Stored Cross Site Scripting (XSS)

最新推荐文章于 2025-02-20 18:29:41 发布
原创 最新推荐文章于 2025-02-20 18:29:41 发布 · 1.5k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文深入分析存储型XSS漏洞的四种不同等级,从低级到几乎不可能被攻破的防护措施,详细展示了每种情况下服务端如何处理用户输入,并讨论了潜在的攻击策略。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前言

存储型XSS,  即Stored Cross Site Scripting (XSS),  也可以称为持久性的XSS,  顾名思义就是恶意代码存储在服务器或者数据库中, 恶意代码一般伴随着用户的评论发表、个人信息或者文章发表的地方, 如果没有过滤或者过滤不严格, 这些代码将会被存储在服务器中, 每当用户访问的时候, 恶意代码都会被触发, 造成大量cookie泄露, 甚至蠕虫。

下面对四种不同等级的漏洞进行分析

 

 

  • Low

服务端核心代码:

<?php

if( isset( $_POST[ 'btnSign' ] ) ) {
	// Get input
	$message = trim( $_POST[ 'mtxMessage' ] );
	$name    = trim( $_POST[ 'txtName' ] );

	// Sanitize message input
	$message = stripslashes( $message );
	$message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

	// Sanitize name input
	$name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

	// Update database
	$query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
	$result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

	//mysql_close();
}

?>
  • trim() 函数

移除字符串两侧的空白字符或其他预定义字符,字符包括\t、\n、\x0B、\r以及空格,可选参数charlist支持添加额外需要删除的字符。

  • mysql_real_escape_string()函数

对字符串中的特殊符号(\x00,\n,\r,\,‘,“,\x1a)进行转义。

  • stripslashes() 函数

删除字符串中的反斜杠。


首先服务端根据用户是否点击了 btnSign 来发表评论,  若有, 则将参数mtxMessage和txtName的值POST到服务端处理。处理过程中没有作任何过滤。

 

漏洞利用

虽然用了一些对特殊字符的过滤(转义)函数,  但对输入并没有做XSS方面的过滤与检查,且 (评论) 存储在数据库中 ,因此这里存在明显的存储型XSS漏洞。

在评论中注入:

<script>alert(4)</script>

成功弹窗:

  • 危害: 

当其他用户(甚至管理员)访问被xss攻击的页面的时候,  攻击者注入的所有语句会被执行,  由于是存储在数据库中的, 只要不断有用户访问,  这些恶意语句就会不断被执行,  导致用户的cookie被利用、信息泄露等。

 

 

  • Medium 

服务端核心代码:

<?php

if( isset( $_POST[ 'btnSign' ] ) ) {
	// Get input
	$message = trim( $_POST[ 'mtxMessage' ] );
	$name    = trim( $_POST[ 'txtName' ] );

	// Sanitize message input
	$message = strip_tags( addslashes( $message ) );
	$message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
	$message = htmlspecialchars( $message );

	// Sanitize name input
	$name = str_replace( '<script>', '', $name );
	$name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

	// Update database
	$query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
	$result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

	//mysql_close();
}

?>
  • strip_tags() 函数

剥去字符串中的HTML、XML以及PHP的标签,但允许使用<b>标签。

  • addslashes() 函数

返回在预定义字符(' 、" 、\、NULL)之前添加反斜杠的字符串。

  • htmlspecialchars() 函数

把一些预定义的字符转换为 HTML 实体。

预定义的字符是:

& (和号) 成为 &amp;

" (双引号) 成为 &quot;

' (单引号) 成为 &#039;

< (小于) 成为 &lt;

> (大于) 成为 &gt;

使用htmlspecialchars函数把预定义的字符&、”、 ’、<、>转换为HTML实体,防止浏览器将其作为HTML元素。

由此可见,  服务端对评论信息(mtxMessage)做了严格的过滤,  但是并没有对用户名进行同样的过滤。

 

漏洞利用

服务端对用户名仅仅做了script标签的过滤,  绕过有很多这里同样介绍三种:

