XSS 跨站服务脚本攻击

1、漏洞概述

XSS 是指攻击者在网页中嵌入客户端脚本，通常是 JavaScript 编写的恶意代码,当用户使 用浏览器浏览被嵌入恶意代码的网页时，恶意代码会在用户浏览器上执行。

 XSS 属于 Web 前端攻击，包括但不限于普通用户，网站管理员如果被攻击，攻击装可 以劫持管理员的身份度网站服务器端进行文件管理，数据管理等操作。

2、漏洞原理

XSS 攻击是在网页中嵌入客户端恶意脚本代码，这些恶意代码一般使用 JavaScript 编写 JS（JavaScript 简称）可以用 XSS 盗取用户 Cookie、改变网页内容、URL 跳转到恶意网站、监 控键盘记录、甚至 GetShell 等。

3漏洞利用

xss 分为3种 反射性  ，存储型  ，DOM型

反射性xss也称非持久性xss，是最容易出现的一种xss

例子：

攻击者使用 XSS 反射型漏洞盗取管理员 cookie 步骤。

1：用户小 a 正在上 www.abc.com 论坛看帖子。

2：攻击者发现 www.abc.com/xss.php 存在反射型漏洞，然后精心构造 JS 代码，此代码可以 盗取用户 cookie 发送到指定站点 www.hacker.com

3：攻击者将带有反射型 XSS 漏洞的 URL 通过站内短信发给用户小 a，标题为引起小 a 好奇 心的内容，目的是为了让用户小 a 单击链接。

4：假设用户小 a 单击了带有 xss 漏洞的 url，会把自己的 cookie 发送到网站 www.hacker.com

5：攻击者接受到用户小 a 的 会话 cookie，利用 cookie 以小 a 的身份登录 www.abc.com 从 而劫持小 a 的登录网站凭据进行其它攻击。

存储型 XSS  存储型 XSS 又被称为持久性 XSS，是最危险的一种跨站脚本。  允许用户存储数据的 Web 应用都可能出现存储型 XSS 漏洞，当攻击者提交一段 XSS 代码后，被服务端接受并存储，当攻击者再次访问某个页面时，这段 XSS 代码被程序输出到浏 览器造成 XSS 跨站代码攻击，这就是存储型 XSS。  存储型 XSS 与反射型 XSS、DOM 型 XSS 相比，具有更高隐蔽性，危害性也更大，它们最 大区别在于反射型 XSS 与 DOM 型 XSS 执行都必须依靠用户手动去触发，而存储型 XSS 不需 要。另外反射型 XSS 由于默认 IE 8 及以上浏览器，其它现代浏览器例如 chrome，firefox 等 默认已经开启拦截反射型 xss 漏洞，并且随着浏览器补丁不断升级，也修复了绝大多数绕过 代码。以下是 IE 浏览器防护反射型 XSS 漏洞选项：    以下是一个常见存储型 XSS 场景示例：  在测试是否存在 XSS 时，首选要确定输入点与输出点，例如，我们要在留言内容上测试 XSS 漏洞，首先要寻找留言内容输出（显示）的地方在标签内还是在标签属性内，或者其它 地方，如果输出的数据在属性内，那么 XSS 代码是不会被执行的。如：alert(1)” /> 以上 JS 代码虽然成功插入到了 HTML 中，但却无法执行，因为 XSS 代码出现在 Value 属 性中，被当做值来处理，最终浏览器解析 HTML 时，会把数据以文本的形式输出在网页中。 知道了输出点后，可以根据相应标签构造 HTML 代码来闭合，插入 XSS 代码为 “/>alert(1)”,最终在 HTML 文档中为：alert(1)” /> 这样就可以闭合 input 标签，使输出的内容不在 Value 属性中，从而造成 XSS 漏洞。  知道了最基本的测试原理后，下面看看具体的存储型漏洞  1：添加正常留言，昵称为 xxser，留言内容为“HelloWord”，查看前端源代码

xxserHello World2016-10-11 11:27:38

2：如果现实区域不在 HTML 属性内，则可以直接用 XSS 代码注入。如果不能确定输出具体 位置，可以用模糊测试方案，代码如下：alert(/stored xss/)普通注入  "/>alert(/stored xss/)闭合标签注入  '">alert(/stored xss/)闭合标签注入  盗取 cookie 的 js 代码后，重新加载留言页面，XSS 代码被浏览器执行。    攻击者将带有 XSS 代码的留言提交到数据库，当用户查看这段留言时，浏览器会把代码认为 正常的 JavaScript 代码来执行。所以，存储型 XSS 具有更高的隐蔽性

检测 XSS

手工检测：

① 可得知输出位置 输入一些敏感字符，例如“<、>、”、’、()”等，在提交后查看 HTML 源代码，看这些 输入的字符是否被转义。在输出这些敏感字符时，很有可能程序已经做了过滤，这样在寻找这些字符时就不 太容易，这时可以输入“AAA<>”’&”字符串，然后在查找源代码时直接查找 AAA 比较 方便。

② 无法得知输出位置 很多 Web 程序源码是不公开的，这时在测试 XSS 时就可能无法得知输入数据到底在什 么地方显示，比如测试留言吧是否存在 XSS,在留言后，可能需要经过管理员审核才能显 示，这种情况无法知道数据在后台管理页面处于何种状态，例如：  在

标签中：

XSS Test

在标签中：对这种情况通常会输入“”/> xss test”来测试。

2：工具检测

使用 Appscan，Burp Suite 或浏览器 Web 渗透插件 hackbar 等均可。

工具的局限性在于如果提交测试代码输入框需要输入验证码或者短信，工具是无法识别 各类验证码而顺利提交攻击代码的。

修复漏洞

cookie 设置HTTPonly

setcookie($name, $value, $expire, $path, $domain, $secure, TRUE)     //>=5.2

 header ("Set-Cookie: hidden=value; httponly", false);

/* ≤ PHP 5.1 */

第二种，一个函数搞定

htmlspecialchars($html);