快速找出網站中可能存在的XSS漏洞實踐(一)

1、背景

筆者最近在慕課錄製了一套XSS跨站漏洞 增強Web安全視頻教程，課程當中有講到XSS的挖掘方式，因此在錄製課程以前須要作大量實踐案例，最近視頻已經錄製完成，準備將這些XSS漏洞的挖掘過程記錄下來，方便本身也方便他人。

在本篇文章當中會一permeate生態測試系統爲例，筆者此前寫過一篇文章當中筆者已經講解如何安裝permeate滲透測試系統，所以這裏再也不重複講解如何安裝此滲透測試系統，參考文檔:利用PHP擴展Taint找出網站的潛在安全漏洞實踐

2、內容概要

1. XSS漏洞原理
2. 反射型挖掘
3. 存儲型挖掘

3、漏洞簡介

在實踐漏洞以前，筆者準備先簡單介紹一下XSS漏洞，不過XSS的相關概念介紹並非本文的重點，所以不會過多細講；XSS的漏洞類型主要分爲三類：反射型、存儲型、DOM型

3.1 漏洞成因

XSS的漏洞主要成因是後端接收參數時未通過濾，致使參數改變了HTML的結構，以下圖所示

在圖中能夠看到攻擊者的參數被原樣放到了HTML代碼當中，致使本來的結構被改變，當這份代碼被瀏覽器執行以後，將執行alert事件。

3.2 反射型

反射型XSS在筆者鬧鐘的定義是，若是URL地址當中的惡意參數會直接被輸出到頁面中，致使攻擊代碼被觸發，便稱之爲反射型XSS，以下圖所示

在圖中能夠看到，此處本來是輸入一個名字，單實際傳遞了一個script標籤，此標籤也被原樣放到了HTML結構當中，結果script標籤代碼中的代碼被觸發

3.3 存儲型

存儲型XSS，顧名思義即是惡意參數被存儲起來了，一般存儲在後端服務器當中，因此存儲型XSS在URL地址當中不會包含惡意參數，對於受害者來講，很難發現已經被攻擊了，以下圖存儲型XSS被觸發

在圖中筆者並無在URL地址當中看到script代碼，可是攻擊代碼依然被觸發，說明攻擊代碼來自於服務器，而這個攻擊代碼確實是由攻擊者傳遞到服務器當中去的。

通常狀況下，當攻擊者將攻擊代碼經過表單傳遞到服務器當中去，會獲得一個新頁面的地址，這個地址中URL並無明顯異常，好比以下URL地址

http://permeate.songboy.net/article/1
複製代碼

但當存在存儲型XSS時，受害者打開此URL，攻擊代碼將會被觸發，這種狀況下筆者便稱之爲存儲型XSS漏洞。

3.4 DOM型

DOM型XSS較爲特殊，筆者前面反射型XSS和存儲型XSS都是以傳播方式來區分的，而DOM型XSS和傳參方式無關，而是當開發者作了一些安全防禦以後，任出現安全問題的一種現象，以下圖所示

在圖片中，能夠看到參數name已經使用函數轉義了，按理說此時將參數傳遞到前端頁面是不會產生XSS漏洞的；但當JavaScript代碼將參數進行DOM節點操做以後，本來被轉義的代碼又會被還原，所以仍是會被觸發，以下圖所示

在圖中看到XSS代碼已經被觸發，這種DOM型XSS相對來講更加隱蔽，因此防護XSS漏洞的不能僅僅依靠後端開發者，前端開發者也應當瞭解XSS漏洞。

4、反射型挖掘

通過上一節的原理介紹，筆者相信你們對XSS已經有一些瞭解，如今筆者須要進行手工XSS漏洞挖掘，在手工挖掘以前筆者須要先逛逛網站有哪些功能點，以下圖是permeate的界面

4.1 思路分析

在知道反射型XSS，是經過URL地址傳播的，那麼筆者就須要思考那些地方會讓URL地址的參數在頁面中顯示；相信讀者都用過一些網站的站內搜索，在站內搜索的位置每每會將搜索的關鍵詞展現在頁面當中，以下圖所示

