近日,论坛上面XSS满天飞,各处都可以见到XSS的痕迹,前段时间论坛上面也出现了XSS的迹象。然后我等小菜不是太懂啊,怎么办?没办法只有求助度娘跟谷歌这对情侣了。
可以说小菜也算懂了一些,不敢藏私,故发文出来大家一块学习,讨论。
下面是正文:
0x00:xss的来由
记得之前看过一篇文章,这样来形容XSS “ 如果把浏览器看作WEB2.0后时代的操作系统,那么客户端脚本就相当于传统的应用程序,而XSS的攻击方式其实就相当于在被攻击者的系统上执行了一个木马程序。但这种“木马”有个很大的缺点,就是无法像传统木马那样在操作系统中安家,以后还能自动执行。 ”
这可能是对XSS的最好诠释了吧,但是XSS究竟是什么?下面就跟小菜来一窥其神秘面容吧。
XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。
为什么会出现XSS呢,这个没什么好说的,肯定是过滤不严,或者就是程序猿认为XSS并没有什么实际的用途,从而忽略了XSS攻击的产生。比如在一个搜索框里面,对于输入数据没有一点过滤的话,那么我们提交下面这条语句
<script>alert(’test’)</script>
结果是什么,大家应该都知道,就是页面弹出了一个对话框。
我记得当我刚开始对黑客技术产生兴趣的时候,那是的XSS还仅仅在于娱乐的地步。
0x01:xss的类型
XSS的类型一般是三种:
第一种:反射型XSS
这种xss,跨站代码一般存在于某一个链接中,当呗攻击者访问这样的连接时,跨站代码就被执行,这类跨站代码一般不会存储在服务器上面
第二种:存储型XSS
这种xss用起来比较方便,跨站代码会存储在服务器上面数据库中,换句话就是可以持久的进行攻击,亦称持久型XSS
第三种:就是基于DOM的XSS
这是由于客户端脚本自身的解析不正确导致的安全问题
0x02:反射型XSS的攻击原理
反射型XSS,是最常用,使用最广的一种方式。它通过给别人发送带有恶意脚本代码参数的URL,当URL地址被打开时,特有的恶意代码参数被HTML解析、执行。它的特点是非持久化,必须用户点击带有特定参数的链接才能引起。
既然是需要用户点击才能触发的跨站,那么这就要考验你的忽悠水平了,就像前段时间论坛出现的XSS攻击,就是通过转账,然后被攻击者查看消息从而触发的一种反射型XSS攻击
再如:
http://searchb.dangdang.com/?key=f‘,true,1);alert(1);//
这个经常逛乌云的应该都不陌生,这就是一个典型的反射型XSS,需要诱使用户去点击该链接,xss代码并不存储在服务端。所以攻击并不能持续。
常用测试方法:
对整个输入(特别强调的是,整个HTTP请求都是输入,数据库取来的数据其实也是输入。HTTP请求包括GET、POST参数,COOKIE,URL,头部的REFERER等等)中每个地方都可以如下操作,
1. 自己构造一个唯一的串,例如:myxsstestxxxx
2. 将某个输入项(比如某个参数)替换为上面的串
3. 查看HTTP相应中是否有这个串,并记录下来
4. 根据HTML上下文决定,用哪种类型串来尝试,尝试攻击串,然后重新提交请求
5. 如果能够找到相应的攻击串说明漏洞是存在的 这里的关键在于第四步,因为服务器端可能会做一些限制,比如encode或者长度限制,测试的时候需要想办法看看是否能绕过限制。
0x03:存储型XSS的攻击原理
存储型就是攻击脚本被存储到了数据库或者文件中,服务器端(可能是别的应用或者别的页面)在读取了存储的内容后回显了,就是存储型。这种情况用户可能直接打开正常的页面就会看到被注入了
原理其实也很简单
XSS代码被提交给网站-->网站把XSS代码存储进数据库—>当该页面再次被请求时,服务器发送已经被植入XSS代码的数据给客户端—>客户端执行XSS代码
比较常见的例子是在留言板上插入XSS代码,前提当然是留言内容过滤不善
想内容中添加[/code]<script>alert(‘test’)</script>[/code]
这样就会弹出对话框,当然只要是可以添加内容的地方,你都可以试试XSS,比如说QQ空间的装扮里面,有一个自定义模块,你可以选择图片,然后添加如下代码
javascript:alert(‘XSS‘)"
当然,其可以执行的前提是服务端代码是这样写的
A=get[a]
<img src=$a>
