什么是存儲型xss
它是通過對網頁注入可執行代碼且成功地被瀏覽器執行,達到攻擊的目的,一般是注入一段JavaScript腳本。在測試過程中,我們一般是使用:
<script>alert(1)</script>
通過這段JS代碼,彈個框來證明存在xss漏洞。那么,可能新手就會問了,彈個框有什么用呢?
其實,彈框只是為了證明存在此漏洞。而此漏洞的利用方式由很多種。
比如,你可以使用xss平臺:
寫入一段平臺生成的xss腳本:
<script></script>
當某人進入帶有這個腳本的頁面時,js腳本會獲取他的Cookie并發往xss平臺。
你只需要登錄xss平臺等待即可,拿到cookie后,可以不需要密碼登錄他的賬號。
注意:本文的重點是一步一步以黑客的角度進行xss攻擊,再討論如何站在開發者的角度去一步一步防御xss攻擊。所以我會在本文中以開發的身份修正后端代碼,再以黑客的身份進行前端頁面的xss攻擊,這一點需要注意哦。
對于存儲型xss漏洞的表現形式,比較經典的是留言板。但是我們都是遵紀守法的好同學,不能對外面的網站進行測試,所以就花半個小時自己手擼一個留言板咯。
首先,應該有前端展示的頁面Message_Board.php和后端存儲數據的頁面addMessage.php
前端代碼不是本文重點(感興趣的可以自行查看前端代碼),我們重點關注后端代碼addMessage.php:
<?php $nickname = @$_POST['nickname'];//昵稱 $email = @$_POST['email'];//郵箱 $content = @$_POST['content'];//留言內容 $now_time = @$_POST['now_time'];//留言時間 $ini= @parse_ini_file("config.ini"); $con = @mysql_connect($ini["servername"],$ini["username"],$ini["password"]); if($con){ mysql_query("set names 'utf8'");//解決中文亂碼問題 mysql_select_db($ini["dbname"]); $sql1 = "select count(*) from message_board"; $result = mysql_query($sql1); $floor = mysql_fetch_row($result)[0] + 1; $sql = "insert into message_board values ($floor,"$nickname","$email","$content","$now_time")"; mysql_query($sql); }?>
可以看到,我們對傳入的四個參數完全沒有處理,而是直接存入數據庫中。
所以,只要我們這樣輸入:
提交之后,系統會自動刷新頁面出現彈框:
點擊確定后,你會發現留言內容和留言者的部分都為空。
這是因為js腳本已經被解析了,這時我們按F12,打開瀏覽器的開發者工具,發現了js腳本。
那么,問題來了。
畢竟我們還有另外一個身份,開發者該如何防御呢?
0×00、來個最簡單的,只修改前端代碼
在input標簽里面加上maxlength屬性
<input>
至于原理嘛,就是因為js腳本的形式為<script></script>長度為17,所以只要我們在前端對長度進行限制,就可以阻止黑客進行xss攻擊了。
可是!開發可沒這么好做!
我們是想做開發的黑客,所以還得自己搞自己。
作為攻擊者,我們同樣可以修改前端代碼,具體的操作是使用瀏覽器的F12(開發者工具)
可以看到,我們可以直接進行長度的修改。
另外,還可以用抓包的方法,在包里面直接寫,也是不受長度限制的。
0×01、對關鍵字script進行過濾
作為開發者,你很容易發現,要想進行xss攻擊,必須插入一段js腳本,而js腳本的特征是很明顯的,腳本中包含script關鍵字,那么我們只需要進行script過濾即可。
回到之前的代碼。
為方便說明,我只取nickname參數,其實傳入的四個參數需要做同樣的處理。
$nickname?=?str_replace("script",?"",?@$_POST['nickname']);//昵稱
上面這個str_replace()函數的意思是把script替換為空。
可以看到,script被替換為空,彈框失敗。
那么黑客該如何繼續進行攻擊呢?
答案是:大小寫繞過
<script>alert(1)</script>
因為js是不區分大小寫的,所以我們的大小寫不影響腳本的執行。
成功彈框!
