前言
今天在做Java代码审计的时候,发现一处xss,于是有了这篇文章。
简介
XSS漏洞比SQL注入更多,而且在满足业务需求的情况下更加难防御。XSS漏洞经常出现在文章发表、评论回复、留言以及资料设置等地方,特别是在发文章的时候,因为这里大多都是富文本,有各种图片引用、文字格式设置等,所以经常出现对标签事件过滤不严格导致的XSS,同样,评论回复以及留言也是。其次在资料设置的地方,比如用户昵称、签名等,有的应用可能不只一处设置资料的地方,像在注册的地方可以设置、修改资料的地方可以设置,这时候要多留意,不一定所有设置这个资料的地方都过滤严格了。我们在通读代码挖掘的时候可以重点关注这几个地方,这几个地方的XSS也通常都是存储型的,其危害也是巨大的。
利用
反射型
- 欺骗:最简单有效的利用方法,但对忽悠的能力有严格的要求,不然用户不会那么容易上钩的。其次,现在的用户都有了一定的安全意识,也不是那么好骗了。目前主要是结合社工来操作。
- ClickJacking:点击劫持,是一种视觉上的欺骗手段。大概有两种方式,一是攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在该页面上进行操作,此时用户将在不知情的情况下点击透明的iframe页面;二是攻击者使用一张图片覆盖在网页,遮挡网页原有位置的含义;也是一种欺骗的手法。
- 结合CSRF技术:利用CSRF可以使得这些不好利用的XSS漏洞变得威力无穷,
- Anehta Boomerang模块:跨域获取本地cookie,只是在站点上有一个XSS,种类不限,不管是反射型XSS,还是持久型XSS,都可以为我们工作
存储型
反射型能做到的,存储型都能做到,而且利用更加方便
可以找一个XSS平台,内容很多。这里推荐https://xssaq.com/ 不放心的话,也可以自己搭建。感觉XSS这块利用的方式还是挺多的,后面可以深入学习一下
这里推荐两本书
邱永华的《XSS跨站脚本攻击剖析与防御》和余弦的《Web前端黑客技术揭秘》。
标签:XSS,地方,用户,利用,设置,资料 From: https://www.cnblogs.com/gk0d/p/16861824.html