  • 方法一:  大小写绕过

这里需要明白的一点是

  • HTML中对大小写不敏感
  • JS中对大小写敏感

那么我们在name处的注入语句就有:

<Script>alert(5)</sCript>

输入的时候, 发现前段在name的表单限制了输入字符字数:

那么我们可以抓包修改:

forward之后弹窗成功, 并且可以看到在name处注入了:

  • 方法二:  双写绕过

由于对name的内容只用str_place()过滤了一次,  对于多次出现的无法全部匹配完,  所以这里可以用双写绕过:

<s<script>cript>alert('You are attacked!')</script>

  • 方法三:   错误事件img标签绕过
<img src="" onerror="alert(6)">

可以看到,  img标签也同样注入了:

 

 

  • High

服务端核心代码:

<?php

if( isset( $_POST[ 'btnSign' ] ) ) {
	// Get input
	$message = trim( $_POST[ 'mtxMessage' ] );
	$name    = trim( $_POST[ 'txtName' ] );

	// Sanitize message input
	$message = strip_tags( addslashes( $message ) );
	$message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
	$message = htmlspecialchars( $message );

	// Sanitize name input
	$name = preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $name );
	$name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

	// Update database
	$query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
	$result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

	//mysql_close();
}

?>

可以看到,   服务端对name的内容进一步用了正则式并且不区分大小写地过滤所有script标签。

 

漏洞利用

虽然过滤了script标签,  但是还是可以进行其他的标签注入,  比如Medium等级的方法三。

 

 

 

  • Impossible

服务端核心代码:

<?php

if( isset( $_POST[ 'btnSign' ] ) ) {
	// Check Anti-CSRF token
	checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

	// Get input
	$message = trim( $_POST[ 'mtxMessage' ] );
	$name    = trim( $_POST[ 'txtName' ] );

	// Sanitize message input
	$message = stripslashes( $message );
	$message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
	$message = htmlspecialchars( $message );

	// Sanitize name input
	$name = stripslashes( $name );
	$name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
	$name = htmlspecialchars( $name );

	// Update database
	$data = $db->prepare( 'INSERT INTO guestbook ( comment, name ) VALUES ( :message, :name );' );
	$data->bindParam( ':message', $message, PDO::PARAM_STR );
	$data->bindParam( ':name', $name, PDO::PARAM_STR );
	$data->execute();
}

// Generate Anti-CSRF token
generateSessionToken();

?>

可以看到,通过使用htmlspecialchars函数,解决了XSS,但是要注意的是,如果htmlspecialchars函数使用不当,攻击者就可以通过编码的方式绕过函数进行XSS注入,尤其是DOM型的XSS。

打个比方,

虽然应用了htmlspecialchars函数,  但忽略了一点,  由于编码后处于html标签中, 所以当解析代码的时候, 被过滤编码的字符仍然会被还原来执行。

