DVWA-反射型XSS

0x01 XSS介绍

XSS，全称Cross Site Scripting，即跨站脚本攻击，某种意义上也是一种注入攻击，是指攻击者在页面中注入恶意的脚本代码，当受害者访问该页面时，恶意代码会在其浏览器上执行，需要强调的是，XSS不仅仅限于JavaScript，还包括flash等其它脚本语言。根据恶意代码是否存储在服务器中，XSS可以分为存储型的XSS与反射型XSS。

DOM型的XSS由于其特殊性，常常被分为第三种，这是一种基于DOM树的XSS。例如服务器端经常使用document.boby.innerHtml等函数动态生成html页面，如果这些函数在引用某些变量时没有进行过滤或检查，就会产生DOM型的XSS。DOM型XSS可能是存储型，也可能是反射型。

0x02 Low级别

代码如下：

<?php

header ("X-XSS-Protection: 0");//header函数向客户端发送原始的HTTP报头，这一句的作用是禁用XSS保护。

// 判断是否有输入。array_key_exists函数用于检查键名是否存在于数组中。

if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {

    // 将最终的信息反馈给用户

    echo '<pre>Hello ' . $_GET[ 'name' ] . '</pre>';

}

?>

简单的输入<script>alert(/xss/)</script>即可。

0x03 Medium级别

代码如下：

<?php

header ("X-XSS-Protection: 0");//禁用XSS保护

// 判断输入。

if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {

    // 获取输入。将<script>替换为空

    $name = str_replace( '<script>', '', $_GET[ 'name' ] );

    // 同low级别

    echo "<pre>Hello ${name}</pre>";

}

?>

绕过方法：<sc<script>ript>alert(/xss/)</script>或者可以大小写绕过<Script>alert(/xss/)</script>，因为str_replace函数对大小写敏感。

0x04 High级别

代码如下：

<?php

header ("X-XSS-Protection: 0");

// 同以上两个级别

if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {

    // 获取输入。preg_replace函数用于执行一个正则表达式的搜索和替换。

    $name = preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $_GET[ 'name' ] );

    // 同以上两个级别

    echo "<pre>Hello ${name}</pre>";

}

?>

绕过方法：<img src='1' onerror=alert(/xss/)>不用script，可以用其他的代码。

0x05 Impossible级别

代码如下：

<?php

// 判断是否有输入

if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {

    // 检查token

    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // 获取输入。htmlspecialchars函数把预定义的字符转换为HTML实体。

    $name = htmlspecialchars( $_GET[ 'name' ] );

    // 给用户的反馈

    echo "<pre>Hello ${name}</pre>";

}

// 生成token

generateSessionToken();

?>

0x06 总结

反射型XSS防御：

1.过滤用户输入

2.使用htmlspecialchar()过滤

3.使用owasp等安全xss处理API

巴特西

DVWA-反射型XSS

最新文章

热门文章