DOM型XSS 概念 DOM全称Document Object Model,使用DOM可以使程序和脚本能够动态访问和更新文档的内容、结 构及样式。DOM型XSS其实是一种特殊类型的反射型XSS,它是基于DOM文档对象模型的一种漏洞。 HTML的标签都是节点,而这些节点组成了DOM的整体结构——节点树。通过HTML DOM,树中的所有 结点均可通过JavaScript进行访问。所有HTML元素(节点)均可被修改,也可以创建或删除节点。HTML DOM树结构如下:
在网站页面中有许多元素,当页面到达浏览器时,浏览器会为页面创建一个项级的Document object文 档对象,接着生成各个子文档对象,每个页面元素对应一个文档对象,每个文档对象包含属性、方法和 事件。可以通过JS脚本对文档对象进行编辑,从而修改页面的元素。也就是说,客户端的脚本程序可以 通过DOM动态修改页面内容,从客户端获取DOM中的数据并在本地执行。由于DOM是在客户端修改节 点的,所以基于DOM型的XSS漏洞不需要与服务器端交互,它只发生在客户端处理数据的阶段。 攻击方式:用户请求一个经过专门设计的URL,它由攻击者提交,而且其中包含XSS代码。服务器的响应 不会以任何形式包含攻击者的脚本。当用户的浏览器处理这个响应时,DOM对象就会处理XSS代码,导 致存在XSS漏洞。
攻击流程 XSS-labs 挑战赛能够得到什么?
过滤的方式有哪些?
1. 标签实体化=>
2. 大小写过滤=>改变大小写绕过
3. 关键字加下划线=>利用 绕过
4. 替换关键字空白 =>双写绕过/尝试转编码
5. 替换关键字(包含空格)空格 => %0a 绕过空格
6. 特殊的值放在特殊的位置: cookie,user-agent,referer
绕过的常用语句:
<script>alert(1)</script>
<img src=1 onerror=alert(1)>
<a href="javascript:alert(1)">点我</a>
<a HreF="javascript:alert(1)">点我</a>
' onfocus=alert(1)
" oninput=alert(1)
" onmouseover=alert(1)
javascript:alert(1)
javaSCRipt:alert(1)当再做XSS注入的时候,如果常规的语句不管用,一定分析源码。 存在XSS主要原因是什么? 输入输出过滤不完整。
常用测试语句:
<script>alert(1)</script>
<img src=x onerror=alert(1)>
<svg onload=alert(1)>
<a href=javascript:alert(1)>
常见的XSS的绕过编码 常见的XSS的绕过编码有JS编码、HTML实体编码和URL编码。 JS编码 JS提供了四种字符编码的策略,如下所示: 三个八进制数字,如果个数不够,在前面补0,例如“e”的编码为“\145”。 两个十六进制数字,如果个数不够,在前面补0,例如“e”的编码为“\x65”。 四个十六进制数字,如果个数不够,在前面补0,例如“e”的编码为“\u0065”。 对于一些控制字符,使用特殊的C类型的转义风格(例如\n和\r)。
HTML实体编码 命名实体:以&开头,以分号结尾如 “<”的编码是“<”。字符编码:十进制、十六进制ASCII码或Unicode 字符编码,样式为“&#数值”。例如”<”可以编码为“<”和“<”。
URL编码 这里的URL编码,也是两次URL全编码的结果,如果alert被过滤,结果为 %25%36%31%25%36%63%25%36%35%25%37%32%25%37%34
XSS防御 HttpOnly HttpOnly 最早由微软提出,浏览器将禁止页面的JavaScript访问HttpOnly属性的Cookie。HTTPOnly 并 未要对抗XSS,HTTPOnly 解决的是XSS后的Cookie劫持攻击。在使用了HTTPOnly之后,会使这种攻击 失效。 使用了HttpOnly之后就没有办法偷取cookie了。
输入检查 常见的web漏洞都要求攻击者构造一些特殊字符,这些特殊字符可能是常规用户不会用到的,所以输入 检查就很有必要了。在XSS防御上一般就是检查用户输入数据中是否包含一些特殊字符,如、"、' 如果发现这些特殊字符将这些关键字符过滤或者编码。 比较智能的检查还可以匹配XSS 的特征,比如查找用户数据中是否包含了、javascript这些敏感字符。这 种检查方式称为XSS filter,网上有很多XSS filter的实现。但是XSS filter对语境理解并不完整。
输出检查 除了富文本的输出之外,在变量输出到HTML页面时,可以使用编码或者转义的方式来防御XSS攻击。 HTML代码的编码方式是HtmlEncode。 PHP中有htmlentities()和htmlspecialchares() 这两个函数可以满足安全要求 Javascript 可以使用JavascriptEncode。 在Django自带的模板系统中,可以使用escape进行htmlencode,并且在Django 1.0中默认所有变 量都会被escape。 web2py中,也默认escape了所有变量。
针对性防御XSS HTML 中的XSS 一般需要在HTML中插入一个脚本,来执行JavaScript代码,使用htmlEncode既可以解决。 Javascript中的XSS 防御时使用JavascriptEncode 富文本中的XSS 一些比较成熟的开源项目,可以实现对富文本XSS的检查。 Anti-Samy是OWASP的一个开源项目,也是目前最好的XSS Filter,PHP中可以使用HTMLPurify DOM Based XSS 需要针对问题进行修复。
