存储型Xss成因及挖掘方法.pptVIP

存储型XSS的成因及挖掘方法 USERID: Gainover (g_@) GROUP: PKAV Group 2012-7-28 | | 什么是XSS攻击？ 个人资料信息填写 发表一篇日志 发表一篇留言 发表一篇评论 提出一个问题 回答一个问题 ….. 地址栏参数 Dom属性 攻击者 注入恶意代码 输入过滤 输出过滤 输入 输出 代码缺陷 查看他人资料 查看一篇日志 查看一条留言 查看一个评论 查看一个问题 查看一个答案 点开一个链接 点开一个邮件 …… 恶意代码执行 受害者 XSS模型 当受害者变为攻击者时，下一轮受害者将更容易被攻击，威力更加明显！ 用户信息 私密信息：日志，相片，邮件 管理信息 后台地址，管理员帐号信息 甚至直接通过Ajax上传Shell 客户端信息 针对浏览器缺陷实施攻击 突破浏览器的域限制 360, 傲游等浏览器的命令执行 XSS Xss蠕虫攻击 DDoS攻击 XSS攻击可以用来做什么？ XSS的种类划分 反射型XSS Reflected XSS 存储型XSS Stored XSS 恶意代码存放位置 地址栏 数据库 恶意代码效果 用户点击恶意链接打开时 执行恶意代码，隐蔽性差 用户浏览带有恶意代码的 正常页面时触发，隐蔽性强 A B C D 1 2 Non-persistent Persistent 反射型XSS XSS Filter 扫描器 WAF产品 但是危害越来越小…. 但是容易被扫…. 但是容易被干掉…… XSS攻击的现状 存储型XSS 广泛存在 存储型XSS的分类 输出内容 输出未过滤 HTML-Context JS-Context Css-Context 输出已过滤 Dom-Based 操作 eval innerHTML setTimeout setInterval document.write 根据输出 内容所处 的位置来 分类。 经常需要 二次过滤 ，但程序 员忽略掉 了。 会自动发生一些转义 Flash-based XSS 其它/HTML文件 HTML-Context 存储型XSS 及 防御 wooyun-2010-07831 (random_) 百度某分站存储型XSS 恶意代码的输入 恶意代码的输出 恶意代码的执行 , 替换为 lt; gt; 判断存在, ,禁止提交 JS-Context 存储型XSS 及其防御 wooyun-2010-09111 (gainover) 点点网存储型XSS JS-Context 存储型XSS的利用方式: /script闭合当前脚本，然后输入自定义内容。 2. 根据JS上下文，构造正确的闭合。 过滤 ,,/ 替换/script为/’+’script (网易邮箱) 根据实际情况，进行过滤。通常 输出是字符串，在’和之间， 过滤’,即可 wooyun-2010-02321(Clouds) 百度贴吧存储型XSS JS-Context 存储型XSS 及其防御 和script中的XSS一样，过滤 ’ 和 而实际上，在HTML的属性里，#NNN; 或 #xNN;也是可以被执行的！ 进一步构造 利用代码 还需要将过滤为amp; 字符 转义 #x22; / quot; ‘ #x27; #x3C; / lt; #x3E; / gt; \ #x5C; / #x2F; CSS-Context 存储型XSS 及其防御 通常情况下，可能会将, 过滤掉了，因而无法使用此方式 1. 如果未做过滤，可以用/stylestyle … 的方式来调用 CSS-Context 存储型XSS的利用方式: 2. 直接根据CSS上下文构造闭合 根据CSS类型对输出进行严格纠正 例如：字体大小，必须为数字， 图片地址不允许出现非法字符 IE 6, 7, 8 wooyun-2010-05967 (gainover, QQ空间存储型XSS) wooyun-2010-01101 (呆子不开口, 网易微博换肤XSS) 5. /content/465 CSS-Context 存储型XSS 及其防御 除了style…./style中可以被写入CSS数据之外，还有其它位置也可以： 2. link rel=stylesheet href=data:,*%7bx:expression(if(!window.x)%7balert(1);window.x=1%7d)%7d / 3. style@import data:,*%7bx:expression(if(!window.x)%7balert(1);window.x=1%7d)%7D;/style 1. div style=width:expression(if(!window.x){alert(1);window.x=1})