DVWA关卡12:Stored Cross Site Scripting (XSS)(存储型XSS
m0_54899775的博客
12-12 1043
DVWA关卡12:Stored Cross Site Scripting (XSS)(存储型XSS
DVWA关卡10:DOM Based Cross Site Scripting (XSS)(DOM型XSS
m0_54899775的博客
12-08 1303
DVWA关卡10:DOM Based Cross Site Scripting (XSS)(DOM型XSS
DVWA之Stored Cross Site Scripting (XSS)(小白适宜)
chtdgf的博客
02-19 366
DVWA之 Stored Cross Site Scripting (XSS) 1.LOW级别
DVWA 之 Stored Cross Site Scripting (XSS)
baynk的博客
10-29 1730
汇总链接: https://baynk.blog.youkuaiyun.com/article/details/100006641 ------------------------------------------------------------------分割线------------------------------------------------------------------ 存储型x...
DVWA-Stored Cross Site Scripting (存储型XSS)
Cwillchris的博客
10-29 339
实验环境: DVWA靶机:172.16.12.10 靶场用户名:admin 密码:123 windos攻击机:172.16.12.7 kali攻击机:172.16.12.30 实验步骤: 击者事先将恶意代码上传或储存到漏洞服务器中,只要受害者浏览包含此恶意代码的页面就会执行恶意代码。这就意味着只要访问了这个页面的访客,都有可能会执行这段恶意脚本,因此储存型XSS的危害会更大。因为存储型XSS的代码存在于网页的代码中,可以说是永久型的。 存储型 XSS 一般出现在网站留言、评论、博客日志等..
漏洞分析Cross-Site Scripting (XSS) Attack Lab(自用、记录)
weixin_48392428的博客
05-24 1636
Cross-Site Scripting [XSS] Attack Lab1 Overview2 Lab Environment2.1 Starting the Apache Server2.2 The phpBB Web Application2.3 Configuring DNS2.4 Configuring Apache Server2.5 Other software3 Lab Tasks3.1 Task 1: Posting a Malicious Message to Display an Al
跨站脚本攻击XSSCross Site Scripting)总结
野原新之助
01-31 1233
XSS是指开发者在开发网页时,对用户的输入没有进行安全过滤,导致用户在可以输入内容的地方,插入脚本语句,执行恶意脚本代码,可以对数据库、服务器、用户等造成影响和危害,危险等级很高,也很常见。
Xss跨站脚本攻击(Cross Site Script)
xuyunpeng3189的博客
01-22 1086
原理: XSS攻击的核心思想就是在HTML页面中注入恶意代码服务器过滤不严格导致攻击者输入的恶意js代码被web前端执行XSS攻击中,一般有三个角色参与:攻击者、目标服务器、受害者的浏览 危害: 获取管理员cookie/提权,网站篡改,敏感信息泄露,钓鱼,网站挂马,客户端攻击,传播蠕虫 防御: 对用户输入和web输出均进行过滤,过滤特殊字符,",#,特殊标签,JS动作等等;限制用户输入数据的类型/长度;黑白名单;通过使cookie和系统IP绑定,来降低cookie泄露后的危险;httponly:禁
CHECKMARX安全漏洞检测防止XSSCross Site Scripting)跨站脚本攻击
weixin_46409166的博客
02-01 2355
亚马逊API抓取流程记录 亚马逊API文档地址 http://docs.developer.amazonservices.com/zh_CN/orders/2013-09-01/Orders_ListOrders.html 亚马逊测试: https://mws.amazonservices.com/scratchpad/index.html 总结以下是亚马逊踩坑的几个点,首先为必传参数Timestamp格式必须为转换为 yyyy-MM-dd’T’HH:mm:ss.sss’Z’ 格式化后必须设置时区为UTC
Xss-reflected/stored跨站脚本分析(Cross site scripting
春风拂槛露华浓。的博客
12-25 1561
Xss-reflected/stored跨站脚本分析(Cross site scripting) 基础知识 针对Dom - dochtml Url概念:协议+网址/dns+端口+路径 XSS原理:对URL中的参数和对用户输入提交给web server的内容,没有进行充分的过滤。如果我们能够在web程序中对用户提交的URL中的参数,和提交的所有内容进行充分的过滤,将所有的不合法的参数和输入内容过滤掉,那么就不会导致“在用户的浏览器中执行攻击者自己定制的脚本”。 ?name=<scrip
