电子教案 web应用与安全防护-26.docVIP

/学年第学期

教案

课程名称：Web应用安全与防护

课程代码：

任课教师：

教务处印制

课次

26

课程类型

实践

项目（模块）

项目2：典型漏洞利用与防御

----任务2.6跨站脚本xss漏洞（一）

教学目标

知识目标：

1.了解xss漏洞的基本概念、分类

2.理解xss漏洞的测试流程

3.掌握xss漏洞的利用与加固

能力目标：

1.能利用xss漏洞获取用户信息，并能够防护与加固该漏洞

情感目标：

1.自主、开放的学习能力

2.良好的自我表现、与人沟通能力

3.良好的团队合作精神

教学重点

1.反射型xss漏洞

2.存储型xss漏洞

教学难点

1.反射型xss漏洞

2.存储型xss漏洞

教学方法

演示法

教学环境

机房

授课日期

2021/5/31

授课班级

19信息安全与管理

教学过程设计

课前准备

通过QQ群发布授课PPT，视频

教学内容

反射型xss

首先我们确认一下，这个页面上是不是存在xss漏洞？可以在恶意的输入点输入一些恶意的字符，比如‘“8888这样做的目的是我们在点击提交的时候会不会过滤掉，因为有特殊字符，然后再去验证内容有没有被输出，输出有没有被处理。，我们看出来正常输出来。

接下来，我们看一下源代码。（火狐浏览器），找到8888（ctrl+f），我们发现我们输入的内容在p标签里面：

pclass=noticewhois‘“8888,idontcare!/p/div

我们输入的一些特殊字符，又原封不动的输出到P标签这个地方，那是不是意味着我们输入一些正确的javascript代码，它们也会不会原封不动的返回回来呢？

比如说我们输入一个简单的payload,看会不会执行

scriptalert(“xss”)/script，发现输入框输不完整，这是因为很多的前端对输入框长度做了限制。如果是从前端做了限制，其实是没有用的，只能作为辅助来用。修改一下长度为200

最后发现我们刚才输入的payload，原封不动被执行了。这其实就是一个反射型的xss。

反射型的xss这个数据从前端的接口输入，到后端接受，到输出，后端是没有对输入数据进行存储。也就是说我们重新去刷新页面，这个payload代码就没有了。

下面我们来看下后端的代码，来查看一下这个漏洞具体的形成原因。我们看到一个表单

其实就是一个input输入框，当我们点击submit以后，

首先判断你提交的信息是不是为空，如果你的信息部是为空，且输入的信息不是科比（kobe），就把你输出的信息原封不动的输出。看以从源码中看出，整个输入到输出都没有防xss漏洞的处理。

反射型get类型xss，实际上是把我们输入的message这个内容，通过url传递到后台，我们可以把这段url复制下来，

07/pikachu/vul/xss/xss_reflected_get.php?message=%3Cscript%3Ealert%28%E2%80%9Cxss%E2%80%9D%29%3C%2Fscript%3Esubmit=submit

这种get类型的xss比较好利用，比如说某个著名的论坛，出现了一个反射型的xss漏洞，然后我们去精心的构造一个javascript，（不是弹窗，而是悄悄的），然后把这个payload连接发送你要攻击的目标，或者挂载到网页的某个位置，等待用户访问。

Post方式怎么利用，大家思考一下。

存储型xss

存储型xss：存储型xss和反射型xss形成的原因一样，不同的是存储型xss把攻击者的脚本注入到后台存储起来，构成更加持久的危害（危害更大），因此存储型xss也叫“永久型xss”

实验演示：

备注：存储在数据库中（pikachu/message）

同样首先测试一下有没有对特殊字符进行过滤。

发现没有过滤，可以通过查看页面的源代码查看。

简单的弹窗payload：scriptalert(哈哈，你被我xss了！)/script

源码分析：xss_stored.php

这段代码首先判断有没有message，并且message不是为空，并对message做了一个转义（防sql注入的）。再通过insert插入到数据库中message表中。还做了一个查询数据库的操作，把留言板的内容显示出来，

在输出的时候把内容原封不动的输出来，没有做任何的过滤，这样的话就形成了一个存储型xss漏洞

练习与

作业

课后反思

注：1.一次课（2课时）写一份上述格式教案，课次为授课先后次序，填1、2、3...等。

2.课程类型：理论或实践。

3.教学环境：包含场所（教学楼、机房、实训室、操场等）和教具（实训设备、教学仪器、教学模型）。

4.课后反思