XSS全称是Cross Site Scripting也是跨站脚本,他也分为三种类型存储型,反射型,DOM型。
当目标网站目标用户浏览器渲染HTML文档的过程中,出现了不被预期的脚本指令并执行时,XSS就发生了。
作为一种HTML注入攻击,XSS攻击的核心思想就是在HTML页面中注入恶意代码,而XSS采用的注入方式是非常巧妙的。在XSS攻击中,一般有三个角色参与:攻击者、目标服务器、受害者的浏览器。
由于有的服务器并没有对用户的输入进行安全方面的验证,攻击者就可以很容易地通过正常的输入手段,夹带进一些恶意的HTML脚本代码。当受害者的浏览器访 问目标服务器上被注入恶意脚本的页面后,由于它对目标服务器的信任,这段恶意脚本的执行不会受到什么阻碍。而此时,攻击者的目的就已经达到了。
接下来讲一下跨站脚本攻击以及测试方法!
- 工具扫描:APPscan、AWVS
- 手工测试:Burpsuite、firefox(hackbar)、xSSER xsSF ( Okee.360.cn/domxss )
使用手工检测Web应用程序是否存在XSS漏洞时﹐最重要的是考虑那里有输入,输入的数据在什么地方输出。在进行手工检测XSS时,人毕竟不像软件那样不知疲惫,所以一定要选择有特殊意义的字符,这样可以快速测试是否存在XSS.
- 在目标站点上找到输入点,比如查询接口,留言板等;
- 输入一组"特殊字符+唯一识别字符”,点击提交后,查看返回的源码,是否有做对应的处理;
- 通过搜索定位到唯一字符,结合唯一字符前后语法确认是否可以构造执行 js 的条件(构造闭合):提交构造的脚本代码,看是否可以成功执行,如果成功执行则说明存在×SS漏洞;
跨站脚本攻击实战演示
xss平台搭建及后台使用( cookie 获取)
反射型xss (PoST)获取用户密码
post攻击利用页面(
D:lphpStudyiwwwIpikachulpkxsslxcookielpost.html)
Xss钓鱼攻击过程演示
钓鱼攻击利用页面(
D:1phpStudywwwipikachulpkxsslxfish )
xss获取用户键盘记录
什么是跨域?
当协议、主机(主域名,子域名)、端口中的任意一个不相同时,称为不同域。我们把不同的域之间请求数据的操作,成为跨域操作。
同源策略
为了安全考虑,所有浏览器都约定了“同源策略”,同源策略禁止页面加载或执行与自身来源不同的域的任何脚本既不同域之间不能使用JS进行操作。比如:x.com域名下的js不能操作y.com域名下的对象
那么为什么要有同源策略﹖比如一个恶意网站的页面通过js嵌入了银行的登录页面(二者不同源),如果没有同源限制,恶意网页上的javascript脚本就可以在用户登录银行的时候获取用户名和密码。
下面这些标签跨域加载资源(资源类型是有限止的)是不受同源策略限制的
同源策略修改
D:MphpStudyiwwwipikachulpkxsslrkeypresslrkserver.php
同之前的案例到后台设置好
Access-Control-Allow-Origin,设置为*,既允许所有人访问。
天键代码解读
输入设置好的恶意JS代码:
- 然后再键盘上随意输入,就可以到XSS平台去查看键盘输入的结果。
- 今天因为篇幅的限制!就写到这里啦!感谢广大的读者们!
- 我这里还有渗透测试\web安全/攻防/src漏洞讲解/只要是关于网络安全的部分,应该都有!
- 还有两三千本电子书籍!以及自己整理出的一套学习路线!告别低效率的学习!
- 还想要更多资料的读者们,当然我也会毫不吝啬的分享给大家!
资料料都放在我的个人文档,需要的关注我:私信回复“资料”获取网络安全面试资料、源码、笔记、视频架构技术!
最后,感谢您的关注和阅读!