XSS基礎學習

By：Mirror王宇陽

什么是XSS

XSS攻擊是指在網頁中嵌入一段惡意的客戶端Js腳本代碼片段，JS腳本惡意代碼可以獲取用戶的Cookie、URL跳轉、內容篡改、會話劫持……等，

xss攻擊手段本身對服務端沒有直接的危害，xss主要是借助網站傳播；一般通過留言板、郵件、等其他途徑向受害者發送一段惡意的URL，受害者通過訪問該惡意URL可能會導致惡意的xss腳步會在受害者的客戶端瀏覽器中執行，實作自己的目的

XSS的攻擊類別分為：反射型、存盤型、DOM型等三大類攻擊類別，

反射型XSS

反射型XSS會把用戶輸入的資料直接回傳給頁面，是一種非持久型攻擊；這型別的xss是最為常見的，主要的利用方法就是惡意腳本添加到引數（URL）發送給用戶誘騙用戶點擊后反射資料給頁面，

頁面原始碼

<!DOCTYPE html>
<html>
	<head>
		<meta charset="utf-8">
		<title>XSS | 反射型</title>
	</head>
	<body>
		<form action="xss.php" method="GET">
			<h2>xss反射型注入攻擊測驗</h2>
			<span>測驗陳述句：</span>
			<input type="text" name="name">
			<input type="submit" value=https://www.cnblogs.com/wangyuyang1016/p/"提交">

后臺原始碼

<!DOCTYPE html>
<html>
<head>
	<meta charset="utf-8">
	<title>Text page | Return</title>
</head>
<body>
	<h2>反射型測驗頁面</h2>
	<?php
		echo $_GET["name"];
	?>
</body>
</html>

原始碼分析

我們輸入的內容會被執行并嵌入在HTML頁面中；$_GET['name']會觸發js惡意代碼并嵌入HTML頁面中，
測驗
- 正常頁面
- XSS測驗
- 結果發現：我們在輸入text框中寫入了一個Js代碼，代碼直接被執行并嵌入在HTML頁面中；眾所周知，Js代碼和HTML代碼直接暴露在客戶端，一旦寫入的Js代碼可以被執行并嵌入在HTML頁面中即視為存在XSS攻擊，
惡意利用

我們通過向受害者發送如下的惡意URL就可以實作在用戶客戶端執行該惡意js腳本；
```
http://127.0.0.1/xss/xss.php?name=<script>alert('XSS測驗結果');</script>
```
攻擊者還會將URL進行各式各樣的加密轉換的處理，最大程度的減少URL惡意腳本的暴露；

存盤型XSS

存盤型XSS是一種持久的xss攻擊類別，攻擊者將惡意腳本植入到服務端資料庫或長期的嵌入在HTML頁面中；當用戶符合觸發條件后就會觸發Js的xss惡意腳本，

存盤型的xss通常會存盤在客戶端或資料庫中，當用戶訪問頁面即觸發xss，

存盤型的xss不需要構造URL誘騙用戶去點擊，大大的減少暴露和增加隱秘性，

創建資料庫和表

create table text(
	uid int(10) not null auto_increment primary key,
    title varchar(20) null,
    content text(100) null
)engine=innodb default charset=utf8;

HTML頁面原始碼

<!DOCTYPE html>
<html>
<head>
	<meta charset="utf-8">
	<title>xss | 存盤型</title>
</head>
<body>

	<form action="xss_storage.php" method="POST">
	<span>
		<h2>xss|存盤型測驗</h2>
		<h3>留言板測驗</h3>
	</span>
	主題:<input type="text" name="title"></br>
	留言:<textarea name="content">
			</textarea><!-- 文本域留言 -->
			<input type="submit" name="提交">

	</form>
</body>
</html>

PHP后臺原始碼

<!DOCTYPE html>
<html>
<head>
	<meta charset="utf-8">
	<title>xss | 存盤型</title>
</head>
<body>


	<!-- create databases xss_text 創建資料庫-->
	<?php
		$conn = mysqli_connect("127.0.0.1","root","root","xss_text") or die("資料庫連接錯誤".mysqli_error());
		// set names utf-8 -- 寫入資料庫采用的編碼(utf-8)
		mysqli_query($conn, 'set names utf-8');
		
		if (isset($_POST["title"])) {
			$title = $_POST["title"];
			$content = $_POST["content"];
			//向資料庫添加 title content 兩欄位的內容
			$sql = "INSERT INTO `xss_text`.`text` (`uid`, `title`, `content`) VALUES (NULL, '$title', '$content')";
			echo $sql;
			$result_1 = mysqli_query($conn,$sql);
			// 頁面回顯/查詢資料
			$result_2 = mysqli_query($conn , "select * from text");

			echo "<table boreder='1'><tr><td>標題</td><td>內容</td></tr>";

			while($row = mysqli_fetch_array($result_2, MYSQLI_BOTH)) {
				echo "<tr><td>" . $row['title']. "</td><td>" .$row['content']. "</td>";
			}
			echo "</table>";
			echo $row['title'];
		}

