xss黑客（xss黑客帝国）

如何防止xss攻击，需要过滤什么

XSS攻击通常是指黑客通过"HTML注入"篡改了网页，插入了恶意的脚本，从而在用户浏览网页时，控制用户浏览器的一种攻击。

一、HttpOnly防止劫取Cookie

HttpOnly最早由微软提出，至今已经成为一个标准。浏览器将禁止页面的Javascript访问带有HttpOnly属性的Cookie。目前主流浏览器都支持，HttpOnly解决是XSS后的Cookie支持攻击。

我们来看下百度有没有使用。

未登录时的Cookie信息

可以看到，所有Cookie都没有设置HttpOnly，现在我登录下

发现在个叫BDUSS的Cookie设置了HttpOnly。可以猜测此Cookie用于认证。

下面我用PHP来实现下：

?php

header("Set-Cookie: cookie1=test1;");

header("Set-Cookie: cookie2=test2;httponly",false);

setcookie('cookie3','test3',NULL,NULL,NULL,NULL,false);

setcookie('cookie4','test4',NULL,NULL,NULL,NULL,true);

?

script

alert(document.cookie);

/script

js只能读到没有HttpOnly标识的Cookie

二、输入检查

输入检查一般是检查用户输入的数据中是否包含一些特殊字符，如、、'、"等，如果发现存在特殊字符，则将这些字符过滤或者编码。

例如网站注册经常用户名只允许字母和数字的组合，或者邮箱 *** ，我们会在前端用js进行检查，但在服务器端代码必须再次检查一次，因为客户端的检查很容易绕过。

网上有许多开源的“XSS Filter”的实现，但是它们应该选择性的使用，因为它们对特殊字符的过滤可能并非数据的本意。比如一款php的lib_filter类：

$filter = new lib_filter();

echo $filter-go('1+11');

它输出的是1，这大大歪曲了数据的语义，因此什么情况应该对哪些字符进行过滤应该适情况而定。

三、输出检查

大多人都知道输入需要做检查，但却忽略了输出检查。

1、在HTML标签中输出

如代码：

?php

$a = "scriptalert(1);/script";

$b = "img src=# onerror=alert(2) /";

?

div?=$b?/div

a href="#"?=$a?/a

这样客户端受到xss攻击，解决 *** 就是对变量使用htmlEncode,php中的函数是htmlentities

?php

$a = "scriptalert(1);/script";

$b = "img src=# onerror=alert(2) /";

?

div?=htmlentities($b)?/div

a href="#"?=htmlentities($a)?/a

2、在HTML属性中输出

div id="div" name ="$var"/div

这种情况防御也是使用htmlEncode

在owasp-php中实现：

$immune_htmlattr = array(',', '.', '-', '_');

$this-htmlEntityCodec-encode($this-immune_htmlattr, "\"script123123;/script\"");

3、在script标签中输出

如代码：

?php

$c = "1;alert(3)";

?

script type="text/javascript"

var c = ?=$c?;

/script

这样xss又生效了。首先js变量输出一定要在引号内，但是如果我$c = "\"abc;alert(123);//"，你会发现放引号中都没用，自带的函数都不能很好的满足。这时只能使用一个更加严格的JavascriptEncode函数来保证安全——除数字、字母外的所有字符，都使用十六进制"\xHH"的方式进行编码。这里我采用开源的owasp-php *** 来实现

$immune = array("");

echo $this-javascriptCodec-encode($immune, "\"abc;alert(123);//");

最后输出\x22abc\x3Balert\x28123\x29\x3B\x2F\x2F

4、在事件中输出

a href="#" onclick="funcA('$var')" test/a

可能攻击 ***

a href="#" onclick="funcA('');alter(/xss/;//')"test/a

这个其实就是写在script中，所以跟3防御相同

5、在css中输出

在owasp-php中实现：

$immune = array("");

$this-cssCodec-encode($immune, 'background:expression(window.x?0:(alert(/XSS/),window.x=1));');

6、在地址中输出

先确保变量是否是"http"开头，然后再使用js的encodeURI或encodeURIComponent *** 。

在owasp-php中实现：

$instance = ESAPI::getEncoder();

$instance-encodeForURL(‘url’);

四、处理富文体

就像我写这篇博客，我几乎可以随意输入任意字符，插入图片，插入代码，还可以设置样式。这个时要做的就是设置好白名单，严格控制标签。能自定义 css件麻烦事，因此更好使用成熟的开源框架来检查。php可以使用htmlpurify

五、防御DOM Based XSS

DOM Based XSS是从javascript中输出数据到HTML页面里。

script

var x = "$var";

document.write("a href='"+x+"'test/a");

/script

按照三中输出检查用到的防御 *** ，在x赋值时进行编码，但是当document.write输出数据到HTML时，浏览器重新渲染了页面，会将x进行解码，因此这么一来，相当于没有编码，而产生xss。

