一、什么是XSS

跨站脚本( Cross-site Scripting )攻击，攻击者通过网站输入框输入payload(脚本代码 )，当用户访问网页时，恶意payload自动加载并执行，以达到攻击者目的( 窃取cookie、恶意传播、钓鱼欺骗等)为了避免与HTML语言中的CSS相混淆，通常称它为“XSS”。

二、XSS的分类

反射性

特点：只执行一次，非持久型

主要存在于攻击者将payload附加到url的参数中，服务端没有经过严格的过滤输出到用户浏览器中，导致恶意代码被执行。

防范思路

可以使用str_replace()函数区分大小写

preg_replace() 利用正则过滤标签（<script>）

htmlspecialchars(string) 将"<"，">"，"&"等转化为html实体，防止浏览器将其作为html元素

靶场复现

输入<script>alert(1)</script>测试发现只输出了alert(1)

查看源码得知，过滤了<script>标签，将script换成大写的SCRIPT，或者将标签换成<img>即可

存储型

特点：持久型

主要存在于攻击者将恶意脚本存储到服务器数据库中，当用户访问包含恶意相关数据的页面时，服务端未经严格过滤处理而输出在用户浏览器中，导致浏览器执行代码数据。

防范思路

trim(string[,charlist]) 移除字符串两侧的空白字符或预定义字符（\t，\n，\x0B，\r）

stripslashes(string) 移除字符串中的反斜杠

strip_tags(string,allow) 剥去字符串中的html、xml以及php的标签

靶场复现

在尝试<script>alert(1)</script>后，输出为alert(1)

查看源码发现对<script>标签进行了过滤，尝试换成大写或者使用别的标签进行注入

<?phpif( isset( $_POST[ 'btnSign' ] ) ) {// Get input$message = trim( $_POST[ 'mtxMessage' ] );$name    = trim( $_POST[ 'txtName' ] );// Sanitize message input$message = strip_tags( addslashes( $message ) );$message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));$message = htmlspecialchars( $message );// Sanitize name input$name = str_replace( '<script>', '', $name );$name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));// Update database$query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";$result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );//mysql_close();
}?> 

dom型

特点：通过JavaScript操作document，实现dom树的重构

简单来说DOM文档就是一份XML文档，当有了DOM标准之后，DOM便将前端html代码化为一个树状结构，方便程序和脚本能够轻松的动态访问和更新这个树状结构的内容、结构以及样式，且不需要经过服务端，所以DOM型xss在js前端自己就可以完成数据的输入输出，不与服务器产生交互，这样来说DOM型xss也可以理解为反射性xss。

DOM型与反射型和存储型的区别

前面两种都将数据提交到后台处理，但是dom直接在客户端执行

DOM型xss可以在前端通过js渲染来完成数据的交互，达到插入数据造成xss脚本攻击，且不经过服务器，所以即使抓包无无法抓取到这里的流量，而反射性与存储型xss需要与服务器交互，这便是三者的区别。

 靶场复现

url栏里的default参数可修改

查看源代码，发现对<script>标签进行了不区分大小写的查找，并将结果返回为default=English，所以不使用script标签

<?php// Is there any input?
if ( array_key_exists( "default", $_GET ) && !is_null ($_GET[ 'default' ]) ) {$default = $_GET['default'];# Do not allow script tagsif (stripos ($default, "<script") !== false) {header ("location: ?default=English");exit;}
}?>

使用img标签后发现并无弹窗

查看网页源代码发现需要闭合标签

重新输入