渗透测试技术 课件 第5章-5.3-XSS攻击.pptx

XSS攻击;跨站脚本攻击(Cross Site Scripting)，为不和层叠样式表(CascadingStyle Sheets, CSS)的 缩写混淆。故将跨站脚本攻击缩写为XSS。 2017年在OWASP（open web application security project）评为十大安全漏洞中的第七威胁漏洞。也有黑客把XSS当做新型的“缓冲区溢出攻击”，而JavaScript是新型的shellcode。;目录/CONTENTS;跨站点脚本（也称为 XSS）是一种 Web 安全漏洞，允许攻击者破坏用户与易受攻击的应用程序的交互。它允许攻击者绕过旨在将不同网站彼此隔离的同源策略。跨站点脚本漏洞通常允许攻击者伪装成受害者用户，执行用户能够执行的任何操作，并访问用户的任何数据。如果受害者用户在应用程序中拥有特权访问权限，那么攻击者可能能够完全控制应用程序的所有功能和数据。;跨站点脚本通过操纵易受攻击的网站来工作，以便将恶意 JavaScript 返回给用户。当恶意代码在受害者的浏览器中执行时，攻击者可以完全破坏他们与应用程序的交互。 ;假设一个网站有一个搜索功能，接收用户在URL参数中提供的搜索词： /search?term=gift 假设应用程序不执行任何其他数据处理，攻击者可以构建如下攻击： /search?term=scriptalert(/xss/)/script 如果应用程序的另一个用户请求攻击者的URL，那么攻击者提供的脚本将在受害者用户的浏览器中执行。 ;XSS概念证明;利用跨站点脚本漏洞的攻击者通常能够： 冒充或伪装成受害者用户。 执行用户能够执行的任何操作。 读取用户能够访问的任何数据。 捕获用户的登录凭据。 对网站进行虚拟篡改。 将特洛伊木马功能注入网站。;通常出现XSS漏洞的地方： 微博、留言板、聊天室等等收集用户输入的地方，都有遭受XSS 的风险，只要没有对用户的输入进行严格过滤，就会被XSS 。 ;目录/CONTENTS;XSS攻击主要分为三种类型： 反射型 XSS，其中恶意脚本来自当前的 HTTP 请求。 存储的 XSS，其中恶意脚本来自网站的数据库。 基于 DOM 的 XSS，该漏洞存在于客户端代码而不是服务器端代码中。;当应用程序在 HTTP 请求中接收数据并以不安全的方式在即时响应中包含该数据时，就会出现反射跨站点脚本（或XSS）。 假设一个网站有一个搜索???能，它接收用户在 URL 参数中提供的搜索词： /search?term=gift 应用程序在对此 URL 的响应中回显所提供的搜索词： pYou searched for: gift/p 假设应用程序不执行任何其他数据处理，攻击者可以构建如下攻击： /search?term=script/*+Bad+stuff+here...+*//script;此 URL 会产生以下响应： pYou searched for: script/* Bad stuff here... *//script/p 如果应用程序的另一个用户请求攻击者的 URL，那么攻击者提供的脚本将在受害者用户的浏览器中，在他们与应用程序的会话上下文中执行。;反射型XSS攻击步骤;如果攻击者可以控制在受害者浏览器中执行的脚本，那么他们通常可以完全危害该用户。除其他外，攻击者可以： 在应用程序中执行用户可以执行的任何操作。 查看用户能够查看的任何信息。 修改用户能够修改的任何信息。 发起与其他应用程序用户的交互，包括恶意攻击。 ;使用 Burp Suite 的Web漏洞扫描器可以快速可靠地找到绝大多数反映的跨站点脚本漏洞。 手动测试反射型 XSS 漏洞涉及以下步骤： 测试每个入口点。分别测试应用程序 HTTP 请求中数据的每个入口点。这包括 URL 查询字符串和消息正文中的参数或其他数据，以及 URL 文件路径。它还包括 HTTP 标头，尽管只能通过某些 HTTP 标头触发的类似 XSS 的行为在实践中可能无法利用。 确定反射上下文。对于响应中反映随机值的每个位置，确定其上下文。这可能在 HTML 标签之间的文本中，在可能被引用的标签属性中，在 JavaScript 字符串中等。 ;测试候选有效载荷。根据反射的上下文，测试初始候选 XSS 负载，如果它在响应中未修改地反射，则将触发 JavaScript 执行。 测试替代有效载荷。如果候选 XSS 负载被应用程序修改，或完全被阻止，那么您将需要根据反射的上下文和正在执行的输入验证类型来测试可能会提供有效 XSS 攻击的替代负载和技术。 在浏览器中测试攻击。最后，如果你成功找到了一个看似在 Burp Repeater 中工作的有效载荷，将攻击转移到一个真实的浏览器（通过将 URL 粘贴到地址栏中，或者通过在Burp Proxy