XSS漏洞是Web应用程序中最常见的漏洞之一。如果您的站点没有预防XSS漏洞的固定方法,那么很可能就存在XSS漏洞。文章讲会从代码层面讲解XSS还有一些Payload。
0x00概述
xss漏洞通常是通过php的输出函数将javascript代码输出到html页面中,通过用户本地浏览器执行的,所以xss漏洞关键就是寻找未过滤的输出函数。只要输出函数可控结合一些绕过手法即可达到xss攻击的目的。
常见的输出函数有: echo printf print print_r sprintf die var-dump var_export.
0x01 XSS类型
反射型XSS:一般存在于链接之中或者请求之中可以实现自我攻击也就是self-xss也可以欺骗用户去点击 攻击者事先制作好攻击链接, 需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容他只存在GET请求的url链接中或者POST的http数据包中 当请求数据发生改变的时候对应的页面也会发生改变),一般容易出现在搜索页面。
存储型XSS:代码是存储在服务器中的,如在个人信息或发表文章等地方,加入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器中,每当有用户访问该页面的时候都会触发代码执行,这种XSS非常危险,容易造成蠕虫,大量盗窃cookie(虽然还有种DOM型XSS,但是也还是包括在存储型XSS内)。
DOM型XSS:基于文档对象模型Document Objeet Model,DOM)的一种漏洞。DOM是一个与平台、编程语言无关的接口,它允许程序或脚本动态地访问和更新文档内容、结构和样式,处理后的结果能够成为显示页面的一部分。DOM中有很多对象,其中一些是用户可以操纵的,如uRI ,location,refelTer等。客户端的脚本程序可以通过DOM动态地检查和修改页面内容,它不依赖于提交数据到服务器端,而从客户端获得DOM中的数据在本地执行,如果DOM中的数据没有经过严格确认,就会产生DOM XSS漏洞
0x02 从代码层面理解xss原理
反射型XSS
在黑盒测试中,这种类型比较容易通过漏扫直接发现,我们只需要按照扫描结果进行相应的验证就可以了。
相对的在白盒审计中, 我们首先要寻找带参数的输出函数,接下来通过输出内容回溯到输入参数,观察是否过滤即可。
接下来我们拿PHPecho函数举例子
1 | //xss.php文件 |
从代码中也可以看到对user的输入没有做任何过滤直接打印在页面上 下面试一下弹窗
我们可以看到浏览器的页面已经成功的解析了js代码 当然光弹框不够的 需要构造js读取一些敏感数据 js能做的事情还是比较多的。
储存型xss
和反射性XSS的即时响应相比,存储型XSS则需要先把利用代码保存在比如数据库或文件中(一般文章名字用户名信息之类的),当web程序读取利用代码时再输出在页面上执行利用代码。但存储型XSS不用考虑绕过浏览器的过滤问题,屏蔽性也要好很多。
存储型XSS的白盒审计同样要寻找未过滤的输入点和未过滤的输出函数。
1 | <span style="font-size:18px;"><meta http-equiv="Content-Type" content="text/html;charset=utf-8"/> |
首先我们注册一下测试功能
注册功能正常并且可以正常显示出来
我面我们输入js代码看看页面会有什么反应 payload:<script>alert(melon)</script>
我们可以看到文件中的内容已经写进了js代码 而且是持久化的 无论我们的访问链接中带不带恶意的参数这个js别的用户都会执行,这就是所谓的存储型XSS漏洞,一次提交之后,每当有用户访问这个页面都会受到XSS攻击,危害巨大。
DOM型XSS
不做任何过滤跳转
在很多场景下,业务需要实现页面跳转,常见的使用,location.href() location.replace() location.assign()这些方法通过Javascript实现跳转。我们第一时间可能想到的是限制不严导致任意URL跳转漏洞,而DOM XSS与此似乎“八竿子打不着”,实际上跳转部分参数可控,可能导致Dom xss。
举一个简单的例子:
1 | <script> |
解析:变量hash为可控部分,并带入url中,变量hash控制的是#之后的部分,那么可以使用伪协议#javascript:alert
data伪协议也是可以的
使用indexOf判断URL参数是否合法
先放上代码:
1 | <script> |
payload:?url=javascript:alert(1)//http
