什么是XSS
XSS(Cross Site Scripting),跨站脚本攻击。
目标网站目标用户的浏览器,渲染HTML文档过程中,出现非预期脚本指令,并且被执行时,XSS就发生了。
XSS攻击能做什么?
Cookie
攻击者通过document.cookie访问受害者与网站关联的cookie,然后传送到攻击者自己的服务器,接着从cookie中提取敏感信息,如Session ID。
Keylogging
攻击者可以使用addEventListener方法注册用于监听键盘事件的回调函数,并且把所有用户的敲击行为发送到他自己的服务器,这些敲击行为可能记录着用户的敏感信息,比如密码和信用卡密码。
Phishing
攻击者可以通过修改DOM在页面上插入一个假的登陆框,也可以把表单的action属性指向他自己的服务器地址,案后欺骗用户提交自己的敏感信息。
等等……
XSS攻击类型
持续型XSS攻击
恶意文本来源于网站的数据库。
持续型XSS攻击流程原理
反射型XSS攻击
恶意文本来源于受害者的请求。
反射型XSS攻击流程原理
基于DOM的XSS攻击
利用客户端而不是服务端代码漏洞发动攻击。
基于DOM的XSS攻击流程原理
常见输入点
document.URL
document.URLUnencoded
document.location
document.referrer
document.cookie
window.location
window.name
xhr请求回来的数据
表单项的值
常见输出点
直接输出HTML内容
document.write()
document.writeln()
document.body.innerHtml
直接修改DOM树
document.forms[0].action 其他属性集合也可以,例如src、href等
document.attachEvent()
document.create()
document.execCommand()
document.body 通过body访问对象DOM
window.attachEvent()
替换document.URL
document.location
document.location.hostname
document.location.replace()
document.location.assign()
document.URL
window.navigate()
打开或修改新窗口
document.open()
window.open()
window.location
window.location.href
window.location.host
window.location.hostname
直接执行脚本
eval()
window.execScript()
window.setInterval()
window.setTimeout()
常见绕过方法及实例
示例来源:XSS Challenges
XSS最基本的就是闭合标签、可以跨域请求的方法。后面就是绕过姿势、同源和CSP之类的了。
一点一点来,慌不要慌。
输出点在标签之间
关键: 闭合标签,构造新标签。
绕过姿势:
<script src=””></script>
<img onerror="alert()" src= />
实例:
输出点在标签之间
关注一下GIF中用鼠标选中的部分。我们首先随便输入内容search看看,发现源码的变化,输出点在标签之间。在这里输出点为HTML标签。
本题Payload:
-
通过闭合标签<b>构造payload:
</b><img onerror="alert(document.domain)" src= /> -
通过在html标签内使用JavaScript标签构造payload:
<script>alert(document.domain)</script>
输出点在标签属性内
关键: 闭合引号
引号没有被过滤时
绕过姿势:
text" onclick="alert()" />
实例:
输出点在标签属性内_引号未被过滤
输出点在HTML的input标签的value属性值中。
本题Payload: nice" onclick="alert(document.domain)" />
引号被过滤时
绕过姿势:
javascript:alert()
实例:
输出点在标签属性内_引号被过滤
输出在HTML的a标签的harf属性值中,但是引号被过滤。
本题Payload: javascript:alert(document.domain)
注意: 当引号被过滤,并且输出点在属性中时,还可以使用src属性添加外部JS脚本来实现弹框。
尖括号被过滤时
绕过姿势:
在IE环境下,使用``让我们自己设置的属性逃逸出来,不然会被当成字符串。
格式样例: `` onclick=alert()
因为今天IE不知道为啥,瓦特了,这一部分示例就不放了。具体应该是在XSS Challenges的第12关。
关键字被过滤时
绕过姿势:
- 把被绕过的关键字中的其中一个字母进行hex转义;
- 在被过滤的关键字中间插入hex转义后的不可见字符,例如制表符、空格等。
实例:
输出点在标签属性内_关键字被过滤
on开头的动作、script关键字、style关键字都被过滤,转义关键字中其中一个字符来实现弹框。
本题Payload: "><a href=javascript:alert(document.domain)>test</a>
今天也是莫得技术,莫得头发,还更不完内容的白小胖。
网友评论