1、存储 型 XSS的成因及挖掘方法USERID: Gainover (g_)GROUP: PKAV Group2012-7- | www.wooyun.org| 什么是 XSS攻击?个人资料信息填写发表一篇日志发表一篇留言发表一篇评论提出一个问题回答一个问题.地址栏参数Dom属性攻 击 者注入 恶 意代 码输 入 过滤输 出 过滤输入 输出代码缺陷查看他人资料查看一篇日志查看一条留言查看一个评论查看一个问题查看一个答案点开一个链接点开一个邮件恶 意代 码执 行受害者XSS模型当受害者变为攻击者时,下一轮受害者将更容易被攻击,威力更加明显!用 户 信息私密信息:日志,相片,邮件管理信息后台地址,管
2、理员帐号信息甚至直接通过 Ajax上传 Shell 客 户 端信息针对浏览器缺陷实施攻击突破 浏览 器的域限制360, 傲游等浏览器的命令执行XSSXss蠕虫攻 击DDoS攻 击XSS攻击可以用来做什么?XSS的种类划分反射型 XSSReflected XSS存 储 型 XSSStored XSS恶意代码存放位置地址栏数据库恶意代码效果用户点击恶意链接打开时执行恶意代码,隐蔽性差http:/www.wooyun.org用户浏览带有恶意代码的“正常页面 “时触发,隐蔽性强http:/A B C D12Non-persistentPersistent反射型 XSSXSS Filter 扫 描器 W
3、AF产 品但是危害越来越小 .但是容易被扫 .但是容易被干掉 XSS攻击的现状存 储 型 XSS广泛存在存储型 XSS的分类输 出内容输 出未 过滤HTML-ContextJS-ContextCss-Context输 出已 过滤Dom-Based操作evalinnerHTMLsetTimeoutsetIntervaldocument.write根据输出内容所处的位置来分类。经常需要二次过滤,但程序员忽略掉了。会自 动发 生一些 转义Flash-based XSS其它 /HTML文件HTML-Context 存储型 XSS 及 防御wooyun-2010-07831 (random_) 百度某分
4、站存储型 XSS恶 意代 码 的 输 入恶 意代 码 的 输 出恶 意代 码 的 执 行替 换为 判断存在 ,禁止提交JS-Context 存储型 XSS 及其防御wooyun-2010-09111 (gainover) 点点网存储型 XSSJS-Context 存储型 XSS的利用方式 :1. 闭合当前脚本,然后输入自定义内容。2. 根据 JS上下文,构造正确的闭合。过滤 ,/ 替换 为 (网易邮箱 )根据实际情况,进行过滤。通常输出是字符串,在 和 “之间,过滤 ,“即可wooyun-2010-02321(Clouds) 百度贴吧存储型 XSSJS-Context 存储型 XSS 及其防御
5、和 中的 XSS一 样 , 过滤 和 “而实际上,在 HTML的属性里, 或 也是可以被执行的!进一步构造利用代码还 需要将 字符 转义“ / / / CSS-Context 存储型 XSS 及其防御通常情况下,可能会将 过滤掉了,因而无法使用此方式1. 如果未做过滤,可以用 的方式来调用CSS-Context 存储型 XSS的利用方式 :2. 直接根据 CSS上下文构造闭合根据 CSS类型对输出进行严格纠正例如:字体大小,必须为数字,图片地址不允许出现非法字符IE 6, 7, 8wooyun-2010-05967 (gainover, QQ空间存储型 XSS)wooyun-2010-01101 (呆子不开口 , 网易微博换肤 XSS)