这样是由于过滤不严格导致的 因该把url=后的以http或者https写死 上面的写法只是存在http即可 //相当于注释掉了但是确实存在http所以绕过了
XSS大都是大同小异 对用户的过分相信输入导致了漏洞的出现
0x03修复建议
1、防堵跨站漏洞,阻止攻击者利用在被攻击网站上发布跨站攻击语句
不可以信任用户提交的任何内容,首先代码里对用户输入的地方和变量都需要仔细检查长度和对”<”,”>”,”;”,”’”等字符做过滤;其次任何内容写到页面之前都必须加以encode,避免不小心把htmltag弄出来。这一个层面做好,至少可以堵住超过一半的XSS攻击。
2、cookie防盗
首先避免直接在cookie中泄露用户隐私,例如email、密码等等。其次通过使cookie和系统ip绑定来降低cookie泄露后的危险。这样攻击者得到的cookie没有实际价值,不可能拿来重放。
3、尽量采用POST而非GET提交表单
POST操作不可能绕开javascript的使用,这会给攻击者增加难度,减少可利用的跨站漏洞。
4、严格检查refer
检查httprefer是否来自预料中的url。这可以阻止第2类攻击手法发起的http请求,也能防止大部分第1类攻击手法,除非正好在特权操作的引用页上种了跨站访问。
5、将单步流程改为多步,在多步流程中引入效验码
多步流程中每一步都产生一个验讠正码作为hidden表单元素嵌在中间页面,下一步操作时这个验讠正码被提交到服务器,服务器检查这个验讠正码是否匹配。首先这为第1类攻击者大大增加了麻烦。其次攻击者必须在多步流程中拿到上一步产生的效验码才有可能发起下一步请求,这在第2类攻击中是几乎无法做到的。
6、引入用户交互
简单的一个看图识数可以堵住几乎所有的非预期特权操作。
7、只在允许anonymous访问的地方使用动态的javascript。
8、对于用户提交信息的中的img等link,检查是否有重定向回本站、不是真的图片等可疑操作。
9、内部管理网站的问题
很多时候,内部网站往往疏于关注安全问题,只是简单的限制访问来源。这种网站往往对XSS攻击毫无抵抗力,需要多加注意。
虽然XSS的攻击很灵活,只要我们能做好上述几点,是可以组织大部分XSS的,再及时打好补丁可以最大程度的减少来自跨站脚本攻击XSS的威胁。
0x04关于XSS的一些绕过
改变大小写
在测试过程中,我们可以改变测试语句的大小写来绕过XSS规则:
比如:<script>alert(“xss”);</script>可以转换为:<ScRipt>ALeRt(“XSS”);</sCRipT>
关闭标签
有时候我们需要关闭标签来使我们的XSS生效。
比如:"><script>alert("xss");</script>
使用hex编码绕过
我们可以对我们的语句进行hex编码来绕过XSS规则
比如:<script>alert("xss");</script>可以转换为:%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%22%78%73%73%22%29%3b%3c%2f%73%63%72%69%70%74%3e
绕过magic_quotes_gpc
magic_quotes_gpc=ON是php中的安全设置,开启后会把一些特殊字符进行轮换,比如'(单引号)转换为\',"(双引号)转换为\",\转换为\\
比如:<script>alert("xss");</script>会转换为<script>alert(\"xss\");</script>,这样我们的xss就不生效了。
针对开启了magic_quotes_gpc的网站,我们可以通过javascript中的String.fromCharCode方法来绕过,我们可以把alert(“XSS”);转换为
String.fromCharCode(97, 108, 101, 114, 116, 40, 34, 88, 83, 83, 34,41)那么我们的XSS语句就变成了
<script>String.fromCharCode(97, 108, 101, 114, 116, 40, 34, 88,83, 83, 34, 41, 59)</script>
String.fromCharCode()是javascript中的字符串方法,用来把ASCII转换为字符串。
最后使用<script>转换后的放到这里</script>包含即可。
利用<>标记注射Html/Javascript
如果用户能随心所欲引入<>标记,那他就能操作HTML标记,然后就能通过<script>标签插入JS恶意脚本了,例如:
