基本概念
XSS是一种将恶意脚本注入到其他用户浏览的网页中的攻击方式
分类
- 反射型
-
-
非持久化攻击
-
典型场景
恶意URL:http://example.com/search?q=<script>alert(1)</script>
当用户点击该链接时,服务器返回的页面中包含未转义的搜索词,导致脚本执行
-
-
存储型
-
-
持久化攻击
-
恶意脚本被永久存储再目标服务器上
-
当其他用户访问包含该脚本的页面时触发
-
典型场景
攻击者在论坛评论区提交:
<script>stealCookie()</script>该评论被存入数据库,每当其他用户查看该评论页面时恶意脚本都会执行
-
-
Dom型
-
-
完全在客户端执行,不涉及服务器
-
恶意代码通过修改DOM环境在客户端执行
-
典型场景
// 漏洞代码
document.write(location.hash.substring(1));
// 攻击者构造的URL
http://example.com#<script>alert(1)</script>
-
|------|------------|------------|---------------|
| 特征 | 反射型XSS | DOM型XSS | 存储型XSS |
| 持久性 | 非持久 | 非持久 | 持久 |
| 触发方式 | 需要用户点击恶意链接 | 需要用户点击恶意链接 | 自动触发(访问被污染页面) |
| 存储位置 | 不存储 | 不存储 | 服务器存储 |
| 传播范围 | 单个用户 | 单个用户 | 所有访问用户 |
| 防御难度 | 较易防御 | 较难检测 | 危害最大,需重点防御 |
常见位置
- 会回显搜索内容的搜索框
- 会回显用户数据的输入字段
- 返回用户提供文本的错误消息
- 包含用户提供数据的隐藏字段
- 任何显示用户提供数据的页面
- HTTP头部信息
危害
- 直接会话威胁
- 身份冒用风险
- 恶意代码执行
- 增强钓鱼攻击可信性
- 商业与法律风险
攻击流程
- 反射型
识别漏洞位置,构造漏洞->诱导用户点击->网站未过滤,嵌入->恶意代码执行->数据 回传、利用
- Dom型
区别在于漏洞构造和客户端执行阶段 纯客户端,完全不接触服务器
//构造恶意URL(通常包含hash或参数):
http://vulnerable-site.com#<img src=x onerror=stealCookie()>
// 漏洞代码示例
document.getElementById('content').innerHTML =
location.hash.substring(1); // 不安全地插入hash内容CrossSiteScriptingLesson1
靶场
把选项勾上就成功了
审计
就是简单的检验一下传入的checkboxAttack1这个是否为空
CrossSiteScriptingLesson5a
一个基础的反射型XSS
靶场
先找一下漏洞点,发现在第一个输入框
直接写入**<script>alert(1)</script>**就行
审计
这里利用XSS_PATTERN判断语句是否有XSS尝试,如field2没有,field1有,则成功返回
XSS_PATTERN的定义
这是一个大小写不敏感,严格匹配 <script>...</script> 结构以及只判断alert和console.log()两个特定函数的用于XSS过滤的正则表达式
CrossSiteScriptingLesson6a
由于DOM类型是纯客户端的,所以代码审计需要在前端里
先把涉及到的代码找到
完整的攻击链:URL参数 → testRoute → testHandler → showTestParam → innerHTML
后端仅检查格式start.mvc#test/,不检查内容
通过
DOMCrossSiteScriptingVerifier
审计
重点看这个已经给出的函数,
发送POST请求到指定端点"CrossSiteScripting/phone-home-xss",携带固定此参数和特殊请求头,收到响应后在控制台输出结果··
"CrossSiteScripting/phone-home-xss"用于生成随机数
这里是对随机数的匹配判断
靶场
访问
http://127.0.0.1:8080/WebGoat/start.mvc#test/%3Cscript%3Ewebgoat.customjs.phoneHome%28%29%3C%2Fscript%3E之后可以在控制台看到随机数,输入即可