0x00 原理

xss全稱為cross site scripting，中文為跨站指令碼攻擊。它允許web使用者將惡意程式碼植入到提供給使用者使用的頁面。程式碼包括HTML程式碼和客戶端指令碼。

0x01 危害

盜取使用者賬戶(獲取cookie)
控制網頁資料
盜竊企業資料
非法轉賬
強制傳送電子郵件
網站掛馬
控制受害者機器向其他網站發起攻擊

0x02 xss類別以及程式碼實現

0x02.1 反射型xss

反射型xss也叫非永續性xss，是一種常見的xss漏洞，但是危害較小。

後端程式碼

<?php

  highlight_file('reflect_xss.php');

  $user=$_GET['user'];

  echo $user;

?>

前端測試

可以看到我們的js程式碼被直接插入進了頁面執行。

根據需求可以構造各種各樣的js程式碼

因為沒設定cookie 所以不彈cookie

0x02.2 儲存型xss

儲存型xss也被稱做持久型xss，儲存xss是最危險的一種跨站指令碼。它被伺服器接收並儲存，使用者訪問該網頁，這段xss就會被讀取出來到瀏覽器。

一般出現在留言板

後端程式碼(拆了dvwa的xss儲存做測試)

<?php

if( isset( $_POST[ 'btnSign' ] ) ) {

	// Get input

	$message = trim( $_POST[ 'mtxMessage' ] );

	$name    = trim( $_POST[ 'txtName' ] );

	// Sanitize message input

	$message = stripslashes( $message );

	$message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

	// Sanitize name input

	$name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

	// Update database

	$query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";

	$result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

	//mysql_close();

}

?>

審計原始碼我們可以發現，先檢測了使用者是否輸入，然後對輸入的名字和內容進行檢測，最後將值插入到資料庫中

前端測試

在當前頁面重新整理後，會重新進行sql查詢，將查詢到的結果返回到頁面上。

所以可以通過這種方式去獲取他人cookie，實現登入他人賬號。

0x02.3 dom型xss

dom型xss只發生在客戶端處理資料階段，可認為dom型xss就是出現在javascript中的漏洞。

前端程式碼

<html>

<head>

<title>aa</title>

</head>

<body>

<script>

	var temp=document.URL;

	var index=document.URL.indexOf("content=")+4;

	var par=temp.substring(index);

	document.write(decodeURI(par));

</script>

</body>

</html>

關鍵是script標籤下的程式碼，因為用到了document.write 使得使用者輸入的程式碼被寫入到了頁面上。

前端測試

0x03 xss常見payload中用到的標籤

<script>

<a>

<p>

<img>

<body>

<button>

<var>

<div>

<iframe>

<object>

<input>

<select>

<textarea>

<keygen>

<frameset>

<embed>

<svg>

<math>

<video>

<audio>

<style>

0x04 xss常見payload中用到的事件

onload

onunload

onchange

onsubmit

onreset

onselect

onblur

onfocus

onabort

onkeydown

onkeypress

onkeyup

onclick

ondbclick

onmouseover

onmousemove

onmouseout

onmouseup

onforminput

onformchange

ondrag

ondrop

0x05 xss常見payload中用到的屬性

formaction

action

href

xlink:href

autofocus

src

content

data

0x06 xss繞過的一些技巧

屬性與屬性之間需要空格，而屬性與標籤之間可以不用

xss-程式碼角度理解與繞過filter

xss-程式碼角度理解與繞過filter

0x00 原理

0x01 危害

0x02 xss類別以及程式碼實現

0x02.1 反射型xss

0x02.2 儲存型xss

0x02.3 dom型xss

0x03 xss常見payload中用到的標籤

0x04 xss常見payload中用到的事件

0x05 xss常見payload中用到的屬性

0x06 xss繞過的一些技巧

xss-程式碼角度理解與繞過filter

xss-程式碼角度理解與繞過filter

0x00 原理

0x01 危害

0x02 xss類別以及程式碼實現

0x02.1 反射型xss

0x02.2 儲存型xss

0x02.3 dom型xss

0x03 xss常見payload中用到的標籤

0x04 xss常見payload中用到的事件

0x05 xss常見payload中用到的屬性

0x06 xss繞過的一些技巧

最新文章