漏洞起因

可以输入的地方没有做好对应的过滤，引发的xss攻击

漏洞危害

1. 盗取cookie
   
2. 劫持用户浏览器
   
3. 钓鱼攻击
4. 挂马
   
5. 在一定的条件下可以getshell
6. 会话劫持

漏洞类型

1. 反射型XSS（危险级别：低），插入的语句停留在当前页面。
   
2. DOM型XSS （危险级别：中）， DOM型xss又分为两种 （a.可见型、b.不可见型），插入的语句影响js 。
3. 存储型XSS（危险级别：高），插入的语句保存在数据库 。
4. 其他型XSS（例如：Flash xss）。

漏洞实验

本次实验我们以著名的安全脆弱性平台DVWA为例：

在low级别下的测试，没有任何防御。可以插入任意标签如：

<code>/<code> 

如果过滤了alert()如何绕过呢？

直接上后端PHP代码：

<code>/<code>

前端显示html代码如下：

<code>        <title>Demo1/<title>
输入你的名称
/<code>

当输入alert的时候就会被替换成空，当然我们可以使用其他的什么标签来代替script，但是如果只用script如何绕过呢？使用js转义。将alert转义。

当js解释器在标识符名称(例如函数名，属性名等等)中遇到unicode编码会进行解码，并使其标志符照常生效。而在字符串中遇到unicode编码时会进行解码只会被当作字符串。

也就是说unicode编码只能编码属性名

示例payload如下：

<code>/<code>

经过js转义后，代码如下：

<code>/<code>

payload成功执行alert

注意：使用unicode编码之前要确定对方有没有过滤“\\”

html转义：

<code>当浏览器接受到一份HTML代码后，会对标签之间（
xxx
等，之间的情况：
<code>
绕过：
<code>]";/*  * */#echo "";?>/<code>
绕过：
<code>1' onclick='alert(1)/<code>
 
假设输出在img标签里:
<code>";echo $c;#echo "";#echo " ";/*  * */#echo "";?>/<code>
绕过：
<code>'1/**/onerror='alert(1)/<code>
 
输出在标签里的绕过总结：
先想办法闭合周围的什么双引号之类的东西
判断有什么过滤掉的，如果没有过滤自然最好
查询标签对应可以执行js的属性，然后插入代码即可
DOM型xss分为两种：
可见型DOM xss
不可见型DOM xss
何为DOM？,你插入的代码会暂存在某些标签之中，并且影响输出。
DVWA的DOM xss就是不可见类型。
 
源代码不可见：
但是F12可见：
 
low级无任何防御直接插入payload：
medimu级过滤了script：
<code>
<code>使用： //要闭合select标签，因为img在select标签里面是不可见的/<code> 
high级对default进行了判断：
<code>/<code>
使用#杀掉判断：
<code>#/<code>
 
存储型xss：当我们插入的恶意代码都会保留在数据库，下次在访问此页面的时候就会自动执行js。
温馨提示：用beef来配置存储型xss是个不错的选择哦！
总结：
<code>xss漏洞起因    没有做好对应的过滤标签措施，导致攻击者可以注入恶意代码对付那种无任何过滤的     
             输出在<script>之间的情况(意思就是你在script里面，得把前面的闭合了在注入语句，然后因为你在script里面直接输入语句即可)    先闭合上一个script然后在注入恶意代码:    构造的xss语句：http://xxx.com/jj.php?xxx=%0aalert(1) //) #通过%0a换行符，换到了没有注释的下一行然后闭合掉后面的括号使用反斜杆构造xss    当输入的语句处于多行js代码之中，使用\\分开，例子：        使用\\分割语句然后想办法闭合 ：反弹xss一般出现在url拦DOM型xssDOM型的xss就是通过输入，改变了js代码的一部分。dom型xss又分两种：1.可见型DOM xss，输入的东西改变了页面的源码。但是F12查看源码可见类似于：<strong>按职业1检索：aaaaaaa aaaaa为我们输入的，假设现在被过滤了。但是\\没被过滤，该如何构造xss呢由于\\没有被过滤，使用unicode编码，变为被url解释器解释完后为 ，url中出现了javascript:，指明了后面的语句要当作js执行，所以再次把解释后的字符交给js解释器解释，可以弹窗。当js解释器在标识符名称(例如函数名，属性名等等)中遇到unicode编码会进行解码，并使其标志符照常生效。而在字符串中遇到unicode编码时会进行解码只会被当作字符串。如：  unicode编码在标签的属性之中可用，如果在输出使用不会影响上下文 参考文章：https://www.cnblogs.com/iceli/p/8598709.html2.不可见型DOM xss    类似于DVWA里的DOM型xss，只能用调试工具定位。审核源代码是看不见的    记录一些DOM型xss常用的语句：    在iframe中执行js:<iframe>                               <iframe>                               <iframe> IE执行VBScript代码                               <iframe> chrome执行data协议代码                               <iframe> 上面的变体                               <iframe> chrome下的srcdoc属性 总结：在探测一个地方是否有xss的时候，插入好搜索的语句例如：aaaaaa。然后f12源码搜索，分析出现的地方，看看哪里能实现xss。如果有被过滤 了，先试试html转义，注意闭合。当\\符号没被过滤的时候可以使用unicode编码来进行代替被过滤的函数或符号 （前提是在script标签里）  存储型xss：        一定要记住本节最开头的话，存储型XSS，输出的位置不一定出现在输入的位置。        7. 因而我们有时候需要逆向的思维，来寻找存储型XSS。大概思路如下：        7.1 先找到输出点，然后猜测此处输出是否会被过滤。        7.2 如果觉得可能没过滤，我们再找到这个输出是在哪里输入的。        7.3 接着开始测试输入，看输出的效果。        7.4 如果没过滤，那么你就成功了，否则你可以放弃掉它。xss 存储型payload：http://html5sec.org//<iframe>/<code> 
"/<code>
 

                

            

            
            
            
            
            
            
            
            
            
            
            

            



分享到:



 閱讀更多  KillBoy安全實驗室 
的文章

關鍵字:
脚本
数据库
浏览器