XSS 简介
XSS(Cross Site Script),全称跨站脚本攻击,为了与 CSS(Cascading Style Sheet) 有所区别,所以在安全领域称为 XSS。
XSS 攻击,通常指黑客通过 HTML 注入 篡改网页,插入恶意脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击行为。
DOM—based XSS漏洞的产生
DOM—based XSS漏洞是基于文档对象模型Document Objeet Model,DOM)的一种漏洞。DOM是一个与平台、编程语言无关的接口,它允许程序或脚本动态地访问和更新文档内容、结构和样式,处理后的结果能够成为显示页面的一部分。DOM中有很多对象,其中一些是用户可以操纵的,如uRI,location,refelTer等。客户端的脚本程序可以通过DOM动态地检查和修改页面内容,它不依赖于提交数据到服务器端,而从客户端获得DOM中的数据在本地执行,如果DOM中的数据没有经过严格确认,就会产生DOM—based XSS漏洞。
DOM简介
xss DOM
可能触发DOM型XSS的属性:
document.referer属性
window.name属性
location属性
innerHTML属性
documen.write属性
1 查看服务端代码
什么也没有
查看页面源代码
相关属性方法解释
1 document 和 windows 对象
document表示的是一个文档对象,window表示的是一个窗口对象,一个窗口下可以有多个文档对象。
所以一个窗口下只有一个window.location.href,但是可能有多个document.URL、document.location.href
window 对象
它是一个顶层对象,而不是另一个对象的属性即浏览器的窗口。
document 对象
该对象是window和frames对象的一个属性,是显示于窗口或框架内的一个文档。
document 只是属于window 的一个子对像。
window.location 包含 href 属性,直接取值赋值时相当于 window.location.href
window.location.href 当前页面完整 URL
document.location 包含 href 属性,直接取值赋值时相当于 document.location.href
document.location.href 当前页面完整 URL
document.href 没有这个属性
document.URL 取值时等价于 window.location.href 或 document.location.href。在某些浏览器中通过对 document.URL 赋值来实现页面跳转,但某些浏览器中不行。
2 indexOf()方法
定义和用法
indexOf() 方法可返回某个指定的字符串值在字符串中首次出现的位置。
indexOf(searchvalue,fromindex)
| 参数 | 描述 |
|---|---|
| searchvalue | 必需。规定需检索的字符串值。 |
| fromindex | 可选的整数参数。规定在字符串中开始检索的位置。它的合法取值是 0 到 stringObject.length - 1。如省略该参数,则将从字符串的首字符开始检索。 |
注释:indexOf() 方法对大小写敏感!
注释:如果要检索的字符串值没有出现,则该方法返回 -1
2 substring() 方法
substring() 方法用于提取字符串中介于两个指定下标之间的字符。
substring(start,stop)
| 参数 | 描述 |
|---|---|
| start 必需。 | 一个非负的整数,规定要提取的子串的第一个字符在 stringObject 中的位置。 |
| stop 可选。 | 一个非负的整数,比要提取的子串的最后一个字符在 stringObject 中的位置多 1。 |
| 如果省略该参数,那么返回的子串会一直到字符串的结尾。 |
decodeURI() 函数可对 encodeURI() 函数编码过的 URI 进行解码
document.write
document.write详解
document.write是JavaScript中对document.open所开启的文档流(document stream操作的API方法,它能够直接在文档流中写入字符串,一旦文档流已经关闭,那document.write就会重新利用document.open打开新的文档流并写入,此时原来的文档流会被清空,已渲染好的页面就会被清除,浏览器将重新构建DOM并渲染新的页面
解释script 代码
if (document.location.href.indexOf("default=") >= 0) #判断 "default=" 是否存在
var lang = document.location.href.substring(document.location.href.indexOf("default=")+8)
# 取出 default 的值 并 赋值给变量lang
document.write("<option value='" + lang + "'>" + decodeURI(lang) + "</option>");
写入<option value='"lang"'>"decodeURL(lang)</option>
所以我们插入的 javascript 代码可以在 decodeURL(lang) 被执行
构造攻击语句
http://127.0.0.1/dvwa-master/vulnerabilities/xss_d/?default=English<script>alert(/xss/);</script>
写入页面的效果是这样的
<option value='变量lang 的值'>English<script>alert(/xss/);</script></option>
Medium
查看服务端源代码
array_key_exists() 函数检查某个数组中是否存在指定的键名,如果键名存在则返回 true,如果键名不存在则返回 false。
提示:如果指定数组的时候省略了键名,将会生成从 0 开始并以 1 递增的整数键名
array_key_exists(key,array)
| 参数 | 描述 |
|---|---|
| key 必需 | 规定键名。 |
| array | 必需。规定数组 |
stripos() 函数查找字符串在另一字符串中第一次出现的位置(不区分大小写)
stripos(string,find,start)
| 参数 | 描述 |
|---|---|
| string 必需 | 规定被搜索的字符串。 |
| find 必需 | 规定要查找的字符。 |
| start 可选 | 规定开始搜索的位置。 |
| 返回值: | 返回字符串在另一字符串中第一次出现的位置,如果没有找到字符串则返回 FALSE。注释:字符串位置从 0 开始,不是从 1 开始。 |
header() 函数向客户端发送原始的 HTTP 报头
header(string,replace,http_response_code)
| 参数 | 描述 |
|---|---|
| string 必需 | 规定要发送的报头字符串。 |
| replace 可选 | 指示该报头是否替换之前的报头,或添加第二个报头。 |
| 默认是 true(替换)。false(允许相同类型的多个报头)。 | |
| http_response_code可选 | 把 HTTP 响应代码强制为指定的值。(PHP 4 以及更高版本可用) |
由服务端代码 可知 Medium 级别过滤了 <script>
构造攻击语句
http://127.0.0.1/dvwa-master/vulnerabilities/xss_d/?default=English</option></select><img src=1 onerror=alert(/xss/)>
写入页面的效果是这样的
<option value=''> English</option></select><img src=1 onerror=alert(/xss/)></option>
首先闭合了<option>标签 和 <select>标签
利用 img标签的onerror事件
javascript,img标签支持onerror 事件,在加载图像的过程中如果发生了错误,就会触发onerror事件
执行 JavaScript
high
查看服务端源代码
白名单 只允许 传的 default值 为 French English German Spanish 其中一个
构造攻击语句
http://www.dvwa.com/vulnerabilities/xss_d/?default=English #<script>alert(/xss/)</script>
写入页面的效果是这样的
<option value=''>English #<script>alert(/xss/)</script></option>
由于 form表单提交的数据 想经过JS 过滤 所以注释部分的javascript 代码 不会被传到服务器端(也就符合了白名单的要求)
我们写一个html 验证一下<option value=''>English #<script>alert(/xss/)</script></option>是否可行
impossible
服务端源代码
不需要做任何事,在客户端处理
网页源代码变了
