学习目标:
复习好xss(DOM),xss(Reflect)类型,并在DVWA上进行测试学习内容:
xss漏洞的基本原理和防御学习时间:
2020.9.11-21:00-23:00学习产出:
简单复习一下xss漏洞原理:xss漏洞原理就是:利用HTML和javascript代码盗取别人的cookie或者整个页面的源码。
xss漏洞与mysql注入漏洞原理类似,但xss漏洞注入的是HTML,JavaScript和css。
举个简单的例子,用GET传参
<?php
echo $_GET['a'];
?>
这个时候,在页面上输入?a=<script>alert(1)</script>
就会直接弹窗“1”出来。
DVWA xss(DOM) low级别:
先观察Low级别的源码,发现
源码上直接说了是没有任何保护的,那就直接怼上去就可以了。
即在网站输入?default=English<script>alert(1)</script>
xss(DOM) Medium级别:
依然是先观察源码,看看增加了什么花样。
可以看到这里多了个stripos()函数,查询资料后可知
Stripos()函数——查找字符串在另一字符串中第一次出现的位置(不区分大小写)
根据源码一定要等于false,否则的话就会返回default。那么我们可以先试用一下刚才的弹窗指令?default=English<script>alert(1)</script>
发现啥也没有弹出来。也就是说script被过滤掉了。
那我们可以换一种思路,即用<img>漏洞
输入?default=English<img src=1 onerror=alert(1)>
回车后,跟刚才的<script>不太一样,虽然都没有显示,但是<script>后面直接什么都没有了。
但是<img>输入完后,在English后面还跟着输入进去的弹窗指令。
但是也还是没有弹出任何东西。
既然后面还跟着东西,也就是说输入的指令是对的,只不过应该是被某些东西给挡下来了。那我们可以进去HTML代码里面看看。
可以看到指令被写到 option value里面去了。
那就得绕过value把指令拿出来。
于是,?default=English</option><img src=1 onerror=alert(1)>
结果还是在里面出不来,那就直接把select给过了。
?default=English</option></select><img src=1 onerror=alert(1)>
这样就出现了弹窗了。
正常来说,xss漏洞写进来,它是单独一行的,应该不会写到option函数里面去的。那这个DOM型medium级别的xss漏洞就提供了一种思路。
如果所写的东西出现在HTML代码里面,但是没有弹窗,只是中间被什么东西给过滤了,这时候就绕过过滤的函数了。
high级别:
依然是先看源码
源码里面“#”是Ok 的
php的注释符有“#”
HTML的注释符并没有“#”
那只要一个“#”就可以绕过了。
?default=English#<script>alert(1)</script>
impossible级别(xss(DOM)漏洞的保护)
意思是,不需要做任何事情,保护在客户端处理。
xss本身在IE上是有保护的,window默认会过滤掉xss,只不过写php的时候基于一些原因会把启用xss筛选器给禁用。
xss(Reflected) low级别:
依然没有任何防御,直接怼。
<script>alert(1)</script>
medium级别
出现了个str_replace()函数。
str_replace()函数以其他字符替换字符串中的一些字符(区分大小写)
因为区分大小写,所以可以用大小写绕过
<sCript>alert(1)</script>
或者可以用<sc<script>ript>alert(1)</script>
high级别
这里出现了个正则匹配preg_replace()
preg_replace 函数执行一个正则表达式的搜索和替换。
如:
mixed preg_replace ( mixed $pattern , mixed $replacement , mixed $subject [, int $limit = -1 [, int &$count ]] )
其意思为搜索 subject 中匹配 pattern 的部分, 以 replacement 进行替换。
返回到题目中来,其意思为无数次匹配script的大小写,一旦发现就给注释掉。
既然不给用script,那就改用img咯
即可以用<img src=1 onerror=alert(1)>
impossible(抵挡xss(Reflected)漏洞)级别:
这里出现了htmlspecialchars() 函数
把预定义的字符 “<” (小于)和 “>” (大于)转换为 HTML 实体
直接把弹窗指令所需要的“<”和“>”都变没了,那还怎么搞xss攻击?
