XSS漏洞及复现

一、什么是XSS

跨站脚本( Cross-site Scripting )攻击，攻击者通过网站输入框输入payload(脚本代码 )，当用户访问网页时，恶意payload自动加载并执行，以达到攻击者目的( 窃取cookie、恶意传播、钓鱼欺骗等)为了避免与HTML语言中的CSS相混淆，通常称它为“XSS”。

二、XSS的分类

反射性

特点：只执行一次，非持久型

主要存在于攻击者将payload附加到url的参数中，服务端没有经过严格的过滤输出到用户浏览器中，导致恶意代码被执行。

防范思路

可以使用str_replace()函数区分大小写

preg_replace() 利用正则过滤标签（<script>）

htmlspecialchars(string) 将"<"，">"，"&"等转化为html实体，防止浏览器将其作为html元素

靶场复现

输入<script>alert(1)</script>测试发现只输出了alert(1)

查看源码得知，过滤了<script>标签，将script换成大写的SCRIPT，或者将标签换成<img>即可

存储型

特点：持久型

主要存在于攻击者将恶意脚本存储到服务器数据库中，当用户访问包含恶意相关数据的页面时，服务端未经严格过滤处理而输出在用户浏览器中，导致浏览器执行代码数据。

防范思路

trim(string[,charlist]) 移除字符串两侧的空白字符或预定义字符（\t，\n，\x0B，\r）

stripslashes(string) 移除字符串中的反斜杠

strip_tags(string,allow) 剥去字符串中的html、xml以及php的标签

靶场复现

在尝试<script>alert(1)</script>后，输出为alert(1)

查看源码发现对<script>标签进行了过滤，尝试换成大写或者使用别的标签进行注入

<?php
 
if( isset( $_POST[ 'btnSign' ] ) ) {
    // Get input
    $message = trim( $_POST[ 'mtxMessage' ] );
    $name    = trim( $_POST[ 'txtName' ] );
 
    // Sanitize message input
    $message = strip_tags( addslashes( $message ) );
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $message = htmlspecialchars( $message );
 
    // Sanitize name input
    $name = str_replace( '<script>', '', $name );
    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
 
    // Update database
    $query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
 
    //mysql_close();
}
 
?>

dom型

特点：通过JavaScript操作document，实现dom树的重构

简单来说DOM文档就是一份XML文档，当有了DOM标准之后，DOM便将前端html代码化为一个树状结构，方便程序和脚本能够轻松的动态访问和更新这个树状结构的内容、结构以及样式，且不需要经过服务端，所以DOM型xss在js前端自己就可以完成数据的输入输出，不与服务器产生交互，这样来说DOM型xss也可以理解为反射性xss。

DOM型与反射型和存储型的区别

前面两种都将数据提交到后台处理，但是dom直接在客户端执行

DOM型xss可以在前端通过js渲染来完成数据的交互，达到插入数据造成xss脚本攻击，且不经过服务器，所以即使抓包无无法抓取到这里的流量，而反射性与存储型xss需要与服务器交互，这便是三者的区别。

靶场复现

url栏里的default参数可修改

查看源代码，发现对<script>标签进行了不区分大小写的查找，并将结果返回为default=English，所以不使用script标签

<?php

// Is there any input?
if ( array_key_exists( "default", $_GET ) && !is_null ($_GET[ 'default' ]) ) {
	$default = $_GET['default'];
	
	# Do not allow script tags
	if (stripos ($default, "<script") !== false) {
		header ("location: ?default=English");
		exit;
	}
}

?>

使用img标签后发现并无弹窗