PHP代码审计笔记--XSS

 　　跨站脚本攻击(Cross Site Scripting)，为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆，故将跨站脚本攻击缩写为XSS。Web程序代码中把用户提交的参数未做过滤就直接输出到页面，参数中的特殊字符打破了HTML页面的原有逻辑，黑客可以利用该漏洞执行恶意Script代码，当用户浏览该页之时，嵌入其中Web里面的Script代码会被执行，从而达到恶意攻击用户的目的。

0x01 XSS

最简单的一个案例，输入即输出。

漏洞代码示例：

<?php
    echo $_REQUEST[ 'id' ];
?>

 测试语句：?id=<script>alert(/xss/)</script>

0x02 编码解码

编码解码输出时，可能导致XSS编码绕过的情况

漏洞代码示例：

<?php
$a=urldecode($_GET['id']); //接收参数并进行url解码
$b=htmlspecialchars($a);   //HTML ENCODE处理,到这里都是没有问题的
echo urldecode($b);        //最后，url解码输出
?>

测试语句：id=%25253Cscript%25253Ealert(/xss/)%25253C/script%25253E 

这边代码逻辑中，问题根源在于最后一句的url解码输出，导致存在三重url编码绕过的情况。

根据实际情况，给出安全建议：HTML ENCODE处理后直接输出变量。

0x03 HTML不规范

HTML代码编写不规范，可能导致的问题，我们来看一个案例：

漏洞代码示例：

<?php
    $name = htmlspecialchars($_GET['name']);
?>

<input type='text' class='search' value='<?=$name?>'>

获取参数，在一个input元素的属性里输出这个变量，我们注意到这里使用的是单引号闭合，而函数默认只是转化双引号("), 不对单引号(')做转义。

因此，可以用单引号闭合，

测试语句：?name=222' onclick='alert(/xxs/)

安全建议：将HTML标签的属性值用双引号引起来。

0x04  黑名单过滤

通过在全局引入过滤函数，提供黑名单过滤，

漏洞代码示例： 

<?php
    $name = htmlspecialchars($_GET['name']);
    $pregs = "/<script>|</script>|onclick|oncontextmenu|ondblclick|onmousedown|onmouseenter|onmouseleave|onmousemove|onmouseover|onmouseout|onmouseup|onkeydown|onkeypress|onkeyup/i";

    $check = preg_match($pregs, $name);
    if ($check) {
           echo 'not found';
           exit;
    }
?>

<input type='text' class='search' value='<?=$name?>'>

从html编写不规范，我们可以使用单引号闭合，然后去进一步构造触发事件，可是常见的XSS事件大多都被过滤了，

怎么快速地去找到可以拿来利用的XSS触发事件呢?  答：XSS FUZZ。

前提是要收集积累一些触发事件，利用自己编写python脚本进行fuzz

 虽然fuzz出来很多事件，但要结合具体输出位置去分析，找到合适的事件，最终得出Payload。

测试语句：?name=111' onfocus='alert(/xss/)

附XSS FUZZ 脚本：

#! /usr/bin/env python
# _*_  coding:utf-8 _*_

import requests
import urlparse
import urllib

# 使用说明，修改第54行处的字典即可使用，支持GET、POST等简单XSS验证
# url 支持 * 号  如  http://127.0.0.1/test.php?id=1*3333   payload会替换*号内容

global result_dict
result_dict={}

def get(url,para,payload):
    params={}
    result=urlparse.urlparse(url)
    params=urlparse.parse_qs(result.query,True) 
    if '*' in params[para][0]:
        params[para]=str(params[para][0]).replace("*", payload);
    else:
        params[para]=str(params[para][0])+payload
    m_url=result.scheme+"://"+result.netloc+result.path
    data = urllib.urlencode(params)
    geturl = m_url+'?'+data
    response = requests.get(geturl)
    result_dict[payload]=[response.content,len(response.content),response.status_code]
    return result_dict


def make_get_resule(url,para):
    with open('on.txt') as f:  
        for payload in f.xreadlines():
            payload =payload.strip()
            if '#' in payload or len(payload)==0:
                pass
            else:
                get(url,para,payload)
                result_analysis(payload)
                
def post(url,data,para,payload):
    params={}
    params=urlparse.parse_qs(data,True) 
    if '*' in params[para][0]:
        params[para]=str(params[para][0]).replace("*", payload);
    else:
        params[para]=str(params[para][0])+payload

    response = requests.post(url,data=params,timeout=5)
    result_dict[payload]=[response.content,len(response.content),response.status_code]
    return result_dict


def make_post_resule(url,data,para):
    with open('on.txt') as f:  
        for payload in f.xreadlines():
            payload =payload.strip()
            if '#' in payload or len(payload)==0:
                pass
            else:
                post(url,data,para,payload)
                result_analysis(payload)
def result_analysis(payload):
    if  payload in result_dict[payload][0]:
        print "[+]" + payload +"  ok"

    if  result_dict[payload][0].count(payload)>1:
        print "[+]" + payload +"  repeat"

if __name__ == '__main__':
    result_dict={}
    methodselect = raw_input("[?] Select method: [G]ET or [P]OST (G/P): ").lower()
    if methodselect == 'g':
        url = raw_input("Please input url:")
        para = raw_input("Please input para:")
        if 'https://' in url:
            pass
        elif 'http://' in url:
            pass
        else:
            url = "http://"+url        
        make_get_resule(url,para)
        
    elif methodselect == 'p':
        url = raw_input("Please input url:")
        data = raw_input("Please input data:")
        para = raw_input("Please input para:")
        if 'https://' in url:
            pass
        elif 'http://' in url:
            pass
        else:
            url = "http://"+url
        
        make_post_resule(url,data,para)

0x05  漏洞防护

1、PHP提供了两个函数htmlentities()和htmlspecialchars() ，把一些预定义的字符转换为 HTML 实体。

防御代码示例:

<?php    
    echo htmlspecialchars($_REQUEST[ 'id' ]);
?>

2、其它的通用的补充性防御手段

1.在输出html时，加上Content Security Policy的Http Header
（作用：可以防止页面被XSS攻击时，嵌入第三方的脚本文件等）
（缺陷：IE或低版本的浏览器可能不支持）
2.在设置Cookie时，加上HttpOnly参数
（作用：可以防止页面被XSS攻击时，Cookie信息被盗取，可兼容至IE6）
（缺陷：网站本身的JS代码也无法操作Cookie，而且作用有限，只能保证Cookie的安全）
3.在开发API时，检验请求的Referer参数
（作用：可以在一定程度上防止CSRF攻击）
（缺陷：IE或低版本的浏览器中，Referer参数可以被伪造）

关于我：一个网络安全爱好者，致力于分享原创高质量干货，欢迎关注我的个人微信公众号：Bypass--，浏览更多精彩文章。

参考文章:

PHP的防御XSS注入的终极解决方案    https://segmentfault.com/q/1010000004067521

xss防御之php利用httponly防xss攻击  http://www.jb51.net/article/48345.htm

如何正确防御xss攻击   http://lobert.iteye.com/blog/2164741

XSS修复方案  http://webscan.360.cn/vul/view/vulid/2125