漏洞起因
可以输入的地方没有做好对应的过滤,引发的xss攻击
漏洞危害
盗取cookie劫持用户浏览器
钓鱼攻击挂马
在一定的条件下可以getshell会话劫持
漏洞类型
反射型XSS(危险级别:低),插入的语句停留在当前页面。DOM型XSS (危险级别:中), DOM型xss又分为两种 (a.可见型、b.不可见型),插入的语句影响js 。存储型XSS(危险级别:高),插入的语句保存在数据库 。其他型XSS(例如:Flash xss)。
漏洞实验
本次实验我们以著名的安全脆弱性平台DVWA为例:
在low级别下的测试,没有任何防御。可以插入任意标签如:
<code>/<code>
如果过滤了alert()如何绕过呢?
直接上后端PHP代码:
<code>/<code>
前端显示html代码如下:
<code> <title>Demo1/<title>
输入你的名称
/<code>当输入alert的时候就会被替换成空,当然我们可以使用其他的什么标签来代替script,但是如果只用script如何绕过呢?使用js转义。将alert转义。
当js解释器在标识符名称(例如函数名,属性名等等)中遇到unicode编码会进行解码,并使其标志符照常生效。而在字符串中遇到unicode编码时会进行解码只会被当作字符串。
也就是说unicode编码只能编码属性名
示例payload如下:
<code>/<code>
经过js转义后,代码如下:
<code>/<code>
payload成功执行alert
注意:使用unicode编码之前要确定对方有没有过滤“\\”
html转义:
<code>当浏览器接受到一份HTML代码后,会对标签之间(
xxx
等,之间的情况:<code>
绕过:
<code>]";/* * */#echo "";?>/<code>
绕过:
<code>1' onclick='alert(1)/<code>
假设输出在img标签里:
<code>";echo $c;#echo "
绕过:
<code>'1/**/onerror='alert(1)/<code>
输出在标签里的绕过总结:
先想办法闭合周围的什么双引号之类的东西判断有什么过滤掉的,如果没有过滤自然最好查询标签对应可以执行js的属性,然后插入代码即可
DOM型xss分为两种:
可见型DOM xss不可见型DOM xss何为DOM?,你插入的代码会暂存在某些标签之中,并且影响输出。
DVWA的DOM xss就是不可见类型。
源代码不可见:
但是F12可见:
low级无任何防御直接插入payload:
medimu级过滤了script:
<code>
<code>使用:
high级对default进行了判断:
<code>/<code>
使用#杀掉判断:
<code>#/<code>
存储型xss:当我们插入的恶意代码都会保留在数据库,下次在访问此页面的时候就会自动执行js。
温馨提示:用beef来配置存储型xss是个不错的选择哦!
总结:
<code>xss漏洞起因 没有做好对应的过滤标签措施,导致攻击者可以注入恶意代码对付那种无任何过滤的