0×02、使用str_ireplace()函數進行不區分大小寫地過濾script關鍵字
作為一名優秀的開發,發現了問題當然要及時改正,不區分大小寫不就行了嘛。
后端代碼修正如下:
$nickname?=?str_ireplace("script",?"",?@$_POST['nickname']);//昵稱
str_ireplace()函數類似于上面的str_replace(),但是它不區分大小寫。
那么,黑客該如何繞過?
答案是:雙寫script
<sscriptcript>alert(1)</sscriptcript>
原理就是str_ireplace()函數只找出了中間的script關鍵字,前面的S和后面的cript組合在一起,構成了新的Script關鍵字。
彈框成功!
0×03、使用preg_replace()函數進行正則表達式過濾script關鍵字
$nickname?=?preg_replace(?"/<p>顯然,彈框失敗。</p><p><img src="https://img.php.cn/upload/image/887/790/455/1575365135372860.jpg" title="1575365135372860.jpg" alt="11.jpg"></p><p>攻擊者如何再一次繞過?</p><p>答案是:用img標簽的oneerror屬性</p><pre class="brush:php;toolbar:false">@@##@@
0×04、過濾alert關鍵字
看到這里,不知道你煩了沒有,以開發的角度來講,我都有點煩。大黑闊你不是喜歡彈窗么?我過濾alert關鍵字看你怎么彈!
$nickname?=?preg_replace(?"/<p>那么,攻擊者該怎么辦呢?</p><p>答案是:編碼繞過</p><div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false"><a>a</a>
當點擊頁面上的超鏈接時,會彈框。
但是為什么呢?
這種編碼方式為字符編碼
字符編碼:十進制、十六進制ASCII碼或unicode?字符編碼,樣式為“數值;”,?例如“j”可以編碼為“j”或“j?”
上述代碼解碼之后如下:
<a>a</a>
你能明顯感覺到限制:由于使用到了a標簽,所以只有點擊時,才會彈框。
作為一個大黑闊,我們當然是不滿意的,能不能讓所有進入這個頁面的人都彈框?
當然可以了:用iframe標簽編碼
<iframe></iframe>
這種寫法,同樣既沒有script關鍵字,又沒有alert關鍵字。
可以看到彈框成功!
可是你也能看到,由于使用了iframe標簽,留言板的樣式已經變形了。實戰中盡量不要用。
0×05、過濾特殊字符
優秀的開發,永不認輸!你個小小的黑闊,不就是會插入js代碼么?我過濾特殊字符,看你代碼咋被解析?
可是我不想手擼代碼來列舉那么多特殊字符怎么辦?
php給我們提供了htmlentities()函數:
$nickname?=?htmlentities(@$_POST['nickname']);//昵稱
htmlentities()函數的作用是把字符轉換為 HTML 實體。
看到這里,你可能還是不明白HTML字符實體是什么。我舉個例子吧,當你想在HTML頁面上顯示一個小于號(
可以看到,我們輸入的內容全部顯示在頁面上了。
可是卻沒有彈框。
我們鼠標右鍵,查看網頁源代碼
際上,我們輸入的內容已經變成了HTML實體:
<iframe></iframe>
無法被解析為js腳本。
黑客在當前場景下已經無法攻擊了(在某些其他場景,即使使用了htmlentities()函數,仍然是可以攻擊的,這就不在本文討論范圍之內了)
0×06、總結
開發者不應該只考慮關鍵字的過濾,還應該考慮特殊符號的過濾 。
黑客在面對未知的情況時,要不斷嘗試,這對于知識的儲備量有較高的要求。
對于xss攻擊,站在開發者角度來講,僅僅用一個htmlentities()函數基本可以做到防御,可是一個優秀的開發者應該明白它的原理。站在黑客的角度來講,面對環境的逐步變化,條件的逐步限制,攻擊思路靈活變化是對整個職業生涯有益的。
相關文章教程推薦:前端代碼
