跨站脚本攻击XSS(最全最细致的靶场实战)
一、XSS跨站漏洞
(1)XSS简介
网站中包含大量的动态内容以提高用户体验,比过去要复杂得多。所谓动态内容,就是根据用户环境和需要,Web应用程序能够输出相应的内容。动态站点会受到一种名为“跨站脚本攻击”(Cross Site Scripting,安全专家们通常将其缩写成XSS,原本应当是css,但为了和层叠样式表(Cascading Style Sheet,CSS)有所区分,故称XSS)的威胁,而静态站点则完全不受其影响。恶意攻击者会在 Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。
跨站脚本攻击是一种针对网站应用程序的安全漏洞攻击技术,是代码注入的一种。它允许恶意用户将代码注入网页,其他用户在浏览网页时会受到影响,恶意用户利用xss 代码攻击成功后,可能得到很高的权限、私密网页内容、会话和cookie等各种内容
攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击”,而JavaScript是新型的“ShellCode”。
xss漏洞通常是通过php的输出函数将javascript代码输出到html页面中,通过用户本地浏览器执行的,所以xss漏洞关键就是寻找参数未过滤的输出函数。
<?php
$xss = $_GET['x'];
echo $xss;
?>
(2)产生层面
产生层面一般都是在前端,JavaScript代码能干什么,执行之后就会达到相应的效果
(3)函数类
比如说php中的脚本的输出函数
常见的输出函数有:print
、print_r
、echo
、printf
、sprintf
、die
、var_dump
、var_export
(4)危害影响
盗取各类用户帐号,如机器登录帐号、用户网银帐号、各类管理员帐号
控制企业数据,包括读取、篡改、添加、删除企业敏感数据的能力
盗窃企业重要的具有商业价值的资料
非法转账
强制发送电子邮件
网站挂马
控制受害者机器向其它网站发起攻击
其实归根结底,XSS的攻击方式就是想办法“教唆”用户的浏览器去执行一些这个网页中原本不存在的前端代码。可问题在于尽管一个信息框突然弹出来并不怎么友好,但也不至于会造成什么真实伤害啊。的确如此,但要说明的是,这里拿信息框说事仅仅是为了举个栗子,真正的黑客攻击在XSS中除非恶作剧,不然是不会在恶意植入代码中写上alert("say something")
的。在真正的应用中,XSS攻击可以干的事情还有很多,这里举两个例子。
窃取网页浏览中的cookie值。在网页浏览中我们常常涉及到用户登录,登录完毕之后服务端会返回一个cookie值。这个cookie值相当于一个令牌,拿着这张令牌就等同于证明了你是某个用户。如果你的cookie值被窃取,那么攻击者很可能能够直接利用你的这张令牌不用密码就登录你的账户。如果想要通过script脚本获得当前页面的cookie值,通常会用到cookie。试想下如果像空间说说中能够写入xss攻击语句,那岂不是看了你说说的人的号你都可以登录(不过貌似QQ的cookie有其他验证措施保证同一cookie不能被滥用)
劫持流量实现恶意跳转。这个很简单,就是在网页中想办法插入一句像这样的语句:
<script>window.location.href="http://www.baidu.com";</script>
那么所访问的网站就会被跳转到百度的首页。早在2011年新浪就曾爆出过严重的xss漏洞,导致大量用户自动关注某个微博号并自动转发某条微博。具体各位可以自行百度。
(5)浏览器内核版本
利用XSS需要浏览器版本和内核没有过滤XSS攻击(比如用谷歌Edge火狐等打开可以成功,但是IE却会拦截)
(6)常出现场景
文章发表、评论、留言、注册资料的地方、修改资料的地方等
二、XSS攻击的分类
XSS攻击分成两类,一类是来自内部的攻击,另一类则是来自外部的攻击
(1)来自内部的攻击
主要指的是利用程序自身的漏洞,构造跨站语句,如:dvbbs的showerror.asp存在的跨站漏洞。
(2)来自外部的攻击
主要指的自己构造XSS跨站漏洞网页或者寻找非目标机以外的有跨站漏洞的网页。如当我们要渗透一个站点,我们自己构造一个有跨站漏洞的网页,然后构造跨站语句,通过结合其它技术,如社会工程学等,欺骗目标服务器的管理员打开。
三、XSS的分类
1、反射型(非持久化)
(1)原理
反射型xss又称非持久型xss,是目前最普遍的类型,这种攻击方式往往具有一次性。发出请求时,XSS代码出现在URL中,作为输入提交到服务器端,服务器端解析后响应,XSS代码随响应内容一起传回给浏览器,最后浏览器解析执行XSS代码。这个过程像一次反射,所以称反射型XSS。
(2)攻击方式
攻击者通过电子邮件等方式将包含xss代码的恶意链接发送给目标用户。当目标用户访问该链接时,服务器接受该用户的请求并进行处理,然后服务器把带有xss代码的数据发送给目标用户的浏览器,浏览器解析这段带有xss代码的恶意脚本后就会触发xss漏洞
(3)判断是否存在反射型xss漏洞并利用
① 判断有没有过滤一些特殊的字符
比如对比输出的字符和输出的字符,可以看到有些字符被过滤了
② 注入代码
