渗透之XSS
本帖最后由 上帝 于 2015-12-27 14:04 编辑渗透测试 (penetration test)并没有一个标准的定义,国外一些安全组织达成共识的通用说法是:渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析,这个分析是从一个攻击者可能存在的位置来进行的,并且从这个位置有条件主动利用安全漏洞。
换句话来说,渗透测试是指渗透人员在不同的位置(比如从内网、从外网等位置)利用各种手段对某个特定网络进行测试,以期发现和挖掘系统中存在的漏洞,然后输出渗透测试报告,并提交给网络所有者。网络所有者根据渗透人员提供的渗透测试报告,可以清晰知晓系统中存在的安全隐患和问题。
我们认为渗透测试还具有的两个显著特点是:渗透测试是一个渐进的并且逐步深入的过程。渗透测试是选择不影响业务系统正常运行的攻击方法进行的测试。
目前常见的渗透技术之一
XSS(cross site scripting)什么是xss
跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。
xss形成的原因
造成XSS漏洞的原因就是,攻击者的输入没有经过严格的控制,最终显示给来访的用户,攻击者通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java, VBScript, ActiveX, Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到更高的权限(如执行一些操作)、个人网页内容、会话和cookie等各种内容。
XSS攻击方法跟类别
XSS攻击方式通常分为三大类:
反射型XSS 存储型XSS DOM型XSS
但实际上还存在flash XSS以及一个比较新的概念mXSS,下面分别来介绍一下:
反射型XSS,非持久化,需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容)。
存储型XSS,持久化,代码是存储在服务器中的,如在个人信息或发表文章等地方,加入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器中,用户访问该页面的时候触发代码执行。
DOM型XSS,DOM—based XSS漏洞是基于文档对象模型Document Objeet Model,DOM)的一种漏洞。DOM是一个与平台、编程语言无关的接口,它允许程序或脚本动态地访问和更新文档内容、结构和样式,处理后的结果能够成为显示页面的一部分。DOM中有很多对象,其中一些是用户可以操纵的,如uRI ,location,refelTer等。客户端的脚本程序可以通过DOM动态地检查和修改页面内容,它不依赖于提交数据到服务器端,而从客户端获得DOM中的数据在本地执行,如果DOM中的数据没有经过严格确认,就会产生DOM—based XSS漏洞。
flash XSS,利用网页上flash文件的缺陷来执行js脚本,一般是反射型XSS。
mXSS,又被叫做突变XSS,主要被用于绕过XSS过滤。用户所提供的富文本内容通过javascript代码进入innerHTML属性后,一些意外的变化会使得一串看似没有任何危害的HTML代码,最终将进入某个DOM节点的innerHTML中,浏览器的渲染引擎会将本来没有任何危害的HTML代码渲染成具有潜在危险的XSS攻击代码。随后,该段攻击代码可能会被JS代码中的其它一些流程输出到DOM中或是其它方式被再次渲染,从而导致XSS的执行。
XSS可以在访问了被插入XSS页面的用户的浏览器上执行js,从而进行一系列的操作。常见的攻击方式主要是利用XSS盗取用户未受httponly保护的cookie,再使用盗取的cookie登陆服务器进行操作。
XSS常与CSRF漏洞结合起来使用,可在用户不知不觉中用用户的账号进行转账 。
推荐一下XSS平台www.xss.re 绝对好用
对XSS的防御需要根据实际情况对用户的输入进行严格的过滤。基于过滤的XSS防御方式通常可分为两种:基于黑名单的过滤和基于白名单的过滤。后者的防御效果往往更好,对于用户在白名单之外的输入,可以直接忽略。在构造白名单的过程中需要保证在不影响用户体验的同时,尽可能杜绝一切不必要的输入内容。
Flash XSS的修复需要对相应的flash进行修改或升级替换。
在cookie中加入httponly属性可以在一定程度上保护用户的cookie,减少出现XSS时损失。
最后在推荐几个不错的网站:
1.
http://www.zoomeye.org
Zoomeye中文名为“钟馗之眼”,它定位于网络空间搜索引擎,能对暴露在公网的主机设备及网站组件进行全方位搜索(只要有IP地址即可搜索到),发现其中的漏洞,揪出网络中“藏着掖着的问题”
2.
http://www.shodanhq.com/
Shodan可以说是一款“黑暗”谷歌,一刻不停的在寻找着所有和互联网关联的服务器,摄像头,打印机,路由器等等。
3.
http://dns.aizhan.com http://www.114best.com/ip/
旁注技巧,最早认识是在明小子的旁注工具。当年主机安全普遍很差,很多服务器都有本地溢出漏洞。只要搞下同服务器上的一个站,就能搞到目标网站。后来这种技巧延续下来,直至今天。
学习XSS的地方呢可以去乌云看看XSS实例教程加上我分享的教程
链接:http://share.weiyun.com/8d9231430b3c2c1e81f86e7dc7739fe5 (密码:ZGpY)
链接:http://share.weiyun.com/6d564691dbf6868ba2ee8a750c89df51 (密码:5T1y) 求教xss插网站姿势。求带,啪啪啪。嘻嘻。 虽然看着很累 但还是mark 以后有时间再看 多谢分享~~ 多谢楼主分享 ,拿走啦 ,多谢 !
页:
[1]