	?>
</body>
</html>

分析

當用戶在content寫入一個可執行惡意js腳本的標簽即可程序xss例如：<input type="button" value=https://www.cnblogs.com/wangyuyang1016/p/"xss" onclick="alert(xss)"/>，提交查詢后內容就會寫入在資料庫中，在資料庫的查詢結果回顯至頁面后就可以觸發了，這里舉兩個例子，一個是手動觸發，一個是自動加載觸發，
測驗

這是寫入一個input標簽，滑鼠點擊事件可執行一個js腳本即一個彈窗，

這里是寫入了一個img標簽但是標簽src無索引會錯誤error，由此觸發onerror屬性執行js；也可以使用其他類似于onload屬性……

測驗程序中發現單引號無法存入資料庫，原因本小白也是半懂不懂；在sql執行的寫入的時候單引號會被轉義，對此可以嘗試雙單引號來實作最后也會以單引號的陳述句保存在表中，

DOM型xss

基于DOM的XSS攻擊手段，效果上和反射型XSS類似；通過修改頁面的DOM節點形成XSS，

DOM規定：

一個檔案就是一個檔案節點
每個HTML標簽就是一個元素節點
包含在HTML元素中的文本是文本節點
每一個HTML屬性是一個屬性節點
節點與節點之間都有等級關系

測驗原始碼

<!DOCTYPE html>
<head> 
    <meta charset='utf-8'>
    <title>xss | DOM</title>
</head>
<body>
    <h1>
        XSS - DOM攻擊測驗頁面
    </h1>
    <script type="text/javascript">
    	function xss() {
    		var str = document.getElementById("xss").value;
    		document.getElementById("demo").innerHTML = "<a href = 'https://www.cnblogs.com/wangyuyang1016/p/"+str+"'>超鏈接</a>";
    	}
 
    </script>
    <div id = "demo">
        測驗區域
    </div>

    <div>
    xss測驗：
    	<input type="text" id="xss" />
    	<input type="button" id="a" value=https://www.cnblogs.com/wangyuyang1016/p/"提交" onclick="xss()" />

XSS常見測驗陳述句

XSS繞過思路

命名物體：命名以 “&” 開頭，分號結尾；參考：物體編碼字符

XSS檢測

使用手動檢測可以最大精確化，但是對于大型的web應用是困難的是；最首要的重要就是哪里有輸入、輸入的結果輸出的地方，

手工檢測XSS要使用特殊意義的字符，這樣可以快速的測驗是否存在XSS；

xss利用方式

Cookie竊取

Cookie時能夠讓網站服務器吧少量的文本資料存盤到客戶端的硬碟或記憶體中，用于維持HTTP無狀態協議導致的可持續網站會話；

setcookie(name,value,expire,path,domain,secure) # 引數定義 name 必需，規定 cookie 的名稱， value 必需，規定 cookie 的值， expire 可選，規定 cookie 的有效期，若是洗掉一個cookie則可以設定時間為過去時 path 可選，規定 cookie 的服務器路徑， domain 可選，規定 cookie 的域名， secure 可選，規定是否通過安全的 HTTPS 連接來傳輸 cookie，注釋：可以通過 $HTTP_COOKIE_VARS["user"] 或 $_COOKIE["user"] 來訪問名為 "user" 的 cookie 的值，注釋：在發送 cookie 時，cookie 的值會自動進行 URL 編碼，接收時會進行 URL 解碼，如果你不需要這樣，可以使用 setrawcookie() 代替，

<!DOCTYPE html> <html> <head> <meta charset="utf-8"> <title>XSS | 反射型</title> </head> <body> <form action="xss.php" method="GET"> <h2>xss反射型注入攻擊測驗</h2> <span>測驗陳述句：</span> <input type="text" name="name"> <input type="submit" value=https://www.cnblogs.com/wangyuyang1016/p/"提交"> <?php $COOKIE="XSS獲取COOKIE測驗"; setcookie("xss_cookie",$COOKIE); echo "COOKIE設定成功"; ?>

