跨站脚本攻击XSS

漏洞产生原因:

XSS攻击本质上是一种注入攻击,产生原因是Web应用对外部输入参数处理不当,攻击者将恶意代码注入当前Web界面,在用户访问时执行

漏洞攻击手段:

反射型(非持久型)XSS-将payload包含在URL参数中,每次攻击都需要用户点击这个URL

存储型(持久型)XSS-将payload存储在服务端,受害者每次访问,服务端都会在响应页面中嵌入之前存储的恶意代码,并在客户端执行

这两种都与服务端应用的处理逻辑有关系,是服务端返回的HTML源码中存在相应的弹窗代码,恶意Javascript代码在HTTP请求中被视为服务端应用的输入,并且嵌入返回的HTML页面。

基于DOM的XSS-正常应用中的Javascript程序可以接受外部的输入数据并且直接在客户端渲染和执行,处理不当导致将外部数据当作代码来执行。通常是客户端的Javascript脚本在修改和构造当前页面的DOM节点时触发恶意代码的执行。DOM型XSS漏洞出现在前端代码中,他是在Javascript代码执行时触发的,依赖真实的浏览器执行环境。所以在扫面DOM型XSS漏洞时要用到浏览器引擎,比如在扫描器中集成Webkit;然后在不同的输入节点(URL、window.name)构造payload,在Webkit中监测网页会不会执行这些payload。

Self-XSS攻击-利用社会工程学欺骗用户,让他们自己去复制恶意代码到浏览器中。防御手段-不允许粘贴Javascript伪协议的URL。

漏洞防御手段:

1、HttpOnly:配置HttpOnly属性,保护Cookie不被Javascript读取,防止会话劫持。

2、输入过滤:检查和过滤输入的参数。"XSS Filter"

3、输出转义:在输出变量时根据不同的场景有针对性的编码或转义。

4、DOM型XSS漏洞出现在前端代码中,他是在Javascript代码执行时触发的,依赖真实的浏览器执行环境。所以在扫面DOM型XSS漏洞时要用到浏览器引擎,比如在扫描器中集成Webkit;然后在不同的输入节点(URL、window.name)构造payload,在Webkit中监测网页会不会执行这些payload。

5、内容安全策略(Content Security Policy,CSP)

漏洞利用:

同源策略使恶意网站的Javascript代码无法直接获取到用户其他网站的信息。攻击者可以通过XSS攻击将恶意的Javascript代码注入到目标网站的页面中执行,从而达到跨域访问的目的。

XSSpayload本质上是一段Javascript代码,且他和应用自身的Javascript代码在统一执行环境中,所以正常应用能做的事情都能通过XSSpayload实现

1、通过读取浏览器的Cookie对象发起"Cookie劫持"攻击---防御:在Set-Cookie中给关键的Cookie设置HttpOnly属性;把Cookie与客户端IP绑定。

2、构造GET和POST请求---攻击者通过Javascript让用户发送GET和POST请求来执行Web中的功能

发送GET请求---创建Image对象,将其src属性指定为目标URL。

发送POST请求---提交表单,使用Javascript创建一个表单对象,填充表单中的字段,然后提交表单;提交更复杂的数据格式请求,使用XMLHttpRequest或Fetch API。

3、XSS钓鱼

4、XSS攻击平台---BeEF

XSS攻击技巧:P96

Javascript框架:P102

总结:P124

本文摘录总结于《白帽子讲Web安全》(第二版)

相关推荐
还有多久拿退休金2 分钟前
AI 写了代码,谁替你"试毒"?
前端·架构·ai编程
大E帝国子民12 分钟前
OpenCloudOS Server 9 安装 Nginx 完整指南
前端·网络·nginx
少年白马醉春风丶4 分钟前
【AI Agent面试题】Agent 的自主性分级,怎么理解?
前端
yingyima13 分钟前
Docker Compose 紧急救援:凌晨3点服务器报警的解决方案
前端
m0_738120721 小时前
PHP代码审计基础——面向对象(四)
android·开发语言·网络·安全·github·php
石小石Orz1 小时前
星云SDK + 油猴:给LLM塑造肉身,陪伴你在每个网页
前端·人工智能
2601_963771371 小时前
10 Best PHP Media CMS and Scripts for Web Creators in 2026
开发语言·前端·php
带娃的IT创业者1 小时前
监控并非安全:当隐私成为技术的祭品
java·开发语言·安全·数据安全·监控·隐私保护·加密技术
VaJoy1 小时前
全面革新⚡️ Vue 3.6 项目工程的基础实现
前端·vue.js
苍何2 小时前
耗时 7 天,我们开源了腾讯 WorkBuddy 实战蓝皮书(建议收藏)
前端·后端