摘要:持久型相当于存储型跨站脚本。这玩意儿涉及到一点和浏览器引擎解析的问题。说正事,是支持码形式的。的调用有几个概念我们先来了解一下。本来说的只用天完成的,没想到各种事儿拖了两天,。
前些时间准备面试的时候一直会遇到这个XSS,寥寥几句话好像很简单,后来看到同学的《XSS跨站脚本攻击剖析与防御》这本书,稍微翻看了一下,其中的学问还是挺多的。这系列的文章就当做读书笔记吧。
什么是XSS听过很多道理,当然很多人都已经知道XSS是个啥,跨站脚本(Cross-Site Scripting),由于它前面有个老大哥CSS摆在那儿,就只能叫XSS了。官方是这么说的"A cross-site scripting vulnerability may be used by attackers to bypass access controls such as the same-origin policy."“一种可能会被攻击者用来 通过 比如同源策略 来获取用户权限的跨站脚本。”
通俗点来说,比如你在浏览百度的时候,假设百度没做任何安全策略(当然这是不可能的),攻击者对百度的登陆按钮做了点修改,你登陆的时候,它把你登陆的信息都发送到攻击者那儿去了,GG,2个T的学习资料没了。这还算好的,给你的花旗银行网站来个这玩意,2个亿没了。
也叫做非持久性、参数性跨站脚本,顾名思义,攻击者制作了一个含有恶意代码的url,比如
http://www.test.com/search.ph...=">
(这个算恶意比较小的,要是在里面获取你的cookie
然后攻击者给你发了个链接,“大胸妹妹正在直播,邀请您观看。”
大家可以搭个DVWA自己玩一下嘛,别的漏洞也有,就是别用太高级的浏览器,这时候深恶痛绝的IE就该上场了,时候表演真正的技术了。
“我不服,就这URL我还不一眼就看出来有毛病?”
“http%3A//www.test.com/search.php%3Fkey%3D%22%3Cscript%3Ealert%28%22xss%22%29%3C/script%3E%22,继续装逼。”
相当于存储型跨站脚本。
来看看有什么效果(想想还有点小激动呢)
当然了这不是你的锅,但如果这个网站是你搭的,那你等着GG吧。如果这个玩意儿一直没有被搞掉,而攻击者给你来了10000个这样的评论,每一次刷新后都会来10000下,想想会发生什么吧。
XSS构造剖析 绕过XSS-Filter当然大部分的程序员儿是不会像我这么挫的,正常情况下基本都会在Web应用中设计一个XSS Filter,一些白名单、黑名单什么的来过滤掉大胸妹。那有没有能过滤掉所有大胸妹的Filter呢?
我们有很多绕过Filter的方法:
1)利用<>标记注射代码前面我们写的大胸妹,哦不是,代码都是这样的,不多说了。
2)利用HTML标签属性执行XSS这玩意儿呢对我们这些使用Canary、Nighty的人来说是没有任何威胁的?,当然对一些非功能需要还在使用IE6的山顶洞人还是有点威胁的。
3)空格回车Tab加入你在你的黑名单里加了"javascript",然后说这下没办法来写脚本了吧。对不起,没用。再次GG。这玩意儿涉及到一点js和浏览器引擎解析的问题。我们知道
var a = daxiongmei var b = "kan na ge daxiongmei"
这样虽然没有分号不像我们这些规范的程序员的编程习惯,但它是没毛病的而且很Geek,那这样呢?
var a = "kan na ge daxiongmei; alert(a);
也是可以的!因为引擎并不会把换行符看成一个完整语句的终点(上面的可以是因为引擎已经意识到一个完整的语句了),它会继续处理后面发现的内容,知道一个分号出现或者这个语句变成一个完整的语句。
4)对标签属性值转码那我处理输入的时候.split(" ").join("")行了吧,对不起还是不行。
还记得大写字母A的ASCII码是多少吗,不记得先向你的老师说声对不起又还给您了。
说正事,HTML是支持ASCII码形式的。我们把上面的代码换成这样。