利用方法还有很多,比如现在兴起的XSS平台,新建一个项目,你就可以做很多事情
0x04:XSS BASED DOM
DOM—based XSS漏洞是基于文档对象模型Document Objeet Model,DOM)的一种漏洞。DOM是一个与平台、编程语言无关的接口,它允许程序或脚本动态地访问和更新文档内容、结构和样式,处理后的结果能够成为显示页面的一部分。DOM中有很多对象,其中一些是用户可以操纵的,如uRI ,location,refelTer等。客户端的脚本程序可以通过DOM动态地检查和修改页面内容,它不依赖于提交数据到服务器端,而从客户端获得DOM中的数据在本地执行,如果DOM中的数据没有经过严格确认,就会产生DOM—based
XSS漏洞。
DOM—based XSS攻击源于DOM相关的属性和方法,被插入用于XSS攻击的脚本。一个典型的例子如下:
HTTP请求http://www.Xss.com/hello.html?name=test使用以下的脚本打印出登录用户test的名字,即
<SCRIPT>
var pos=docmnent.URL.indexOf(”name=”)+5;
document.write (document.URL.substring(pos,document.URL.1ength));
< /SCRIPT>
如果这个脚本用于请求http://www.Xss.com/hello.html?name=<script>alert(‘test’)</script>时,就
导致XSS攻击的发生。
当用户点击这个链接,服务器返回包含上面脚本的HTML静态文本,用户浏览器把HTML文本解析成DOM,DOM中的document对象URL属性的值就是当前页而的URL。在脚本被解析时,这个URL属性值的一部分被写入HTML文本,而这部分HTML文本却是JavaScript脚本,这使得<script>alert(‘test’)</script>成为页面最终显示的HTML文本,从而导致DOM—base XSS攻击发生。
0x05: XSS的防范办法
上面简单说了一下各种XSS的原理,以及最简单的利用方法,当然一些高级的XSS利用技巧,这里不会涉及,授人以鱼不如授人以渔嘛。还靠各位去琢磨了。下面我们来简单说一下XSS的防范。
现在的XSS如此流行,原因何在。我想大家应该都知道,就是在输入的时候没有做严格的过滤,而在输出的时候,也没有进行检查,转义,替换等
所以防范的方法就是,不信任任何用户的输入,对每个用户的输入都做严格检查,过滤,在输出的时候,对某些特殊字符进行转义,替换等
0x06:浅谈CSRF攻击
其实之前我一直不知道csrf是什么东西,直到那次phpmywind被搞掂官网,我才注意到这个攻击方法,之后呢,通过度娘,谷歌这一对好情侣,慢慢了了解了一下
CSRF是伪造客户端请求的一种攻击,CSRF的英文全称是Cross Site Request Forgery,字面上的意思是跨站点伪造请求。这种攻击方式是国外的安全人员于2000年提出,国内直到06年初才被关注。
CSRF的定义是强迫受害者的浏览器向一个易受攻击的Web应用程序发送请求,最后达到攻击者所需要的操作行为。
CSRF漏洞的攻击一般分为站内和站外两种类型:
CSRF站内类型的漏洞在一定程度上是由于程序员滥用$_REQUEST类变量造成的,一些敏感的操作本来是要求用户从表单提交发起POST请求传参给程 序,但是由于使用了$_REQUEST等变量,程序也接收GET请求传参,这样就给攻击者使用CSRF攻击创造了条件,一般攻击者只要把预测好的请求参数 放在站内一个贴子或者留言的图片链接里,受害者浏览了这样的页面就会被强迫发起请求。
CSRF站外类型的漏洞其实就是传统意义上的外部提交数据问题,一般程序员会考虑给一些留言评论等的表单加上水印以防止SPAM问题,但是为了用户的体验 性,一些操作可能没有做任何限制,所以攻击者可以先预测好请求的参数,在站外的Web页面里编写javascript脚本伪造文件请求或和自动提交的表单 来实现GET、POST请求,用户在会话状态下点击链接访问站外的Web页面,客户端就被强迫发起请求。
如果,各位看官想详细了解CSRF google it!
这里仅仅是说了一些简单的XSS原理,算一个抛砖引玉吧,各位可以跟帖讨论,如何发挥XSS的最大能力