XSS
XSS,全称Cross Site Scripting,即跨站脚本攻击,某种意义上也是一种注入攻击,是指攻击者在页面中注入恶意的脚本代码,当受害者访问该页面时,恶意代码会在其浏览器上执行,须要强调的是,XSS不只仅限于JavaScript,还包括flash等其它脚本语言。根据恶意代码是否存储在服务器中,XSS能够分为存储型的XSS与反射型的XSS。php
DOM型的XSS因为其特殊性,经常被分为第三种,这是一种基于DOM树的XSS。例如服务器端常用document.boby.innerHtml等函数动态生成html页面,若是这些函数在引用某些变量时没有进行过滤或检查,就会产生DOM型的XSS。DOM型XSS多是存储型,也有多是反射型。html
(注:下面的实验都是在Firefox浏览器下进行的,感谢火狐没作XSS filter)前端
反射型XSS
下面对四种级别的代码进行分析。mysql
Low
服务器端核心代码web
<?php
// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
// Feedback for end user
echo '<pre>Hello ' . $_GET[ 'name' ] . '</pre>';
}
?>
能够看到,代码直接引用了name参数,并无任何的过滤与检查,存在明显的XSS漏洞。正则表达式
漏洞利用sql
输入<script>alert(/xss/)</script>,成功弹框:数据库
相应的XSS连接:浏览器
http://192.168.153.130/dvwa/vulnerabilities/xss_r/?name=%3Cscript%3Ealert(/xss/)%3C%2Fscript%3E#服务器
Medium
服务器端核心代码
<?php
// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
// Get input
$name = str_replace( '<script>', '', $_GET[ 'name' ] );
// Feedback for end user
echo "<pre>Hello ${name}</pre>";
}
?>
能够看到,这里对输入进行了过滤,基于黑名单的思想,使用str_replace函数将输入中的<script>删除,这种防御机制是能够被轻松绕过的。
漏洞利用
1.双写绕过
输入<sc<script>ript>alert(/xss/)</script>,成功弹框:
相应的XSS连接
2.大小写混淆绕过
输入<ScRipt>alert(/xss/)</script>,成功弹框:
相应的XSS连接:
http://192.168.153.130/dvwa/vulnerabilities/xss_r/?name=%3CScRipt%3Ealert(%2Fxss%2F)%3C%2Fscript%3E
High
服务器端核心代码
<?php
// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
// Get input
$name = preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $_GET[ 'name' ] );
// Feedback for end user
echo "<pre>Hello ${name}</pre>";
}
?>
能够看到,High级别的代码一样使用黑名单过滤输入,preg_replace()函数用于正则表达式的搜索和替换,这使得双写绕过、大小写混淆绕过(正则表达式中i表示不区分大小写)再也不有效。
漏洞利用
虽然没法使用<script>标签注入XSS代码,可是能够经过img、body等标签的事件或者iframe等标签的src注入恶意的js代码。
输入<img src=1 οnerrοr=alert(/xss/)>,成功弹框:
相应的XSS连接:
Impossible
服务器端核心代码
<?php
// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
// Check Anti-CSRF token
checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );
// Get input
$name = htmlspecialchars( $_GET[ 'name' ] );
// Feedback for end user
echo "<pre>Hello ${name}</pre>";
}
// Generate Anti-CSRF token
generateSessionToken();
?>
能够看到,Impossible级别的代码使用htmlspecialchars函数把预约义的字符&、”、 ’、<、>转换为HTML实体,防止浏览器将其做为HTML元素。
存储型XSS
下面对四种级别的代码进行分析。
Low
服务器端核心代码
<?php
if( isset( $_POST[ 'btnSign' ] ) ) {
// Get input
$message = trim( $_POST[ 'mtxMessage' ] );
$name = trim( $_POST[ 'txtName' ] );
// Sanitize message input
$message = stripslashes( $message );
$message = mysql_real_escape_string( $message );
// Sanitize name input
$name = mysql_real_escape_string( $name );
// Update database
$query = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
$result = mysql_query( $query ) or die( '<pre>' . mysql_error() . '</pre>' );
//mysql_close();
}
?>
相关函数介绍
trim(string,charlist)
函数移除字符串两侧的空白字符或其余预约义字符,预约义字符包括、\t、\n、\x0B、\r以及空格,可选参数charlist支持添加额外须要删除的字符。
mysql_real_escape_string(string,connection)
函数会对字符串中的特殊符号(\x00,\n,\r,\,‘,“,\x1a)进行转义。
stripslashes(string)
函数删除字符串中的反斜杠。
能够看到,对输入并无作XSS方面的过滤与检查,且存储在数据库中,所以这里存在明显的存储型XSS漏洞。
漏洞利用
message一栏输入<script>alert(/xss/)</script>,成功弹框:
name一栏前端有字数限制,抓包改成<script>alert(/name/)</script>:
成功弹框:
Medium
服务器端核心代码
<?php
if( isset( $_POST[ 'btnSign' ] ) ) {
// Get input
$message = trim( $_POST[ 'mtxMessage' ] );
$name = trim( $_POST[ 'txtName' ] );
// Sanitize message input
$message = strip_tags( addslashes( $message ) );
$message = mysql_real_escape_string( $message );
$message = htmlspecialchars( $message );
// Sanitize name input
