XSS是指攻击者在网页中嵌入客户端脚本(常日是JavaScript编写的恶意代码),进而实行其植入的代码的漏洞,若Web运用未对用户可直接活间接掌握的"输入"或者"输出"进行关键字的过滤或者转义处理,则很有可能存在跨站脚本漏洞。
攻击者可以利用该漏洞向Web页面注入恶意的脚本代码并使其实行,从而得到恶意攻击用户的目的(如果是自己打自己,意义较小)。
XSS漏洞的范例攻击场景--"网络钓鱼"的示意图。
一种在Web运用中对漏洞的审计谋略如下:
判断输入,输出点。查看输入,输出点的高下文。判断是否对输入,输出做了防御事情(XSSFilter过滤器,扰乱以及编码)。二、反射型XSS对付反射型XSS(又称非持久型XSS),这种漏洞通过外部输入,然后直接在浏览器端出发,最明显的特色是恶意数据常会在链接里,须要受害者参与,攻击者会将修改后的链接发送给用户,当用户访问该链接时,被注入的恶意脚本就会被浏览器实行,从而达到攻击目的,在白盒审计的过程中,我们须要探求带有参数的输出方法,然后根据输出方法对内容进行回溯输入参数。
下面的JSP代码展示了反射型XSS漏洞的大致形式。
<%@ page contentType="text/html;charset=UTF-8" language="java" %><html><head><title>Title</title></head><body><%//支配在做事器端//从要求中得到"name"参数String name = request.getParameter("name");//从要求中得到"学号"参数String studentId = request.getParameter("sid");out.println("name = " + name);out.println("studentId = " + studentId);%></body></html>
我们可以看到name和sid这两个变量是从HttpServletRequest要求工具中获取的,而获取的这两个参数并未对上输入和输出进行过滤,扰乱以及编码,方面的事情,直接打印,因此无法对XSS漏洞进行防御。
访问链接如下:
http://localhost:8080/XSS-demo/reflective-xss.jsp?name=%3Cscript%3Ealert(/xss/);%3C/script%3E&sid=111http://localhost:8080/XSS-demo/reflective-xss.jsp?name=%3Cscript%3Ealert(/xss1/);%3C/script%3E&sid=%3Cscript%3Ealert(/xss2/);%3C/script%3E
对付存储型XSS(又称持久性XSS),为了利用这一漏洞,攻击者须要将利用代码保存在数据库或者文件中,当Web程序读取利用代码并输出在页面时实行利用代码,攻击行为会一贯伴随着攻击数据存在,在挖掘存储型XSS漏洞时,要探求"输入点"与"输出点",由于"输入点"和"输出点"可能不在同一个业务流中,在挖掘这类漏洞时,可以考虑一下方法提高效率:
黑白盒结合。通过功能,接口名,表名,字段名等角度去搜索。3.1、oasys系统本地项目支配下载链接:https://github.com/misstt123/oasys
由于该项目是基于SpringBoot系统所开拓的,以是只须要导入数据库即可,我们利用phpstudy。
1、创建数据库
2、运行sql文件。
3、利用Maven加载文件。
用自己下载的Maven,配置里了aliyun,速率快。
4、按照文档解释修正application.properties配置文件内容。
5、修正端口防止冲突。
6、启动项目
本文项目地址为:http://127.0.0.1:10086/logins,按照解释文档存在两个账号分别为:admin/123456,soli/123456。
3.2、用户面板处-便签处存在XSS
1、进入用户面板。
成功弹窗。
3、我们重新输入,然后进行抓包。
4、我们全局搜索这个方法。
5、我们定位代码。
6、我Ctrl+B跟进这个方法。
7、我们进入了UserpanelController,我们连续跟进这个UserDao。
直接进入了数据库操作。
我们连续搜索,看看全局有没有XSSfilter过滤器。
也没有filter过滤器。
8、我们对writep这里进行剖析。
这里便是进行了非空判断,不为空就保存了,没有做任何的过滤操作,内容和标题都没有做过滤,以是都能出发XSS。
3.3、文件管理-新建文件夹处存在XSS1、我们来到文件管理,新建一个文件夹。
2、文件名输入payload,创造可以弹窗。
<img src=1 onerror=alert(/xss3/) />
3、我们可以看到已经下面刷新一下,直接弹窗。
4、根据页面信息搜索源码,创造表单action为createpath,源码中搜索createpath。
5、定位TypeSysController文件中第96行,查看源码。
6、查看源码,我们创造,全体过程,没有做任何的校验,和过滤限定,直接ruturn,以是造成了XSS漏洞。
3.4、系统管理-类型管理处存在XSS
1、系统管理-类型管理新增三个地方都输入XSS的payload,保存后创造模板名称和类型均可弹窗。
2、我们输入payload进行抓包。
我们可以看到路径为typecheck。
3、我们进行放包。创造弹窗了。
4、根据抓包的路径,我们在源码中进行全局的搜索typecheck。
我们查看源码创造只做了校验状态通过,就在通过session判断是否从编辑界面进行的,是的话就保存,也没有做任何防护方法,导致了XSS。
四、DOM型XSS对付DOM型XSS,是基于Document Object Model(文本工具模型)的一种XSS(客户真个脚本程序可以通过DOM动态地操作和修正页面内容)。DOM型XSS不须要与做事器交互的,它只发生在客户端处理数据阶段,粗略的说,DOM XSS的成因是不可控的危险数据,未经由滤被传入存在毛病的JavaScript代码处理。
下面JSP代码展示了DOM型XSS漏洞的大致形式。
<script>var pos = document.URL.indexOf("#")+1;var name = document.URL.substring(pos, document.URL.length);document.write(name);eval("var a = " + name);</script>
恶意Poc如下。
http://localhost:8080/xss-demo/dom-xss.jsp#1;alert(/safedog/)
输入点:
document.URLdocument.locationdocument.refererdocument.fprm......输出点:
evaldocument.writedocument.InnterHTMLdocument.OuterHTML......五、XSS漏洞修复方法1、对与后端有交互的位置实行参数的输入过滤,可通过Java过滤器filter,Spring参数校验表明来实现。
2、对付后端有交互的位置实行参数的输出转义,可以通过利用org.springframework.web.util.HtmlUtils或commons-lang-2.5.jar实现HTML标签及转义字符之间的转换来实现;分外字符列表包括了:单引号('),双引号("),尖括号(<>),反斜杠(/),冒号(:),and符号(&),#号(#)。
3、开启JS开拓框架的XSS防护功能(若运用了JS开拓框架),例如JS开拓框架Angular JS默认启动了对XSS攻击的防御。
4、标签韶光属性黑白名单,用正则表达式匹配,如果匹配到的韶光不在报名单列表,就直接拦截掉,而不是更换为空。
5、设置HttpOnly严格来说,设置HttpOnly对防御XSS漏洞不起浸染,紧张是为理解决XSS漏洞后续的Cookie挟制攻击,这一攻击办法可阻挡客户端脚本访问Cookie。
from https://www.freebuf.com/articles/web/367805.html
