DVWA之XSS(跨站脚本漏洞)

前言

本篇文章为DVWA平台XSS（跨站脚本漏洞）类型题目，本篇文章目的为记录自己的作题过程并且希望能够帮到大家，如有错误还请各位师傅指正！ 本篇文章会同步至本人博客https://tenghy.gitee.io/teng/

环境&工具：

Windows10、phpstudy

正文

反射型XSS：反射型XSS又叫持久型XSS攻击，是攻击者发送一个带有恶意脚本的URL诱导他人点击，进一步触发脚本在浏览器上面运行。因为需要他人点击，所以链接都会具有诱惑性的名称。 存储型XSS：攻击者通过各种方式把恶意脚本代码写进被攻击的服务器数据库，当用户打开浏览页面时，浏览器会从数据库读取到被存入的恶意脚本，进而触发脚本受到攻击。 需要说明的一点是XSS和CSRF的区别在于XSS是攻击者利用用户对服务器的信任，而CSRF是利用服务器对客户端的信任。

level:

low

反射型：XSS(Reflected)

因为步骤繁琐所以就不再一步一步的挨着说明，这里只进行关键步骤的说明：

TenG<script>alert(“XSS”)</script>

直接在文本框里面输入的名字后面加上JavaScript脚本（Java脚本这里不再讲解），由于浏览器没有进行任何过滤（查看源码可以看到），所以可以成功提交，结果如下：

从上面两个图片可以看出浏览器成功执行了Java脚本，而且回显字段只是识别了TenG,成功注入。

存储型：XSS(Stored)

脚本<script>alert(document.cookie)</script>

可以看到成功返回了浏览器的cookie，而且下次再次访问此页面会自动执行该脚本（脚本被存放在了数据库），因为信息那里只写入了脚本所以没有不回显内容。

medium

反射型：XSS(Reflected)

<?php

header ("X-XSS-Protection: 0");

// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
    // Get input
    $name = str_replace( '<script>', '', $_GET[ 'name' ] );

    // Feedback for end user
    echo "<pre>Hello ${name}</pre>";
}

?>

从源码可以看到对字符"<script>"进行了过滤，替换为空字符，那么就想办法绕过，方法有很多，直接大小写绕过就可以了:

TenG<script>alert(“XSS”)</script>

成功绕过。存储型在Message字段做的过滤比较严格，可以用同样的方法在name嵌入脚本，不过name字段输入的最大字符数是10，可以F12在源码里面修改输入字段，不再赘述。

high

反射型：XSS(Reflected)

<?php

header ("X-XSS-Protection: 0");

// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
    // Get input
    $name = preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $_GET[ 'name' ] );

    // Feedback for end user
    echo "<pre>Hello ${name}</pre>";
}

?>

从源码中可以看到使用正则匹配进行了过滤，不能再使用类似双写大小写绕过了，我们可以是用HTML标签属性的事件进行触发：

<body>οnlοad=“alert(‘XSS’)”</body>

成功绕过。

存储型：XSS(Stored)

脚本：<img src=# οnerrοr=alert(document.cookie)>

name的过滤规则同反射型一样，不过这里用不了<body>标签了，而且双标签都不能用，onload属性也不能用了，不知道为啥，还望各位师傅多多指点，这里附上onload事件和onerror事件的作用：

onload: 页面加载之后立即执行一段 JavaScript onerror: onerror 事件会在文档或图像加载过程中发生错误时被触发。

好了，本篇文章到此结束，欢迎给位师傅指正！