XSS动态检测

0x00 起

前一段时间，因为工作原因接触到XSS漏洞检测。前人留下的锅，是采用pyqt webkit来解析网页内容。作为Python webkit框架，相比于PhantomJS，pyqt在捕获错误，重载函数等方面有比较多的优势，但pyqt也有很有缺点：占用资源较多、底层解析还是用C++，许多错误是C++直接抛出的，Python依然无法捕获、历史遗留等等问题。

最近做毕设，考虑到以上的优缺点，动态解析部分采用了PhantomJS来编写。本文就介绍一下XSS动态解析的思路及部分关键代码。

0x10 漏洞判别标准

XSS漏洞，说到底还是用户输入被当成页面代码解析了。解析的结果，可能是执行了JS代码，也可能是在页面中创建/修改了某个DOM节点。所以我们将Payload分为两类：第一类，执行了指定的JS代码（alert(1)），第二类，创建了新的DOM节点（<xsstest></xsstest>）。

根据这两种Payload，自然而然的推出了漏洞判别标准：页面弹窗（在PhantomJS中重载window.alert）、新节点（解析玩页面后，判断document.getElementsByTagName('xsstest')是否为空）。

page.onAlert = function (message) {

    if(message == xss_mark) {

        xss_exists = 1;

        ret = "Success, xss exists";

        phantom_exit(ret);

    }

    console.log('Alert: ' + message);

    return true;

};

function check_dom_xss_vul(){

    return document.getElementsByTagName(dom_xss_mark).length;

}

为了验证检测代码，编写一个简单存在XSS漏洞的页面。

<?php

echo $_GET['test'];

?>

经测试，访问 http://127.0.0.1:8000/xss.php?test=<img src=1 onerror=alert(1)>，我们的检测代码成功检测到了弹窗，并返回了正确的结果。但是，如果是下面这种情况呢？

<?php

$click = $_GET['test'];

echo "<div onclick=$click></div>";

?>

0x20 执行事件代码

很明显，我们需要执行onclick中的代码，才能检测到漏洞。首先我们想到的是触发事件，仅仅是触发click事件，很简单，javascript本身就提供了click事件： document.getElementsByTagName('div')[0].click()。但是javascript也就仅仅提供了click事件的触发函数而已。

但既然代码直接输出在了onclick/onmouseover之类的属性里，我们遍历所有节点的属性，针对onxxxxx的属性值，直接调用eval方法，执行对应的代码就可以了。

var nodes = document.all;

for(var i=0;i<nodes.length;i++){

    var attrs = nodes[i].attributes;

    for(var j=0;j<attrs.length;j++){

        attr_name = attrs[j].nodeName;

        attr_value = attrs[j].nodeValue;

        if(attr_name.substr(0,2) == "on"){

            console.log(attrs[j].nodeName + ' : ' + attr_value);

            eval(attr_value);

        }

    }

}

访问http://127.0.0.1:8000/xss.php?test=alert(1) 成功执行代码，但新的问题很快出现：并不是所有的JS代码都是以内联的形式写入到HTML代码中的，程序猿们往往更喜欢通过 document.addEventListener 或者 jQuery中的 $('dom').click 直接绑定事件。例子如下：

<script type="text/javascript" src="http://apps.bdimg.com/libs/jquery/2.1.1/jquery.min.js"></script>

<div class="link-area"></div>

<?php

echo '<script>$("#image").click(function(){$(".link-area").html("'.$_GET['test'].'")});</script>';

?>

0x30 触发事件

所以我们现在需要这样的接口：能够触发某个DOM节点的某个事件，包括但不仅限于click事件。PhantomJS和Javascript都可能存在这样的接口，但是找遍了PhantomJS，甚至是CasperJS的接口，也只是发现了触发click事件的接口。所以聚焦点重新回到Javascript上来。很快，我们发现了dispatchEvent函数。

// phantom_finish.js

var evt = document.createEvent('CustomEvent');

evt.initCustomEvent(click, true, true, null);

document.getElementsByTagName("div")[0].dispatchEvent(evt);

成功执行了click事件，但是如何能获取到所有节点的绑定事件呢？有两种方法：

遍历所有节点，获取每个节点绑定的事件
在dom节点加载前，重写addEventListener方法，并将所有的绑定的事件及节点记录到一个数组中。

方法一在遇到jQuery绑定事件的时候扑街了。方法二明显比方法一节省资源，并且测试通过。核心代码如下：

// phantom_init.js

_addEventListener = Element.prototype.addEventListener

Element.prototype.addEventListener = function(a,b,c) {

        save_event_dom(this, a);      // 将所有的绑定事件节点信息存储起来

        _addEventListener.apply(this, arguments);

};

这样，我们的JS代码也算告一段落，PhantomJS组件能够执行内联代码及触发所有的绑定事件。万事具备，只欠一个调度系统了~

0x40 调度系统

XSS扫描是URL粒度扫描，针对网站的每一个链接都要进行测试。XSS检测系统的输入值包括：

URL （如：http://127.0.0.1:8000/xss.php?a=1&b=2）
method
post_data
headers

调度系统的功能就是处理这个URL，拼接对应的payload，并调用PhantomJS组件，检测是否含有XSS漏洞。举个例子，当payload为 <img src=1 onerror=alert(1)> 时，需要调用两次PhantomJS组件，输入的URL分别为：

http://127.0.0.1:8000/xss.php?a=<img src=1 onerror=alert(1)>&b=2
http://127.0.0.1:8000/xss.php?a=1&b=<img src=1 onerror=alert(1)>

0x50 合

上述种种，已经基本将动态XSS检测的思路分析透彻。XSS有很多种玩法，在payload中可以带进一些有意思的攻击代码，比如钓鱼、打Cookie、甚至探测网络状况等等不再赘述。