【DVWA1.10】Stored Cross Site Scripting (XSS)通关笔记
EC_Carrot的博客
12-31 198
难度Security Level: lowSecurity Level: mediumSecurity Level: highSecurity Level: impossible Security Level: low <?php if( isset( $_POST[ 'btnSign' ] ) ) { // Get input $message = trim( $_POST[ 'mtxMessage' ] ); $name = trim( $_POST[ 't
DVWA 黑客攻防演练(十一) 存储型 XSS 攻击 Stored Cross Site Scripting
weixin_30681121的博客
12-28 260
上一篇文章会介绍了反射型 XSS 攻击。本文主要是通过 dvwa 介绍存储型 XSS 攻击。存储型 XSS 攻击影响范围极大。比如是微博、贴吧之类的,若有注入漏洞,再假如攻击者能用上一篇文章类似的代码获取用户的 cookies,想想如果代码中再加入自动转发功能,每个看过那条微博的用户都会被偷 cookies 和自动转发!像网络病毒一样的传播速度啊!恐怖如斯! 低级 功能很简单。点击提交就会有相应...
代码审计——DVWA Stored Cross Site Scripting (XSS) 存储型XSS
z1756227332的博客
03-16 510
Low等级代码 <?php if( isset( $_POST[ 'btnSign' ] ) ) { // Get input $message = trim( $_POST[ 'mtxMessage' ] ); $name = trim( $_POST[ 'txtName' ] ); // Sanitize message input $m...
开发安全之:Cross-Site Scripting (XSS) 漏洞
irizhao的专栏
01-16 1519
由于 XSS 漏洞在应用程序的输出中包含恶意数据时出现,因此,合乎逻辑的方法是在数据流出应用程序的前一刻对其进行验证。针对 XSS 漏洞进行验证最安全的方式是,创建一份安全字符允许列表,允许其中的字符出现在 HTTP 内容中,并且只接受完全由这些经认可的字符组成的输入。然而,这种解决方法在 Web 应用程序中通常是行不通的,因为许多字符对浏览器来说都具有特殊的含义,编码时这些字符必须被视为合法输入,例如,一个 Web 设计电子公告栏就必须接受其用户提供的 HTML 片段。内容安全策略(CSP)
Cross-Site ScriptingXSS)简介
weixin_30784945的博客
07-13 349
  最近才开始研究HTML以及安全问题。如果有什么说得不对的地方,望请指出。   在网络应用安全中,XSS可能是最常见,范围最大,所包含攻击方法最多,同时也是最难以理解的一种攻击。在OWASP所列出的十大网络应用安全风险中,其排名第二位,仅次于SQL Injection。   而在本篇文章中,我们将一步一步深入挖掘XSS的攻击流程,攻击手段,以及防御方法等各个方面。 XSS示...
Cross-Site Scripting(XSS)的类型
weixin_34037515的博客
02-26 267
本文源自: https://www.owasp.org/index.php/Types_of_Cross-Site_Scripting 在原文理解上翻译为中文。 背景 本文描述多种不同类型的XSS攻击,和它们之间的相互关系。 最早,有两种类型的XSS攻击被定义,Stored 和 Reflected , 在二零零五年,Amit Klein定义了第三种攻击类型, DOM Based XSS攻...
web网络安全:跨站脚本攻击(XSS
最新发布
爱编程的小庄的博客
02-20 924
XSS 攻击是一种通过注入恶意脚本对用户进行攻击的方式,可能造成用户数据泄露、账户劫持等严重后果。通过输入验证、输出转义、使用 CSP、避免危险的 DOM 操作等.
Pikachu-Cross-Site Scripting-反射型xss(get)
guanrongl的专栏
10-02 716
存储型XSS是指恶意脚本被存储在目标服务器上,当用户访问包含该脚本的页面时,脚本会被执行。例如,攻击者可以在留言板中输入恶意脚本,当其他用户查看留言时,脚本会在他们的浏览器中执行。这种类型的XSS不需要服务器端的参与,攻击者通过构造特定的URL或操作DOM,使得浏览器执行恶意脚本。提交构造的脚本代码(以及各种绕过姿势),看是否可以成功执行,如果成功执行则说明存在XSS漏洞;2、输入一组“特殊字符+唯一识别字符”,点击提交后,查看返回的源码,是否有做对应的处理;先输入各种特殊字符,查看源代码,查看页面返回;
XSS(Stored)实验
06-09
XSSCross-site scripting)攻击是一种常见的网络攻击,其中攻击者通过注入恶意脚本或代码来窃取用户的信息或控制用户的浏览器。其中,Stored XSS攻击是攻击者将恶意脚本或代码存储到目标网站的数据库中,然后在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值