xss学习笔记(萌新版)

xss简介

xss攻击者构造恶意信息然后在用户的浏览器上执行，主要分为反射性xss，这种主要是某个页面存在有漏洞的参数，然后填上恶意参数把整个链接发给用户或者管理员，他们点击了带有恶意参数的链接就会执行恶意代码，可能会造成cookie泄露以及浏览器保存的各种重要数据的泄露等，也可能会冒充用户身份进行非法操作。还有存储型xss，就是用户可以自己构造信息并且会被显示在页面上面，比如发表评论就是会被存在数据库中，然后其他用户也能看到你发的评论信息，或者你的个人信息，也会被保存同时别人也能看到这些信息，要是没有对用户输入进行过滤或者编码转义等操作，那用户可以构造任意js代码并且任何浏览这个页面的用户都会中招。还有就是dom型xss，这个特点是不会经过网站服务器，是直接浏览器执行恶意的xss代码。

xss绕过

xss防护的最好办法就是编码，你输入的尖括号就实体编码，就基本没法构造标签了（特殊情况除外，比如svg标签外），又或者输出的值在value等属性里，那就对引号进行url编码操作，又或者直接进行白名单过滤，只允许数字字母和短横线，这些方法都是比较粗暴简单也是比较安全的，当然在有些业务需求下面并不适用，有的时候会需要输入特殊符号，那就只能进行严格的黑名单过滤，这种的话一定要把所有危险的字符串都过滤掉才行。

有的网站开发者并不清楚自己是否过滤了所有可能的危险字符，就直接使用waf，比如安全狗，当然这也不是完全安全的，存在很多绕过方法，比如双写大小写（实战基本用不到），使用其他标签（黑名单不一定能过滤完），以及利用特殊属性或者事件下的编码绕过等。比如<object data="data:text/html;base64,PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg=="></object>，编码不是任何地方都能用，因为浏览器解析的顺序是：html对服务器相应的二进制数据进行解析产生html源代码，然后根据源代码产生dom树，此时实体编码的数据是无法被识别的（实体编码防护xss的原理），然后html解析器根据dom树来进行下一步解析工作，解析<script>等标签，在处理标签内部信息以及src，href等属性时，若是js伪协议则会出发js解析器进行解析，因此编码绕过要看内容被输出的环境来利用。