反射型XSS例题
基于DVWA平台
low难度
源代码
<?php header ("X-XSS-Protection: 0"); // Is there any input? if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) { // Feedback for end user echo '<pre>Hello ' . $_GET[ 'name' ] . '</pre>'; } ?>
从上面的源代码中可以很明显的看出来,对name没有做任何的处理,所以说存在很明显的xss漏洞。我们可以直接在输入框中输入:
<script>alert(/xss/)</script>
Medium难度
源代码
<?php header ("X-XSS-Protection: 0"); // Is there any input? if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) { // Get input $name = str_replace( '<script>', '', $_GET[ 'name' ] ); // Feedback for end user echo "<pre>Hello ${name}</pre>"; } ?>
可以看到,这里对输入进行了过滤,基于黑名单的思想,使用str_replace函数将输入中的<script>
删除,这种防护机制是可以被轻松绕过的。下面开始尝试绕过:
双写绕过:
<sc<script>ript>alert(/xss/)</script>
,成功弹框:
大小写混淆绕过:
<ScRipt>alert(/xss/)</script>
成功弹框:
High难度
源代码
<?php header ("X-XSS-Protection: 0"); // Is there any input? if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) { // Get input $name = preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $_GET[ 'name' ] ); // Feedback for end user echo "<pre>Hello ${name}</pre>"; } ?>
可以看到,High级别的代码同样使用黑名单过滤输入,preg_replace() 函数用于正则表达式的搜索和替换,这使得双写绕过、大小写混淆绕过(正则表达式中i表示不区分大小写)不再有效。但是可以通过通过img、body等标签的事件或者iframe等标签的src注入恶意的js代码。尝试使用img标签绕过:
img绕过:
<img src=# onerror=alert(111)>
同理可得,其他的标签也是可以的。
Impossible难度
源代码
<?php // Is there any input? if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) { // Check Anti-CSRF token checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' ); // Get input $name = htmlspecialchars( $_GET[ 'name' ] ); // Feedback for end user echo "<pre>Hello ${name}</pre>"; } // Generate Anti-CSRF token generateSessionToken(); ?>
不可能 - 这个级别应该可以抵御所有XSS漏洞。它用于将易受攻击的源代码与安全源代码进行比较。少年,世界很美好,贫僧祝你好运。代码使用htmlspecialchars函数把预定义的字符&、”、 ’、<、>转换为 HTML 实体,防止浏览器将其作为HTML元素。