下面是大概的原理
假如我输入的是1,提交后,点击查看网页源代码
③ 插入代码
"><img src=1 onerror="alert(/xss/)"/>
#如果读取图片失败,则用alert显示相关信息
显示了信息,则说明存在xss注入
可以对比看到,通过前面的闭合以及后面的代码插入,读取不到图片,因此触发了alert弹窗,显示了括号内的内容即/xss/
④ 利用xss漏洞
将刚刚成功注入代码并能触发xss的网址通过电子邮件等方式发送给对方的手中,如果结合xss平台,对方点击了链接,就能得到对方的cookie等信息
2、存储型(持久化)
(1)原理
存储型XSS和反射型XSS的差别仅在于,提交的代码会存储在服务器端(数据库、内存、文件系统等),下次请求目标页面时不用再提交XSS代码。最典型的例子就是留言板XSS,用户提交一条包含XSS代码的留言存储到数据库,目标用户查看留言板时,那些留言就会从数据库中加载出来并显示,于是触发了XSS攻击
(2)攻击方式
这种攻击多见于论坛、博客和留言板中,攻击者在发帖的过程中,将恶意脚本连同正常的信息一起注入帖子的内容中。随着帖子被服务器存储下来,恶意脚本也永久的存放在服务器的后端存储器中。当其他用户浏览这个被注入了恶意脚本的帖子时,恶意脚本会在它们的浏览器中得到执行
(3)payload
<img src="1" onerror="alert(/xss/)"/>
注入后重新刷新发现直接回显注入的东西,说明是存储型xss
3、DOM型
(1)原理
文档对象模型Document Object Model(DOM)是一个与平台、编程语言不相干的接口,允许程序或脚本动态地访问和更新文档内容、结构和样式,处理后的结果会成为展示页面的一部分
DOM型xss其实是一种特殊类型的反射型xss,也被称作本地跨站,它是基于DOM文档对象模型的一种漏洞。DOM XSS和反射型XSS、存储型XSS的区别在于DOM XSS代码并不需要服务器参与,出发XSS靠的是浏览器的DOM解析,完全是客户端的事情
DOM中有很多对象,其中一些对象可以被用户所操纵,如url,location等。客户端的脚本程序可以通过DOM来动态地检查和修改页面内容,它不依赖于提交数据到服务器端,而是从客户端取得DOM中的数据后并在本地执行,因此仅从服务器端是没有办法防御DOM型XSS漏洞的,如若DOM中的数据没有经过严格的验证,便会产生基于DOM的XSS漏洞。
基于DOM的XSS是反射的特例,其中JavaScript隐藏在URL中,并在其呈现时由页面中的JavaScript取出,而不是在提供服务时嵌入到页面中。这可以使其比其他攻击更隐蔽,并且监控页面正文的WAF或其他防护检测不出恶意内容。
(2)攻击方式
用户请求一个经过专门设计的URL,它由攻击者提交,而且其中包含xss代码。服务器的响应不会以任何的形式包含攻击者的脚本,当用户的浏览器处理这个响应时,DOM对象就会处理xss代码,导致存在xss漏洞
(3)payload
<img src=1 onerror="alert(/xss/)"/>
四、XSS攻击的途径
XSS攻击方法只是利用HTML的属性做各种尝试,找出注入的方法。现在对三种XSS攻击的主要方式进行分析。
第一种:对普通的用户输入,页面原样输出,攻击者通过对JSCODE的伪装,经过某些特定的操作就会跳出一个木马界面,从而取得登录用户的Cookie.
第二种:在代码区内存在有用户输入的内容
第三种:允许用户输入HTML标签的页面,用户可以提交一些自定义的HTML代码。
五、靶场实战
1、PHP开源多功能留言板
(1)搭建靶场
PHP开源多功能留言板下载地址:https://down.chinaz.com/soft/37581.htm ,按照教程安装即可
(2)XSS平台
网址1:https://xss.pt/xss.php
网址2:http://xss.fbisb.com/xss.php
网址3:https://xss8.cc/login/
网址4:https://xsshs.cn/xss.php?do=login
(3)进行攻击
① 初次尝试
尝试用简单的JS代码进行XSS攻击
存在JS过滤
② 绕过<script>
检测
使用以下语句绕过<script >
过滤:<BODY onload="alert('XSS')">
成功弹出弹窗
管理员后台查看也会弹出弹窗
而弹出弹窗的原因就是这句JS代码嵌入到了代码中
③ 利用XSS平台获取cookie
此时利用XSS平台,启用默认模块,因为这个留言板会过滤<script>
标签,因此我选择使用img标签进行XSS攻击
发送payload成功
管理员到后台查看留言
此时XSS平台就有记录了
④ 使用firebug登录后台
获取到访问的URL:
URL:http://192.168.100.120/SyGuestBook_v1.2/index.php?c=adminMessage&a=ListMessage&gid=1
Cookie:valueName=w01ke; valueQq=5201314; PHPSESSID=en5mt3n1snl0hvg6d45mji2a95
用获取到的cookie和后台链接,使用firebug进行设置
成功进入后台!