而在首頁筆者也看見此網站有搜索功能，所以能夠從搜索位置着手，能夠在搜索位置輸入一個簡單的payload,參考以下

<script>alert(123)</script>
複製代碼

當點擊搜索後，會自動跳轉到如下URL當中，此時瀏覽器的URL地址已經發生了變化，URL地址以下：

http://permeate.songboy.net/home/search.php?keywords=<script>alert(123)</script>
複製代碼

搜索的表單是使用了GET傳參，知足了測試反射型的第一步要求

4.2 漏洞檢驗

接下來就須要看看筆者的payload有沒有被觸發,結果很意外，不但沒有被觸發還被瀏覽器所阻止了，以下圖

這裏就須要跟讀者說明一下，谷歌內核瀏覽器自帶XSS篩選器，因此對於反射型XSS測試，儘可能不使用谷歌瀏覽器，筆者建議使用火狐瀏覽器進行測試；

4.3 結果分析

如今筆者將上面的URL地址複製下來，並粘貼到火狐瀏覽器當中，並按下回車，看到效果以下圖

此時payload已經被觸發，說明找到了一個反射型XSS的漏洞，這種漏洞相對來講很是初級，隨着瀏覽器的XSS篩選器變得更加智能，這種漏洞也愈來愈少，在下面的內容當中筆者將會提到存儲型XSS挖掘與繞過。

5、存儲型挖掘

如今筆者來尋找存儲型XSS，存儲型的攻擊代碼是存儲在服務端，所以須要找出一些會將表單內容存儲到服務端的位置，筆者在以前已經對permeate作了一番瞭解，所以知道permeate擁有發帖和回帖功能，這些功能正是須要將參數存儲起來並展現的地方。

5.1 發現漏洞

在首頁點擊XSS板塊，進入到了板塊列表當中，以下圖

在右下角能看到有一個發帖按鈕，點擊發帖按鈕後，便可進入發帖界面，以下圖

在permeate滲透測試系統當中，筆者若是要發表帖子，那麼就須要有帳號，筆者這裏隨便註冊一個帳號，註冊過程筆者就不詳細講解了

5.2 檢驗漏洞

在註冊帳號完成並登錄以後，筆者再次打開發帖頁面，並在標題處和內容處都填寫payload,參考內容以下：

<script>alert(123)</script>
複製代碼

在標題處和帖子內容中分別填寫payload，填寫好以後，應和與下圖一致

填寫好內容以後，筆者點擊下方的發表按鈕，便可進行發帖，發帖成功會彈出一個提示成功，以下圖所示

點擊肯定以後，會跳轉到發帖列表，並彈出一個123的提示框，以下圖所示

若是看到這個彈框，說明筆者的payload已經被執行，點擊肯定就能夠看到列表的內容，以下圖所示

在列表中只顯示標題，因此帖子內容中的payload並無被執行；

5.3 抓包繞過

如今點擊標題，進入帖子詳情頁面，在詳情頁筆者發現payload也只觸發了一次，並且內容當中的標籤被直接顯示了出來，以下圖

當標籤被直接顯示出來，這說明筆者的參數被轉義了；轉義分爲兩種，前端轉義和後端轉義，若是是後端轉義一般筆者會放棄測試，若是是前端轉義則能夠繞過這個限制；在這裏筆者發現標題沒有被轉義，而內容被轉，猜想多是前端作的轉義，所以能夠經過瀏覽器的審查工具將數據包拷貝下來；

首先從新打開發帖頁面，而後在網頁隨便一個位置單擊鼠標右鍵->選擇審查元素->切換到network標籤並勾選Preserve log，打開網絡並勾選Preserve log的目的是讓發表帖子以後，能在網絡請求中找到該記錄，如今筆者能夠填寫新的payload，以下圖