<script>alert('XSS');</script>
当然如果对”<>”和script等进行了过滤,上面这个就无法执行了
利用HTML标签属性值执行XSS
很多HTML标记中的属性都支持javascript:[code]伪协议的形式,这就给了注入XSS可乘之机,例如:
<img src = "javascript:alert('xss');">
这里即便对传入的参数过滤了<>,XSS还是能发生(前提是该标签属性需要引用文件)
空格/回车/Tab
假设过滤函数进一步又过滤了javascript等敏感字符串,只需对javascript进行小小的操作即可绕过,例如:
<img src= "java script:alert('xss');" width=100>
这里之所以能成功绕过,其实还得益于JS自身的性质:Javascript通常以分号结尾,如果解析引擎能确定一个语句时完整的,且行尾有换行符,则分号可省略
而如果不是完整的语句,javascript则会继续处理,直到语句完整结束或分号。
像<img src= "javascript: alert(/xss/); width=100> 同样能绕过
对标签属性值进行转码
过滤严谨的函数很可能对标签也进行了严格的控制,但是如果用其他形式表示标签,脚本仍能解析却可以绕过过滤
常见的编码方式有:HTML实体编码(&#ASCII),十进制、十六进制、八进制编码,unicode编码及escape编码及使用String.fromCharCode(…)绕过
因此<img src= "javascriptt&#alert(/xss/);">可以实现绕过
另外还可以把、、	等字符插入代码的头部或任意地方
产生自己的事件
如果不能依靠属性进行跨站,那么还可以利用事件处理函数
<input type = "button" value = "clickme" οnclick="alert('click me')" />
事件既能让JS脚本运行,自然也可以执行跨站,另外像onerror、onMouseover等都可利用的是事件处理函数
利用CSS跨站剖析
之所以说CSS样式表是个很不错的载体,是因为CSS不需要嵌入到HTML代码中,可以直接从文件或其他地方进行引用. 另外CSS同样隐蔽、灵活,不过不同
浏览器之间不能通用,如:
1 | <div style = "list-style-image:url(javascript:alert(‘xSS‘))"> |
绕过过滤规则
大小写混用:<iMgSRC = "JavaScript:alert(0);">
不使用引号或者构造全角字符也能扰乱过滤规则
还有像CSS中/**/会被浏览器忽略,\和\0同样或被浏览器忽略,同样可以用来绕过:
<img src ="java/*javascript:alert('xss')*/script:alert(1);">
充分利用字符编码
上面说到过编码,这里加以补充,除了像&#ASCII,其实也可以采用�、�、�等形式,同样j的形式也是可以的
<script>eval("\61\6c\65......");<script>
如果使用eval执行10进制形式的脚本则需要配合string.fromcharcode()使用
拆分跨站法
拆分跨站就是像shellcode一样,遇到长度限制不能按正常方式跨站时,通过引入变量多次提交将之连接起来实现跨站,例如:
1 | <script>z=‘document.‘</script> |
……
<script>eval(z)</script>
另外除了像上面多次提交,也可以引用其他变量如:eval(qUserInfo.spaceName)形式,由于qUserInfo.spaceName是可控变量,因此改变其值就可以绕过长度限制了
0x05 一些Payload
这里放一些由事件触发的payload 自己拿这些事件做了下实验还是挺好玩的
FUZZ思路就是选弹框不一样payload直接全放进去一般指富文本编辑器或者留言框 其他的就用爆破把 注意线程就好了
还有要强力推荐一下BlueLotus_XSS平台 dockerfile很方便 平台很好用 里面有一部分payload模板也可以自己去写一些模板然后生成js文件
一些网上也提供xss平台 他们有大量的payload而且服务器是一直开着的对我们盲打xss有很大的优势
还有一个flash钓鱼 伪造flash页面一些管理员安全意识不强会进入钓鱼页面 下载我们伪造的文件 直接上线主机 远控一般用CS
1 | 其实所有经过Unicode编码的payload都不需要双引号和分号就可以执行 而转化为ascii转化为十六进制后就不行 |