九、XSS(Reflected) - 反射型XSS
原理
XSS,全称 Cross Site Scripting,即跨站脚本攻击,某种意义上也是一种注入攻击,指攻击者在页面中注入恶意的脚本代码,当受害者访问该页面时,恶意代码会在其浏览器上执行。根据恶意代码是否存储在服务器中,XSS 可以分为反射型 XSS 和存储型 XSS
反射型 XSS 是非持久性、参数型的跨站脚本,
1. Low
查看源码
<?php
header ("X-XSS-Protection: 0");
// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
// Feedback for end user
echo '<pre>Hello ' . $_GET[ 'name' ] . '</pre>';
}
?>
array_key_exists() 函数检查某个数组中是否存在指定的键名,如果键名存在则返回 true,否则返回 false,这里键名为 name
low 级别的代码只是判断了 name 参数是否为空,如果不为空的话就直接打印出来,并没有对 name 参数做任何的过滤和检查,存在非常明显的 XSS 漏洞。
漏洞利用
输入<script>alert('xss')</script>,结果如下所示
2. Medium
Medium 级代码中,服务器端使用了 str_replace() 函数把输入的 <script>进行删除,但是 str_replace() 函数是区分大小写的,所以可以使用大写绕过,而且只过滤一遍,因此也可以使用双写绕过。
漏洞利用
- 大写绕过:
<SCRIPT>alert('xss')</SCRIPT>
- 双写绕过:
<sc<script>ript>alert('xss')</script> - 事件绕过:
<a href = 'javascript:alert(666)'>click</a>
3. High
High 等级用 preg_replace() 函数对 <script> 标签进行正则过滤
漏洞利用
可以通过 img、body 等标签的事件或者 iframe 等标签的 src 注入恶意的 js 代码
输入<img src=1 one rror=alert('xss')>,代码执行成功
防护方法
- HttpOnly 属性
- 输入检查,检查特殊字符,XSS 特征等
- 输出检查,对输出进行编码