XSS攻击1----（XSS介绍）

一.前言

前面我们介绍了一下sql注入的基础部分，本章节我们来介绍一下xss攻击

二.什么是 XSS

XSS全称（Cross Site Scripting）跨站脚本攻击，为了避免和CSS层叠样式表名称冲突，所以改为了XSS，是最常见的Web应用程序安全漏洞之一，位于OWASP top 10 2013/2017年度分别为第s三名和第七名，XSS是指攻击者在网页中嵌入客户端脚本，通常是JavaScript编写的危险代码，当用户使用浏览器浏览网页时，脚本就会在用户的浏览器上执行，从而达到攻击者的目的。

OWASP（开放式Web应用程序安全项目）是一个开放的社区，由非营利组织 OWASP基金会支持的项目。对所有 致力于改进应用程序安全的人士开放，旨在提高对应用程序安全性的认识。其最具权威的就是"10项最严重的Web 应用程序安全风险列表"，总结并更新Web应用程序中最可能、最常见、最危险的十大漏洞，是开发、测 试、服务、咨询人员应知应会的知识。

看一下：

2021年

2021 OWASP Top 10榜单及变化

A01：访问控制失效（Broken Access Control）从第五位上升到了第一位。94%的应用程序都经过了某种 形式的访问控制失效测试。映射到访问控制失效的34个CWE在应用程序中的出现频率比其他任何类别都要多。

A02：2021年，加密失败（Cryptographic Failure）——此前名为"敏感数据暴露"（Sensitive Data Exposure），这一名称只是描述了广泛的症状而非根本原因——上移到了榜单第二位。此处需要重新关注与密 码学相关的故障，这些故障通常会导致敏感数据暴露或系统受损。

A03：2021年，注入（Injection）下滑到第三位。94%的应用程序都测试了某种形式的注入，注入类别中如 今包括跨站脚本。映射到该类别的33个CWE在应用程序中出现次数第二多。

A04：不安全设计（Insecure Design）是2021年出现的新类别，并且一出场就高居第四位。此处需要重点 关注与设计缺陷相关的风险。如果我们真的想作为一个行业"左移"，就需要更多地使用威胁建模、安全设计模 式和原则以及参考架构。

A05：2021年，安全配置错误（Security Misconfiguration）从上一版的第6位上升到了第5位。90%的 应用程序都经过了某种形式的错误配置测试，随着转向高度可配置软件的趋势不可逆，看到这一类别排名上升 也就不足为奇了。此前版本的XML外部实体注入（XXE）类别现在也被合并为该类别的一部分。

A06：2021年，脆弱过时组件（Vulnerable and Outdated Component）——此前名为"使用具有已知漏 洞的组件"（Using Components with Known Vulnerabilities）——也从第6位一跃进入第6位。该类 别是唯一一个没有任何CVE映射到所含CWE的类别，因此默认的漏洞与影响权重计5.0分。

A07：2021年，识别与认证失败（Identification and Authentication Failure）——此前称为"身份 验证失效"（Broken Authentication）——排名从此前的第2位降到了第7位，而且该类别目前包含更多与识 别失败相关的CWE。虽然该类别仍然位列Top 10榜单，但标准化框架的可用性增加似乎有助于解决这一问题。

A08：软件和数据完整性故障（Software and Data Integrity Failure）是2021年新增的一个类别， 主要关注缺乏完整性验证情况下做出与软件更新、关键数据和持续集成/持续交付（CI/CD）流水线相关的各种 假设。CVE/CVSS数据最高加权影响之一映射到该类别中的10个CWE。此前版本中的"不安全反序列 化"（Insecure Deserialization）类别如今也被归入这一更大类别。

A09：2021年，安全日志与监测失败（Security Logging and Monitoring Failure）——此前名为"日 志记录和监控不足"（Insufficient Logging & Monitoring）——从最后一名上升至第9位。而且该类别 已扩展纳入了其他类型的故障，虽然这些故障难以测试，并且在CVE/CVSS 数据中没有得到很好的体现，但却 会直接影响可见性、事件警报和取证。

A10：排在最后一位的服务器端请求伪造（Server-Side Request Forgery）是2021年新增的类别。虽然 数据显示其发生率相对较低，但测试覆盖率却高于平均水平，并且漏洞利用和影响潜力的评级也高于平均水 平。该类别是行业安全专家为我们预警的一种重要场景，尽管目前并没有数据能够证实其危险性。

从上面中的一段话，可以得知，XSS属于客户端攻击，受害者最终是用户，但特别要注意的是网站管理 人员也属于用户之一。这就意味着XSS可以进行"服务端"攻击，因为管理员要比普通用户的权限大得多， 一般管理员都可以对网站进行文件管理，数据管理等操作，而攻击者一般也是靠管理员身份作为"跳板"进行实施攻击。

XSS攻击最终目的是在网页中嵌入客户端恶意脚本代码，最常用的攻击代码是javascript语言，但也会使 用其它的脚本语言，例如：ActionScript、VBscript。而如今的互联网客户端脚本基本是基于Javascript,所以如果想要深入研究XSS，必须要精通Javascript。

XSS换句话说，JavaScript能做到什么效果，XSS的胃口就有多大。这完全不是危言耸听。javascript可 以用来获取用户的cookie，弹出窗口，那么存在XSS漏洞的网站，XSS就可以用来盗取用户Cookie,废掉 页面，导航到恶意网站！更高端的XSS代码完全可以进行监控你的键盘操作，模仿Windows注销界面， 诱导你输入开机密码！而攻击者需要做的仅仅是向你的代码中注入Javascript代码！

三.XSS漏洞出现的原因

程序对输入和输出的控制不够严格,导致"精心构造"的脚本输入后,在输出到前端时被浏览器当作有效代码 解析执行从而产生危害.

四.XSS的危害

1、首先对于那些半年没有更新的小企业网站来说，发生XSS漏洞几乎没有什么用。一般在各类的社交平 台，邮件系统，开源流行的Web应用，BBS，微博等场景中，造成的杀伤力却十分强大。

2、劫持用户cookie是最常见的跨站攻击形式，通过在网页中写入并执行脚本执行文件（多数情况下是JavaScript脚本代码），劫持用户浏览器，将用户当前使用的sessionID信息发送至攻击者控制的网站或 服务器中。

3、"框架钓鱼"。利用JS脚本的基本功能之一：操作网页中的DOM树结构和内容，在网页中通过JS脚本， 生成虚假的页面，欺骗用户执行操作，而用户所有的输入内容都会被发送到攻击者的服务器上。

4、挂马（水坑攻击）

5、有局限性的键盘记录

五.总结

本章介绍了一下xss攻击，后续会介绍更多有关xss攻击的相关知识，期待大家的点赞关注加收藏。