随着网络时代的飞速发展,网络安全问题越来越受大家的关注,而SQL注入的攻击也随着各种防注入的出现开始慢慢的离我们而去,从而XSS跨站脚本攻击也慢慢的开始在最近几年崛起,也应对了’没有绝对的安全’这句话。
XSS攻击:它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。
大家刚接触XSS的时候和我大概也差不多,都是在不断的在各种搜索栏,地址栏中或者注册栏中疯狂的使用
<script>alert('xss')</script>
之类的语句进行测试,从而得到的效果几乎80%都是
<script>alert('xss')</script>
出现这样的,或者是scriptalertxssscript再或者是scriptalert(‘xss’)script。在大家看来只要能输入的地方大多数都是这样输入的,其实这存在着一个问题。
例如,在dom输出的也许是:
<input type="text" value="搜索内容">
过滤了<>那么就完全没办法,使用
<script>alert('xss')</script>
之类的语句,怎么办?我们思考一下,在input标签中有一个触发和点击事件,我们也可以考虑下使用闭合value中的内容来增加一个点击事件,
好,我们 直接来看下例如:我们搜索的内容是aaaa,那么标签中应该是这样显示的:
<input type="text" value="aaaa">
我们来改一下aaaa。我们改为:
aaaa" onclick=javascript:alert('xss')
那么在:
<input type="text" value="aaaa">
中会出现的就是:
<input type="text" value="aaaa" onclick=javascript:alert('xss')>
当用户点击我们的搜索框的时候就会弹出一个XSS的对话框,这个只是测试,之后如何调用js获取cookie或者是钓鱼之类都是靠大家的想象力去做,再如 果,当程序员过滤了script或者是”怎么办?一般搜索的地方都会在一个script标签中出现,例如:新浪网知识人某问题搜索的地方,过滤了”经过测试发现没有过滤’,这个就是一个线索,然后在审核元素中发现在我们 搜索的时候新浪会在一个script标签中给一个这样的东西:
1 <script> 2 function thisinit() 3 {$("syzs1").value = 50 - document.login.title.value.length; 4 $("syzs2").value = 3000 - document.login.description.value.length; 5 getTitleContent ('aaaa', '0'); 6 getTitleClass('0'); 7 autotenms();} 8 </script>
我们可以很明显的看到我们所搜索的aaaa出现在了这里面,我们现在来简单的构造一下,再构造之前和大家说一下一些关于javascript的东西, 在javascript中,当一行语句出现错误的时候其他一些js语句是无法执行的,//是js中的注释,首先教大家的是一种简单的方法。
getTitleContent ('aaaa', '0');
我们首先将这条语句先结束掉,然后在执行我们的js代码,我们直接来写 首先,aaaa’,’0′)这样,我们就已经结束了这条语句,程序会认为是一条完整的语句,这只是第一步,因为我们这些程序会变成这样getTitleContent (‘aaaa’,’0′)’, ’0′);这样说会报错的对吧,我们继续来写
aaaa','0');alert('xss')//aaaa
,这样程序就会变成了
getTitleContent ('aaaa','0');alert('xss')//aaaa,', '0');
我们来分析一下,首先程序先执行
getTitleContent ('aaaa','0');
然后执行alert,最后因为我们注释掉了
//aaaa,', '0');
所以后面的东西程序不会理会。这样,我们的程序就没有错了,xss自然就触发了。
说完这个,再说一种情况,如果程序过滤了//和;一号店的搜索地方就是这样的(前面日记中也有提到)搜索的地方也出现了一个script标签,这样的:
1 <script> 2 trackerContainer.addParameter(new Parameter("internalKeyword","aaaa")); 3 </script>
按照刚才我们的思路是这样写的对吧
trackerContainer.addParameter(new Parameter("internalKeyword","aaa"));alert('xss)//aaa"));
思路没错,但是人家过滤了//和;人家也想到了这一点,怎么办呢?其实在XSS中还有一种方法,就是+执行语句+这样一个东西,也就是连接符。例如
<script> var b='123'; document.write('a'+b+'a'); </script>
在html中会显示a123a 我们看到的是字符串a和一个+b+和一个字符串a啊,怎么会出现123呢???因为我们的b是一个变量,里面赋值了字符串123,然后+b+是插入到我们 的aa中间,所以输出的是a123a。
好,我们知道了这个原理之后,我们就大概知道我们下面应该做什么了,也就是:
trackerContainer.addParameter(new Parameter("internalKeyword","aaaa"+alert('xss')+"a"));
这样,我们应该在搜索的地方怎么写呢?我猜聪明的你们应该想到了,是这样的
aaa"+alert('xss')+"a
,这样写就写好了,也许眼睛尖的人会看到一个地方就是”a为什么要这样写? 这个很简单,因为本来程序将我们搜索的地方放在了”"中,如果我们再加一个”的话就变成了
trackerContainer.addParameter(new Parameter("internalKeyword","aaaa"+alert('xss')+"a""));
程序就自然而然的出错了。
同样,一号店,乐视,多玩,中国知网,都存在这样的漏洞
[via@习科]