布
03-30
<think>嗯,用户想了解DVWA中的存储XSS漏洞示例及防御方法。首先,我得回忆一下DVWA是什么,DVWA是一个用于练习Web应用漏洞的平台,包含不同难度的漏洞环境。存储XSS是其中一种漏洞类,恶意脚本被存储在服务器上,比如数据库里,当其他用户访问时就会执行。 根据用户提供的引用,特别是引用1和2,里面提到了存储XSS的原理和不同安全等级(Low、Medium、High、Impossible)的处理方式。需要分别分析每个级别的示例和防御方法。比如在Low级别,可能没有任何过滤,直接输入脚本就会被存储;Medium级别可能有一些过滤,比如转义<script>标签;High级别可能有更严格的过滤或使用黑名单;而Impossible级别可能结合了输入验证和输出编码,或者使用CSRF令牌。 还要注意用户提到的引用3,虽然主要讲反射XSS,但防御方法可能有共通之处,比如输入过滤和输出编码。需要确保回答中涵盖不同级别的示例代码,比如PHP中的处理方式,以及如何通过输入验证、输出编码、内容安全策略(CSP)等方式进行防御。 用户可能需要具体的漏洞示例,比如在留言板中注入<script>alert('XSS')</script>,然后展示不同级别的后端代码如何处理。同时,防御方法需要分点说明,比如输入验证、输出编码、CSP、HttpOnly Cookie等,确保结构清晰。 另外,用户可能希望了解如何实际操作,比如在DVWA中如何测试这些漏洞,以及防御措施的具体实现。需要确保回答中的代码示例正确,比如使用htmlspecialchars函数进行输出编码,或者使用正则表达式过滤特定标签。 最后,生成相关问题时要围绕存储XSS的不同方面,比如各等级区别、实际应用中的案例、CSP的作用、HttpOnly如何帮助防御,以及与其他XSS的比较。确保问题能帮助用户进一步深入理解。</think>### DVWA 存储 XSS 漏洞示例及防御方法 #### 一、存储 XSS 漏洞示例 在 DVWA 中,存储 XSS 漏洞常出现在用户输入持久化存储的场景,例如留言板功能。攻击者提交包含恶意脚本的内容后,脚本会被存入数据库,其他用户访问时自动执行该脚本。 **示例代码(Low 级别未过滤):** ```php // 后端处理代码(Low级别) $message = $_POST['mtxMessage']; $name = $_POST['txtName']; $query = "INSERT INTO guestbook (comment, name) VALUES ('$message', '$name');"; ``` 攻击者可输入以下内容实现攻击: `<script>alert('XSS')</script>` 当其他用户查看留言时,脚本会触发弹窗[^1][^2]。 #### 二、不同安全等级的防御方法 1. **Low 级别(无过滤)** - **漏洞原因**:直接拼接用户输入到 SQL 语句,未做过滤。 - **修复建议**:对用户输入进行 HTML 实体编码,例如使用 PHP 的 `htmlspecialchars()` 函数: ```php $message = htmlspecialchars($_POST['mtxMessage'], ENT_QUOTES, 'UTF-8'); ``` 2. **Medium 级别(部分过滤)** - **漏洞原因**:使用 `stripslashes()` 和 `htmlspecialchars()` 但未完全覆盖所有危险字符。 - **修复示例**: ```php $message = strip_tags($_POST['mtxMessage']); // 移除 HTML 标签 ``` 3. **High 级别(严格过滤)** - **漏洞原因**:使用正则表达式黑名单过滤 `<script>` 标签,但可能被其他标签绕过。 - **修复示例**: ```php $message = preg_replace('/<script.*?>/i', '', $_POST['mtxMessage']); // 过滤 script 标签 ``` 4. **Impossible 级别(综合防御)** - **防御方法**: - 输入验证:仅允许特定字符(如字母、数字)。 - 输出编码:强制使用 `htmlspecialchars()`。 - CSRF 防护:添加 Token 验证[^1]。 ```php $message = htmlspecialchars(strip_tags($_POST['mtxMessage']), ENT_QUOTES, 'UTF-8'); ``` #### 三、通用防御策略 1. **输入验证** - 使用白名单机制限制输入格式(如正则表达式 `/[a-zA-Z0-9\s]+/`)。 2. **输出编码** - 对动态内容进行 HTML 编码(如 PHP 的 `htmlentities()`)。 3. **内容安全策略(CSP)** - 通过 HTTP 头限制脚本来源: ```http Content-Security-Policy: default-src 'self' ``` 4. **HttpOnly Cookie** - 设置 Cookie 的 `HttpOnly` 属性防止通过 `document.cookie` 窃取。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值