$name = str_replace( '<script>', '', $name );
$name = mysql_real_escape_string( $name );
// Update database
$query = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
$result = mysql_query( $query ) or die( '<pre>' . mysql_error() . '</pre>' );
//mysql_close();
}
?>
相关函数说明
strip_tags() 函数剥去字符串中的HTML、XML以及PHP的标签,但容许使用<b>标签。
addslashes() 函数返回在预约义字符(单引号、双引号、反斜杠、NULL)以前添加反斜杠的字符串。
能够看到,因为对message参数使用了htmlspecialchars函数进行编码,所以没法再经过message参数注入XSS代码,可是对于name参数,只是简单过滤了<script>字符串,仍然存在存储型的XSS。
漏洞利用
1.双写绕过
抓包改name参数为<sc<script>ript>alert(/xss/)</script>:
成功弹框:
2.大小写混淆绕过
抓包改name参数为<Script>alert(/xss/)</script>:
成功弹框:
High
服务器端核心代码
<?php
if( isset( $_POST[ 'btnSign' ] ) ) {
// Get input
$message = trim( $_POST[ 'mtxMessage' ] );
$name = trim( $_POST[ 'txtName' ] );
// Sanitize message input
$message = strip_tags( addslashes( $message ) );
$message = mysql_real_escape_string( $message );
$message = htmlspecialchars( $message );
// Sanitize name input
$name = preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $name );
$name = mysql_real_escape_string( $name );
// Update database
$query = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
$result = mysql_query( $query ) or die( '<pre>' . mysql_error() . '</pre>' );
//mysql_close();
}
?>
能够看到,这里使用正则表达式过滤了<script>标签,可是却忽略了img、iframe等其它危险的标签,所以name参数依旧存在存储型XSS。
High
抓包改name参数为<img src=1 οnerrοr=alert(1)>:
成功弹框:
Impossible
服务器端核心代码
<?php
if( isset( $_POST[ 'btnSign' ] ) ) {
// Check Anti-CSRF token
checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );
// Get input
$message = trim( $_POST[ 'mtxMessage' ] );
$name = trim( $_POST[ 'txtName' ] );
// Sanitize message input
$message = stripslashes( $message );
$message = mysql_real_escape_string( $message );
$message = htmlspecialchars( $message );
// Sanitize name input
$name = stripslashes( $name );
$name = mysql_real_escape_string( $name );
$name = htmlspecialchars( $name );
// Update database
$data = $db->prepare( 'INSERT INTO guestbook ( comment, name ) VALUES ( :message, :name );' );
$data->bindParam( ':message', $message, PDO::PARAM_STR );
$data->bindParam( ':name', $name, PDO::PARAM_STR );
$data->execute();
}
// Generate Anti-CSRF token
generateSessionToken();
?>
能够看到,经过使用htmlspecialchars函数,解决了XSS,可是要注意的是,若是htmlspecialchars函数使用不当,攻击者就能够经过编码的方式绕过函数进行XSS注入,尤为是DOM型的XSS。
最后附赠最近遇到的一个实例:一次有趣的XSS+CSRF组合拳
0×01 前言
最近执着于渗透各类xx人才网,前两天在某网站上发现了一个极其鸡肋的XSS漏洞,原本觉得没有太大的利用价值,没想到结合CSRF攻击,却得到了意想不到的效果。
0×02 一个鸡肋的XSS漏洞
下面是某个招聘网站的用户我的资料界面:
用户能够在这里修改本身的基本资料并保存,通过XSS测试,这里的输入都过滤了成对的尖括号(< >)、script、img、&等字符,可是彷佛遗漏了事件,因而尝试使用input标签的onchange事件注入XSS代码。
在通信地址一栏输入” οnchange=alert(2) “并保存,刷新页面,右键查看源码,注入成功:
只要尝试在通信地址一栏中输入新的内容,就会触发XSS,弹框:
是的,成功触发XSS代码了,但是这个鸡肋的XSS漏洞有什么卵用呢?首先,这个XSS漏洞依赖事件触发,只有用户在修改我的资料时恶意代码才有可能执行,其次这是一个存储型的XSS漏洞,你不可能要求用户按照攻击者的意思,事先在本身的我的资料里键入XSS代码并保存吧。
0×03 CSRF带来的曙光
在修改我的资料的过程当中,抓包发现这个修改接口并无任何的防CSRF机制,存在明显的CSRF漏洞:
这给鸡肋的XSS漏洞带来了曙光,因而想到了能够结合CSRF攻击实现用户cookie的大面积盗取。攻击思路以下:
1.构造一个CSRF攻击页面,诱使用户访问(在这种招聘网站,发布一个包含恶意页面的虚假招聘很容易作到)
2.用户访问页面后,我的基本资料会被清空,同时注入XSS代码
3.用户尝试补全我的资料,触发XSS代码,自动发送cookie
0×04 攻击演示
下面是构造的CSRF攻击页面:
调皮地把cookie发(这里调皮地把cookie发给百度= =)
下面是本地的攻击过程演示:
1.受害者进入攻击页面,会看到“你的基本资料被我清空了”的提示:
还会看到资料修改为功的提示,并跳转:
2.这时候受害者会发现本身的我的资料被清空了:
殊不知道已经被注入了XSS代码:
3.当用户尝试修改通信地址一栏时,就会触发XSS代码,自动发送cookie(其中包含用户id、用户名、密码哈希值、session-id) :
这样,大规模盗取用户cookie的攻击也就完成了。
*本文原创做者:lonehand
转自:http://www.freebuf.com/articles/web/123779.html
本文同步分享在 博客“谢公子”(CSDN)。
若有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一块儿分享。