點擊發表按鈕以後，筆者能夠在控制檯中找到剛纔的post請求，從請求中能夠看出，這個數據發出去就已經被轉義了，以下圖

5.4 編碼替換

當肯定這個地方存在前端作了轉義處理，若是後端沒有作處理，筆者就能夠繞過它，如今筆者將請求複製出來，而後改變裏面的數據，以下圖

複製出來的數據以下

curl 'http://permeate.songboy.net/home/_fatie.php?bk=6&zt=0' -H 'Connection: keep-alive' -H 'Cache-Control: max-age=0' -H 'Origin: http://permeate.songboy.net' -H 'Upgrade-Insecure-Requests: 1' -H 'Content-Type: application/x-www-form-urlencoded' -H 'User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_4) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.106 Safari/537.36' -H 'Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8' -H 'Referer: http://permeate.songboy.net/home/fatie.php?bk=6' -H 'Accept-Encoding: gzip, deflate' -H 'Accept-Language: zh-CN,zh;q=0.9,en;q=0.8' -H 'Cookie: __cfduid=defc970ef7081e30aedd761da5762b1891532003579; UM_distinctid=1655a61a23343c-03f0904540a333-34657908-1fa400-1655a61a234323; PHPSESSID=rufhm0741qfv55cpfnc80k1g4l' --data 'csrf_token=3908&bk=6&title=222%3Cscript+%3Ealert%28123%29%3C%2Fscript%3E&content=%3Cp%3E222%26lt%3Bscript+%26gt%3Balert%28123%29%26lt%3B%2Fscript%26gt%3B%3C%2Fp%3E' --compressed
複製代碼

筆者找到參數中的title和content參數值，將title的參數值複製下來，而後替換content的參數值，替換後的內容以下

curl 'http://permeate.songboy.net/home/_fatie.php?bk=6&zt=0' -H 'Connection: keep-alive' -H 'Cache-Control: max-age=0' -H 'Origin: http://permeate.songboy.net' -H 'Upgrade-Insecure-Requests: 1' -H 'Content-Type: application/x-www-form-urlencoded' -H 'User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_4) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.106 Safari/537.36' -H 'Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8' -H 'Referer: http://permeate.songboy.net/home/fatie.php?bk=6' -H 'Accept-Encoding: gzip, deflate' -H 'Accept-Language: zh-CN,zh;q=0.9,en;q=0.8' -H 'Cookie: __cfduid=defc970ef7081e30aedd761da5762b1891532003579; UM_distinctid=1655a61a23343c-03f0904540a333-34657908-1fa400-1655a61a234323; PHPSESSID=rufhm0741qfv55cpfnc80k1g4l' --data 'csrf_token=3908&bk=6&title=222%3Cscript+%3Ealert%28123%29%3C%2Fscript%3E&content=222%3Cscript+%3Ealert%28123%29%3C%2Fscript%3E' --compressed
複製代碼

替換完成以後，筆者將此內容複製到終端當中（若是讀者用的是windows操做系統，能夠下載一個cmder），而後按下回車鍵，結果以下圖

5.5 結果分析

在返回結果當中能夠看到提示發帖成功，此時就筆者已經成功發佈了一個新帖子，回到帖子列表當中看到有三條帖子，在最後面的帖子則是筆者新發布的，以下圖

打開詳情頁，筆者被彈了兩次提示框，說明標題和內容當中的payload都被觸發,而且在控制檯當中也能夠看到script變成了DOM節點，而不是文本展示出來，以下圖所示

看到此處說明筆者已經成功繞過前端XSS過濾器，晚一些在發表一篇工具盤，和防護篇，你們有興趣也能夠支持一下筆者的視頻教程，URL地址以下

https://coding.imooc.com/class/242.html
複製代碼

Thanks♪(･ω･)ﾉ

6、新書推薦

若是對筆者的實戰文章較爲感興趣，能夠關注筆者新書《PHP Web安全開發實戰》，現已在各大平臺上架銷售，封面以下圖所示

---

做者:湯青松

微信:songboy8888

日期:2018-08-21