一、什么是XSS
跨站脚本( Cross-site Scripting )攻击,攻击者通过网站输入框输入payload(脚本代码 ),当用户访问网页时,恶意payload自动加载并执行,以达到攻击者目的( 窃取cookie、恶意传播、钓鱼欺骗等)为了避免与HTML语言中的CSS相混淆,通常称它为“XSS”。
二、XSS的分类
反射性
特点:只执行一次,非持久型
主要存在于攻击者将payload附加到url的参数中,服务端没有经过严格的过滤输出到用户浏览器中,导致恶意代码被执行。
防范思路
可以使用str_replace()函数区分大小写
preg_replace() 利用正则过滤标签(<script>)
htmlspecialchars(string) 将"<",">","&"等转化为html实体,防止浏览器将其作为html元素
靶场复现
输入<script>alert(1)</script>测试发现只输出了alert(1)
查看源码得知,过滤了<script>标签,将script换成大写的SCRIPT,或者将标签换成<img>即可
存储型
特点:持久型
主要存在于攻击者将恶意脚本存储到服务器数据库中,当用户访问包含恶意相关数据的页面时,服务端未经严格过滤处理而输出在用户浏览器中,导致浏览器执行代码数据。
防范思路
trim(string[,charlist]) 移除字符串两侧的空白字符或预定义字符(\t,\n,\x0B,\r)
stripslashes(string) 移除字符串中的反斜杠
strip_tags(string,allow) 剥去字符串中的html、xml以及php的标签
靶场复现
在尝试<script>alert(1)</script>后,输出为alert(1)
查看源码发现对<script>标签进行了过滤,尝试换成大写或者使用别的标签进行注入
<?phpif( isset( $_POST[ 'btnSign' ] ) ) {// Get input$message = trim( $_POST[ 'mtxMessage' ] );$name = trim( $_POST[ 'txtName' ] );// Sanitize message input$message = strip_tags( addslashes( $message ) );$message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));$message = htmlspecialchars( $message );// Sanitize name input$name = str_replace( '<script>', '', $name );$name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));// Update database$query = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";$result = mysqli_query($GLOBALS["___mysqli_ston"], $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );//mysql_close();
}?> 
dom型
特点:通过JavaScript操作document,实现dom树的重构
简单来说DOM文档就是一份XML文档,当有了DOM标准之后,DOM便将前端html代码化为一个树状结构,方便程序和脚本能够轻松的动态访问和更新这个树状结构的内容、结构以及样式,且不需要经过服务端,所以DOM型xss在js前端自己就可以完成数据的输入输出,不与服务器产生交互,这样来说DOM型xss也可以理解为反射性xss。
DOM型与反射型和存储型的区别
前面两种都将数据提交到后台处理,但是dom直接在客户端执行
DOM型xss可以在前端通过js渲染来完成数据的交互,达到插入数据造成xss脚本攻击,且不经过服务器,所以即使抓包无无法抓取到这里的流量,而反射性与存储型xss需要与服务器交互,这便是三者的区别。
靶场复现
url栏里的default参数可修改
查看源代码,发现对<script>标签进行了不区分大小写的查找,并将结果返回为default=English,所以不使用script标签
<?php// Is there any input?
if ( array_key_exists( "default", $_GET ) && !is_null ($_GET[ 'default' ]) ) {$default = $_GET['default'];# Do not allow script tagsif (stripos ($default, "<script") !== false) {header ("location: ?default=English");exit;}
}?>
使用img标签后发现并无弹窗
查看网页源代码发现需要闭合标签
重新输入
