DVWA-反射型XSS

0x01 XSS介绍

XSS，全称Cross Site Scripting，即跨站脚本攻击，某种意义上也是一种注入攻击，是指攻击者在页面中注入恶意的脚本代码，当受害者访问该页面时，恶意代码会在其浏览器上执行，需要强调的是，XSS不仅仅限于JavaScript，还包括flash等其它脚本语言。根据恶意代码是否存储在服务器中，XSS可以分为存储型的XSS与反射型XSS。

DOM型的XSS由于其特殊性，常常被分为第三种，这是一种基于DOM树的XSS。例如服务器端经常使用document.boby.innerHtml等函数动态生成html页面，如果这些函数在引用某些变量时没有进行过滤或检查，就会产生DOM型的XSS。DOM型XSS可能是存储型，也可能是反射型。

0x02 Low级别

代码如下：

<?php

header ("X-XSS-Protection: 0");//header函数向客户端发送原始的HTTP报头，这一句的作用是禁用XSS保护。

// 判断是否有输入。array_key_exists函数用于检查键名是否存在于数组中。
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
    // 将最终的信息反馈给用户
    echo '<pre>Hello ' . $_GET[ 'name' ] . '</pre>';
}

?> 

简单的输入<script>alert(/xss/)</script>即可。

0x03 Medium级别

代码如下：

<?php

header ("X-XSS-Protection: 0");//禁用XSS保护

// 判断输入。
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
    // 获取输入。将<script>替换为空
    $name = str_replace( '<script>', '', $_GET[ 'name' ] );

    // 同low级别
    echo "<pre>Hello ${name}</pre>";
}

?> 

绕过方法：<sc<script>ript>alert(/xss/)</script>或者可以大小写绕过<Script>alert(/xss/)</script>，因为str_replace函数对大小写敏感。

0x04 High级别

代码如下：

<?php

header ("X-XSS-Protection: 0");

// 同以上两个级别
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
    // 获取输入。preg_replace函数用于执行一个正则表达式的搜索和替换。
    $name = preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $_GET[ 'name' ] );

    // 同以上两个级别
    echo "<pre>Hello ${name}</pre>";
}

?> 

绕过方法：<img src='1' onerror=alert(/xss/)>不用script，可以用其他的代码。

0x05 Impossible级别

代码如下：

<?php

// 判断是否有输入
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
    // 检查token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // 获取输入。htmlspecialchars函数把预定义的字符转换为HTML实体。
    $name = htmlspecialchars( $_GET[ 'name' ] );

    // 给用户的反馈
    echo "<pre>Hello ${name}</pre>";
}

// 生成token
generateSessionToken();

?> 

0x06 总结

反射型XSS防御：

1.过滤用户输入

2.使用htmlspecialchar()过滤

3.使用owasp等安全xss处理API