注意:因为是留言板,因此别人查看我们留下的XSS攻击代码时,也会记录到XSS平台,因此查看XSS平台的记录时注意甄别访客和管理员
2、BUUCTF-basic-BUU XSS COURSE 1
-
跨站脚本攻击XSS(最全最细致的靶场实战)相关推荐
- 跨站脚本攻击XSS:为什么cookie中有httpOnly属性
跨站脚本攻击XSS:为什么cookie中有httpOnly属性 通过上篇文章的介绍,我们知道了同源策略可以隔离各个站点之间的 DOM 交互.页面数据和网络通信,虽然严格的同源策略会带来更多的安全,但是 ...
- 跨站脚本攻击—XSS
XSS 介绍 XSS 是跨站脚本攻击(Cross Site Scripting)的简写,但是从首写字母命名的方式来看,应该取名 CSS,但这样就和层叠样式表(Cascading Style Sheet ...
- 「第三章」跨站脚本攻击(XSS)
批注[--] 表示他人.自己.网络批注参考资料来源于* 书中批注* CSDN* GitHub* Google* 维基百科* YouTube* MDN Web Docs由于编写过程中无法记录所有的URL ...
- 跨站脚本攻击(XSS)FAQ
原作者charlee.原始链接http://tech.idv2.com/2006/08/30/xss-faq/以及本声明. 该文章简单地介绍了XSS的基础知识及其危害和预防方法.Web开发人员的必读. ...
- [Web安全之实战] 跨站脚本攻击XSS
文章Points: 1. 认识XSS 2. XSS攻击 3. XSS防御(重点) 一.认识XSS先 先说个故事吧,在上一篇,我还想说这个案例.其实什么叫攻击,很简单.获取攻击者想要的信息,就黑成功了. ...
- 跨站请求伪造(CSRF)+ 跨站脚本攻击(XSS)
一.CSRF 跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 X ...
- 跨站脚本攻击(XSS)详解
XSS简介 XSS(Cross Site Script)攻击,通常指黑客通过"HTML注入"篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击. 一开始, ...
- 网站安全系列:跨站脚本攻击XSS
本篇博文主要从概念和应用上介绍XSS,主要内容来源于<白帽子讲web安全> XSS核心本质 XSS实际上是一种HTML注入,用户输入的数据被当成HTML的一部分来执行.防御方法核心是输入检 ...
- 跨站脚本攻击 XSS原理
个人对XSS攻击的笔记 原理:对可以控制传参的位置,比如url链接中,输入框中,首先闭合输出参数位置前后网页标签,在闭合的中间加上JavaScript代码或者其他的html标签,使得网页能够执行你添加 ...
最新文章
- java doubke类型转换为String_Java基础知识面试题大集合
- 【视觉盛宴二】长见识了,你见过BGA封装芯片的横截面吗!
- 斐波那契数列及其优化
- [react] 说说你对Error Boundaries的理解
- unity vscode没有智能提示_GAMES101课程环境搭建(Win10+VSCode)
- 智慧故事----每次进来看看都会有收获
- 图形交互界面_室内量房APP哪家强?5款软件深度测评(界面UI体验篇)
- 系统辨识(一):相关概念
- git push或git pull等其他git命令 出现unable to access ‘https://gitee.com/你的git仓库地址)清除网络代理
- Android studio profiler中的Shallow size和retained sizes是什么意思
- openGauss数据库开发调试工具指导
- 基于Qt5图形视图框架的“俄罗斯方块”
- thinkphp 邮箱配置完美测试
- 如何利用ChatGPT学习量化投资?
- android 高德地图移动卡顿_使用高德SDK开发安卓地图应用软件
- 深入理解空间金字塔池化(SPP,ASPP)
- Python 成为最受欢迎的语言靠实力吗?
- 实效程序员快速参考指南
- Android混淆编译、反混淆、反编译
- cad2016中选择全图字体怎么操作_ps创意字体设计教程:ps怎么做海报漂亮字体
热门文章
- 跨站脚本攻击XSS:为什么cookie中有httpOnly属性