反射型XSS例题


反射型XSS例题

基于DVWA平台

low难度

  • 源代码

    <?php 
    
    header ("X-XSS-Protection: 0"); 
    
    // Is there any input? 
    if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) { 
        // Feedback for end user 
        echo '<pre>Hello ' . $_GET[ 'name' ] . '</pre>'; 
    } 
    
    ?>

从上面的源代码中可以很明显的看出来,对name没有做任何的处理,所以说存在很明显的xss漏洞。我们可以直接在输入框中输入:

<script>alert(/xss/)</script>

Medium难度

  • 源代码

    <?php 
    
    header ("X-XSS-Protection: 0"); 
    
    // Is there any input? 
    if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) { 
        // Get input 
        $name = str_replace( '<script>', '', $_GET[ 'name' ] ); 
    
        // Feedback for end user 
        echo "<pre>Hello ${name}</pre>"; 
    } 
    
    ?> 

可以看到,这里对输入进行了过滤,基于黑名单的思想,使用str_replace函数将输入中的<script>删除,这种防护机制是可以被轻松绕过的。下面开始尝试绕过:

双写绕过:<sc<script>ript>alert(/xss/)</script>,成功弹框:

大小写混淆绕过:<ScRipt>alert(/xss/)</script> 成功弹框:

High难度

  • 源代码

    <?php 
    
    header ("X-XSS-Protection: 0"); 
    
    // Is there any input? 
    if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) { 
        // Get input 
        $name = preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $_GET[ 'name' ] ); 
    
        // Feedback for end user 
        echo "<pre>Hello ${name}</pre>"; 
    } 
    
    ?> 

可以看到,High级别的代码同样使用黑名单过滤输入,preg_replace() 函数用于正则表达式的搜索和替换,这使得双写绕过、大小写混淆绕过(正则表达式中i表示不区分大小写)不再有效。但是可以通过通过img、body等标签的事件或者iframe等标签的src注入恶意的js代码。尝试使用img标签绕过:

img绕过:<img src=# onerror=alert(111)>

同理可得,其他的标签也是可以的。

Impossible难度

  • 源代码

    <?php 
    
    // Is there any input? 
    if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) { 
        // Check Anti-CSRF token 
        checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' ); 
    
        // Get input 
        $name = htmlspecialchars( $_GET[ 'name' ] ); 
    
        // Feedback for end user 
        echo "<pre>Hello ${name}</pre>"; 
    } 
    
    // Generate Anti-CSRF token 
    generateSessionToken(); 
    
    ?> 

不可能 - 这个级别应该可以抵御所有XSS漏洞。它用于将易受攻击的源代码与安全源代码进行比较。少年,世界很美好,贫僧祝你好运。代码使用htmlspecialchars函数把预定义的字符&、”、 ’、<、>转换为 HTML 实体,防止浏览器将其作为HTML元素。


文章作者: Justice
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 Justice !
  目录