安全运维3.1—跨站脚本漏洞(XSS)之反射型XSS(get)漏洞

概述

攻击流程

XSS漏洞常见类型

危害级别：存储型>反射型>DOM型

• 反射型：交互的数据一般不会被存在数据库里面，一次性，所见即所得，一般出现在查询类页面；
• 存储型：交互的数据会被存在数据库里面，永久性存储，一般出现在留言板、注册等页面；
• DOM型：不与后台服务器产生数据交互，是一种通过DOM操作前段代码输出的时候产生的问题，一次性，也属于反射型。

XSS漏洞形成的原因

形成XSS漏洞的主要原因是程序对输入和输出的控制不够严格，导致"精心构造"的脚本输入后，在输到前端时被浏览器当做有效代码解析执行，从而产生危害。

实验

跨站脚本漏洞测试流程

• 在目标站点上找到输入点，比如查询接口、留言板等；
• 输入一组"特殊字符+唯一标识字符"，点击提交后，查看返回的源码，是否有做对应的处理；
• 通过搜索定位大盘唯一字符，结合唯一字符前后语法确认是否可以构造执行js的条件(构造闭合)；
• 提交构造的脚本代码(以及各种绕过姿势)，看是否可以成功执行，如果成功执行则说明存在XSS漏洞。

Tips：

• 一般查询接口容易出现反射型XSS，留言板容易出现存储型XSS；
• 由于后台可能存在过滤措施，构造的script可能会被过滤掉，而无法生效，或者环境限制了执行(浏览器)；
• 通过变化不同的script，尝试绕过后台过滤机制。

实验1—反射型XSS(get)漏洞

从一个弹窗开始认识XSS漏洞！

环境：Firefox、pikachu

测试工具：Firefox+浏览器开发者工具

进入到pikachu页面—反射型xss(get)：

提交，查看返回结果：

然后，分析源码（通过关键词找到返回结果输出位置）：

尝试在该位置输入js代码：

上面发现，文本框对输入内容加了长度限制，前端代码加的限制可解除，解除限制：

使用开发者工具（F12），修改 maxlength=20000 ，这样文本框中就可以输入更多字符：

提交：

说明，刚刚输入的代码直接执行了，即此处存在XSS（反射型）漏洞！

查看此时的源代码：

刷新页面，因为是反射型XSS漏洞，内容不会被保存。

反射型XSS漏洞利用场景

url分析：

http://127.0.0.1/pikachu/vul/xss/xss_reflected_get.php?message=%3Cscript%3Ealert%281%29%3C%2Fscript%3E&submit=submit

通过该漏洞，可以发给服务器执行任何js代码！

GET和POST典型区别

GET是以url方式提交数据；

POST是以表单方式在请求体里面提交；

GET方式的XSS漏洞更加容易被利用，一般利用的方式是将带有跨站脚本的url伪装后发送给目标，而POST方式由于是以表单方式提交，无法直接使用url方式进行攻击，如何利用？

(adsbygoogle = window.adsbygoogle || []).push({});