Web安全 - XSS漏洞

XSS Cross Site Scripting

一、原理

XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点，进而添加一些恶意的脚本代码（HTML、JavaScript）到Web页面中去，使别的用户访问都会执行相应的嵌入代码。

XSS实际上是利用用户对站点的信任。

危害

Cookie窃取，Session劫持，钓鱼攻击，蠕虫，DDos等。

二、分类

1. 反射型 Reflected XSS

非持久化，用户在页面输入框中输入数据，通过GET或者POST方法向服务器端传递数据，输入的数据一般是放在URL的Query string中，或者是form表单中，如果服务端没有对这些数据进行过滤、验证或者编码，直接将用户输入的数据呈现出来，就可能会造成反射型XSS。

黑客通常通过构造一个包含XSS代码的URL，诱导用户点击链接，触发XSS代码，达到劫持访问、获取 Cookie的目的。

2. 存储型 Stored XSS

持久化，通常是因为服务器端将用户输入的恶意脚本没有经过验证就存储在数据库中，并且通过调用数据库的方式，将数据呈现在浏览器上，当页面被用户打开的时候执行，每当用户打开浏览器，恶意脚本就会执行。存储型的XSS攻击相比反射型的危害性更大，因为每当用户打开页面，恶意脚本都会执行。

3. DOM型 DOM XSS

DOM (Document Object Model)，全称：文档对象模型，是中立于平台和语言的接口，它允许程序和脚本动态地访问和更新文档的内容、结构和样式。

DOM型XSS其实是一种特殊类型的反射型XSS，它是基于DOM文档对象模型的一种漏洞。可以通过DOM来动态修改页面内容，从客户端获取DOM中的数据并在本地执行。基于这个特性，就可以利用JS脚本来实现XSS漏洞的利用。

容易导致DOM型的XSS的输入源包括：
Document.URL
Document.referrer
Document.cookie
Window.name
Location.[pathname|href|search|hash]
localStorage/globalStorage

DVWA代码分析：http://www.freebuf.com/articl...

三、攻击

1. 绕过XSS-Filter，利用 <> 标签注入 HTML/JavaScript 代码；
2. 利用HTML标签的属性值进行XSS攻击。例如：；（当然并不是所有的Web浏览器都支持Javascript伪协议，所以此类 XSS 攻击具有一定的局限性）
3. 空格、回车和Tab。如果XSS Filter仅仅将敏感的输入字符列入黑名单，比如javascript，用户可以利用空格、回车和Tab键来绕过过滤，例如：；
4. 利用事件来执行跨站脚本。例如：，当src错误，就会执行onerror事件；
5. 利用CSS跨站。例如：body {backgrund-image: url(“javascript:alert(‘xss’)”)}；
6. 扰乱过滤规则。例如：；
7. 利用字符编码，通过这种技巧，不仅能让XSS代码绕过服务端的过滤，还能更好地隐藏Shellcode；（JS支持unicode、eacapes、十六进制、十进制等编码形式）；
8. 拆分跨站法，将XSS攻击的代码拆分开来，适用于应用程序没有过滤XSS关键字符（如<、>）却对输入字符长度有限制的情况下；
9. DOM型XSS主要是由客户端的脚本通过DOM动态地输出数据到页面上，它不依赖于提交数据到服务器，而是从客户端获得DOM中的数据在本地执行。

获取Cookie Payload：

http://www.example.com/search?keyword=

四、防御

1、使用 XSS Filter
针对用户提交的数据进行有效的验证，只接受我们规定的长度或内容的提交，过滤掉其他的输入内容。比如：
表单数据指定值的类型：年龄只能是 int 、name 只能是字母数字等。
过滤或移除特殊的 html 标签：