目录
XSS的原理
XSS全称跨站脚本(Cross Site Scripting),为避免与层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故缩写为XSS。这是一种将任意 Javascript 代码插入到其他Web用户页面中执行以达到攻击目的的漏洞。攻击者利用浏览器的动态展示数据功能,在HTML页面里嵌入恶意代码。当用户浏览该页时,这些潜入在HTML中的恶意代码会被执行,用户浏览器被攻击者控制,从而达到攻击者的特殊目的,如 cookie窃取等。
XSS属于代码注入的一种,它允许攻击者将代码注入到网页,其他用户在浏览网页时就会受到影响。
XSS的产生原因就是没有对用户的输入做合法的过滤。
反射型XSS
在一个页面发现了一个功能,例如搜索,用户可以输入一些内容,这些内容会被插入到页面中,在过滤不严的情况下可能就会被页面解析。这些内容就包括恶意payload。因为没进数据库(输一次触发一次),所以是非持久型、短暂的且危害较小的一个漏洞。
反射型XSS的存在位置,可能在搜索、input表单,可能会存在过滤,可以通过编码等方式尝试绕过,JavaScript伪协议也可以触发XSS
DOM型XSS
因为 JS 可以控制页面中所有元素,所以在 JS 中可能会存在一些XSS的漏洞。这里和HTML的页面没关系了, JS 页面也可以触发payload。
<body>
<p id = "p">test</p>
</body>
<script>
let p = document.getElementById('p');
p.innerHTML = <script>alert(1)</script>
#这段代码会把p标签中的内容替换为<script>alert(1)</script>,就触发了
</script>
上面的触发过程和HTML没有关系,是被 JS 完整控制触发的,这种被称为DOM型XSS。
存储型XSS
提交的东西真的被存到数据库并且可以触发。是持久型的。通常发生在留言板等地方
常见的XSS Payload
(1)<script>标签直接注入 <script>alert(1)</script> # 原理:直接插入<script>标签,内容会被浏览器解析为JS代码并执行。
(2)HTML事件处理器 <img src=1 onerror=alert(1)> <svg/onload=alert(1)> # 原理:通过HTML标签的事件属性(如onerror、onload)触发JS代码。
(3)javascript:伪协议 <a href="javascript:alert(1)">aaaa</a> # 原理:通过javascript:协议在用户点击链接时执行JS代码(需要用户交互)。
(4)自动聚焦(autofocus+onfocus) <input onfocus=alert(1) autofocus> # 原理:autofocus:使输入框自动获得焦点。onfocus:当元素聚焦时触发JS代码。(无需用户交互)
(5)大小写/标签变形 <ScRipT>alert(1)</sCriPt> <IMG SRC=x ONERROR=alert(1)> # 目的:绕过简单的关键字过滤(如正则匹配<script>)
(6)编码绕过 <img src=x onerror=alert(1)> # 原理:使用HTML实体编码(如alert(1)———>alert(1))