常規防御XSS

字符過濾

function xss_clean($data){ // Fix &entity＼n; $data=https://www.cnblogs.com/wangyuyang1016/p/str_replace(array('&','<','>'),array('&','<','>'),$data); $data=https://www.cnblogs.com/wangyuyang1016/p/preg_replace('/(&#*＼w+)[＼x00-＼x20]+;/u','$1;',$data); $data=https://www.cnblogs.com/wangyuyang1016/p/preg_replace('/(&#x*[0-9A-F]+);*/iu','$1;',$data); $data=https://www.cnblogs.com/wangyuyang1016/p/html_entity_decode($data,ENT_COMPAT,'UTF-8'); // Remove any attribute starting with "on" or xmlns $data=https://www.cnblogs.com/wangyuyang1016/p/preg_replace('#(<[^>]+?[＼x00-＼x20"＼'])(?:on|xmlns)[^>]*+>#iu','$1>',$data); // Remove javascript: and vbscript: protocols $data=https://www.cnblogs.com/wangyuyang1016/p/preg_replace('#([a-z]*)[＼x00-＼x20]*=[＼x00-＼x20]*([`＼'"]*)[＼x00-＼x20]*j[＼x00-＼x20]*a[＼x00-＼x20]*v[＼x00-＼x20]*a[＼x00-＼x20]*s[＼x00-＼x20]*c[＼x00-＼x20]*r[＼x00-＼x20]*i[＼x00-＼x20]*p[＼x00-＼x20]*t[＼x00-＼x20]*:#iu','$1=$2nojavascript...',$data); $data=https://www.cnblogs.com/wangyuyang1016/p/preg_replace('#([a-z]*)[＼x00-＼x20]*=([＼'"]*)[＼x00-＼x20]*v[＼x00-＼x20]*b[＼x00-＼x20]*s[＼x00-＼x20]*c[＼x00-＼x20]*r[＼x00-＼x20]*i[＼x00-＼x20]*p[＼x00-＼x20]*t[＼x00-＼x20]*:#iu','$1=$2novbscript...',$data); $data=https://www.cnblogs.com/wangyuyang1016/p/preg_replace('#([a-z]*)[＼x00-＼x20]*=([＼'"]*)[＼x00-＼x20]*-moz-binding[＼x00-＼x20]*:#u','$1=$2nomozbinding...',$data); // Only works in IE: <span style="width: expression(alert('Ping!'));"></span> $data=https://www.cnblogs.com/wangyuyang1016/p/preg_replace('#(<[^>]+?)style[＼x00-＼x20]*=[＼x00-＼x20]*[`＼'"]*.*?expression[＼x00-＼x20]*＼([^>]*+>#i','$1>',$data); $data=https://www.cnblogs.com/wangyuyang1016/p/preg_replace('#(<[^>]+?)style[＼x00-＼x20]*=[＼x00-＼x20]*[`＼'"]*.*?behaviour[＼x00-＼x20]*＼([^>]*+>#i','$1>',$data); $data=https://www.cnblogs.com/wangyuyang1016/p/preg_replace('#(<[^>]+?)style[＼x00-＼x20]*=[＼x00-＼x20]*[`＼'"]*.*?s[＼x00-＼x20]*c[＼x00-＼x20]*r[＼x00-＼x20]*i[＼x00-＼x20]*p[＼x00-＼x20]*t[＼x00-＼x20]*:*[^>]*+>#iu','$1>',$data); // Remove namespaced elements (we do not need them) $data=https://www.cnblogs.com/wangyuyang1016/p/preg_replace('#</*＼w+:＼w[^>]*+>#i','',$data); do{// Remove really unwanted tags $old_data=$data; $data=https://www.cnblogs.com/wangyuyang1016/p/preg_replace('#</*(?:applet|b(?:ase|gsound|link)|embed|frame(?:set)?|i(?:frame|layer)|l(?:ayer|ink)|meta|object|s(?:cript|tyle)|title|xml)[^>]*+>#i','',$data); }while($old_data!==$data); // we are done... return $data; }

<?php //php防注入和XSS攻擊通用過濾. //by qq:831937 $_GET && SafeFilter($_GET); $_POST && SafeFilter($_POST); $_COOKIE && SafeFilter($_COOKIE); function SafeFilter (&$arr) { $ra=Array('/([\x00-\x08,\x0b-\x0c,\x0e-\x19])/','/script/','/javascript/','/vbscript/','/expression/','/applet/','/meta/','/xml/','/blink/','/link/','/style/','/embed/','/object/','/frame/','/layer/','/title/','/bgsound/','/base/','/onload/','/onunload/','/onchange/','/onsubmit/','/onreset/','/onselect/','/onblur/','/onfocus/','/onabort/','/onkeydown/','/onkeypress/','/onkeyup/','/onclick/','/ondblclick/','/onmousedown/','/onmousemove/','/onmouseout/','/onmouseover/','/onmouseup/','/onunload/'); if (is_array($arr)) { foreach ($arr as $key => $value) { if (!is_array($value)) { if (!get_magic_quotes_gpc())//不對magic_quotes_gpc轉義過的字符使用addslashes(),避免雙重轉義， { $value = https://www.cnblogs.com/wangyuyang1016/p/addslashes($value); //給單引號（'）、雙引號（"）、反斜線（\）與NUL（NULL字符）加上反斜線轉義 } $value = https://www.cnblogs.com/wangyuyang1016/p/preg_replace($ra,'',$value); //洗掉非列印字符，粗暴式過濾xss可疑字串 $arr[$key] = htmlentities(strip_tags($value)); //去除 HTML 和 PHP 標記并轉換為HTML物體 } else { SafeFilter($arr[$key]); } } } } ?>

HttpOnly Cookie

當一個Cookie在Set-cookie訊息頭中被標明為HttpOnly時，客戶端的js是不可以直接訪問該cookie的，

客戶端預防

用戶在訪問網站的時候為了防止惡意腳本在自己的客戶端上唄執行，也可以在瀏覽器上安裝一個插件，利用插件的功能來禁止頁面的腳本執行，