xss的攻击于防御
攻击的利用方式
1)获取cookie,实现越权,如果是获取到网站管理员的cookie,也可以叫提权。注意尽量尽快退出账号,删除session,让session失效
2)钓鱼网站,模拟真实的网站,获取用户信息(用户名密码等),先告诉账号密码不正确,再跳转到真实网站
3)执行js代码,用于DDOS攻击别的目标站点,在站点A植入xss代码,向站点b发起请求,当用户量大的时候,实现DDOS攻击
4)恶意链接让用户点击,或者直接将网页植入到站点的标签中
将上述代码以短链接(短网址)的方式发送(这也是隐藏链接的方式)
5)当用户点击并访问到恶意站点:,
<a href=“http://xxx/xss.html”>,在xss.html的网页中,可以执行js代码
一方面提供正常的网站功能,另一方面隐藏着DOS或挖矿代码让用户浏览器执行
2、测试方法(攻击方式)
1)反射型xss测试的时候,可以使用扫描器,或者burp进行fuzz
2)存储型xss测试的时候,可以直接把字典中的payload都塞进去,根据弹窗的编号,就知道时哪个。
但是这个容易发现,所有可以试探一下特殊字符是否被过滤。(会被存到数据库)
3)DOM型xss测试,主要以阅读js代码为主。在页面中找输入点的相关dom节点,
在开发者选项中搜索一下根据搜索结果去看是否被相关的js操作,
如果有js操作,就去看我们的输入操作后输出在哪个地方,就按照常规的xss思路进行构建。
<input type="submit" value="<img src=1 οnerrοr=alert(1)"/>
或<input type="botton" value="" οnclick=alert()"/>
扫描器,要么直接对一个URL地址进行xss的payload攻击上存在xss,
另一个思路是对整个网站使用爬虫手段爬取url地址,让后再批量扫描(扫描的核心就是字典)
3、防御手段
1)做实体字符编码,htmlspecialchars(),函数功能就是把特殊符号,比如尖括号,引号转换成实体编码,
这样就不会在输入的地方去干扰页面源码。经过实体字符编码后,用户输入的特殊符号在源代码中就变成编码,
但是在页面输出的时候,还是会显示成原来的样子。当输出的位置在元素内容里面,并且被实体编码后,基本上就没有XSS的可能了。
$content = htmlspecialchars($_GET['content']);
2)正则表达式或字符串判断
实体字符编码如果输出在事件属性中,还是有可能存在绕过的可能性,比如在a标签中,
没有尖括号也没有引号,就有可能被绕过,
如果存在类似这种的情况,需要在链接属性中加上http://或https://的正则表达式来限制。
XSS的绕过方式
1.绕过过滤
1)前端限制,直接用F12开发者选项修改js或html代码即可,或者用burpsuite绕过。
2)字符过滤,双写,大小写绕过,通过注释符绕过,也可以通过换行符绕过。
3)HTML实体转换;
字符实体是用一个编号写入HTML代码中来代替一个字符,在使用浏览器网页时会将这个编号解析还原为字符以供阅读。
javascript:alert("hello")编码为:(使用burp中的docode继续转换)
2、绕过编码
明确浏览器解析的机制,明白机制后,选择对应的编码。
3、其他技巧
1)输入标签间的情况:测试<>是否被过滤或转义,若无则直接
2)输出在script标签内,我们需要在保证内部js语法正确的前提下,去插入我们的payload。
如果我们在输出在字符串内部,测试字符串能否被闭合。如果我们无法闭合包裹字符串的引号,
这个就很难利用了,可能的解决方案:可以控制两处输入且\可用、存在宽字节。
3)输入在HTML属性内:查看属性是否有双引号包裹、没有则直接添加新的事件属性;
有双引号包裹则测试双引号是否可用,可用则闭合属性之后添加新的属性里以HTML实体编码的方式引入任意字符,
从而方便我们在事件属性里以JS的方式构造payload。