防御 *** ：首先，还是应该做输出防御编码的，但后面如果是输出到事件或脚本，则要再做一次javascriptEncode编码，如果是输出到HTML内容或属性，则要做一次HTMLEncode。

会触发DOM Based XSS的地方有很多：

document.write()、document.writeln()、xxx.innerHTML=、xxx.outerHTML=、innerHTML.replace、document.attachEvent()、window.attachEvent()、document.location.replace()、document.location.assign()

黑客们为什么乐衷使用 XSS 攻击

1.大部分时候不是为了挂马。而是偷cookie。或者操控帐号行为。

2.如果不知道cookie是什么，可以简单理解为你以当前账户进入网站的凭证。

3.知乎对偷cookie免疫，因为一个关键字段q_c0用了httponly。客户端js无权读写。

4.大部分网站没有启用httponly，估计是前端们不干吧？“妈的，跨域问题就搞的劳资够恼火了，难道还想让劳资无权操纵cookie”

5.参考安全焦点的文章：攻击google的测试

什么是XSS攻击

什么是XSS攻击XSS又叫CSS (Cross Site Script) ，跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意攻击用户的特殊目的。XSS属于被动式的攻击，因为其被动且不好利用，所以许多人常忽略其危害性。而本文主要讲的是利用XSS得到目标服务器的shell。技术虽然是老技术，但是其思路希望对大家有帮助。 [编辑本段]如何寻找XSS漏洞就个人而言，我把XSS攻击分成两类，一类是来自内部的攻击，主要指的是利用程序自身的漏洞，构造跨站语句，如:dvbbs的showerror.asp存在的跨站漏洞。另一类则是来来自外部的攻击，主要指的自己构造XSS跨站漏洞网页或者寻找非目标机以外的有跨站漏洞的网页。如当我们要渗透一个站点，我们自己构造一个有跨站漏洞的网页，然后构造跨站语句，通过结合其它技术，如社会工程学等，欺骗目标服务器的管理员打开。

然后利用下面的技术得到一个shell. [编辑本段]如何利用传统的跨站利用方式一般都是攻击者先构造一个跨站网页，然后在另一空间里放一个收集cookie的页面，接着结合其它技术让用户打开跨站页面以盗取用户的cookie，以便进一步的攻击。个人认为这种方式太过于落后，对于弊端大家可能都知道，因为即便你收集到了cookie你也未必能进一步渗透进去，多数的cookie里面的密码都是经过加密的，如果想要cookie欺骗的话，同样也要受到其它的条件的限约。而本文提出的另一种思路，则从一定程度上解决上述的问题。对于个人而言，比较成熟的 *** 是通过跨站构造一个表单，表单的内容则为利用程序的备份功能或者加管理员等功能得到一个高权限。下面我将详细的介绍这种技术。 [编辑本段]来自内部的跨站攻击寻找跨站漏洞

如果有代码的话比较好办，我们主要看代码里对用户输入的地方和变量有没有做长度和对”〈”,”〉”,”;”,”’”等字符是否做过滤。还有要注意的是对于标签的闭合，像测试 *** 群跨站漏洞的时候，你在标题处输入〈script〉alert(‘test’)〈/script〉，代码是不会被执行的，因为在源代码里，有其它的标签未闭合，如少了一个〈/script〉，这个时候，你只要闭合一个〈/script〉，代码就会执行，如：你在标题处输入〈/script〉〈script〉alert(‘test’)〈/script〉，这样就可以弹出一个test的框。

如何利用

我先以BBSXP为例，过程已做成动画，详情可见光盘中的动画。我举BBSXP中其中两个比较好用的跨站漏洞点为例.

a.先注册一个普通用户，我这里注册的用户是linzi.然后我们在个人签名里写入:

c.然后发个贴子，可以结合其它技术欺骗管理员浏览发的贴子。

d.因为是测试，所以我们以管理员身份登陆，然后打开贴子，我们会发现，linzi已经变成了社区区长工，如图一所示

除此之外我们只要在个人签名里输入

同样发个贴子等，只要管理员打开了，就会加了一个扩展名为asp （有空格）的上传扩展，这个时候，你只要上传一个newmm.asp (有空格)就可以得到一个shell.

上面的攻击多多少少有点局限性，虽然可以得到shell，但是隐蔽性不太好，因为签名

处受到了长度的限制，不能超过255个字符。我们可以结合flash跨站实现更为隐蔽的

攻击，对于flash木马的 *** ，下面见哥们丰初的介绍。

再利用如下:

修改一下个人头像的url,输入代码如下:

再接着欺骗管理员打开你的资料或者浏览你的贴子，当管理员打开后，会在后台自动加个php扩展名的后辍，因为bbsxp在个人头像url里过滤了空格,%，所以我们只能加个不包括空格的其它扩展，当然你也可以加个shtml的扩展，有了它你就可以用来查看源代码，然后进一步攻击。 [编辑本段]来自外部的跨站攻击有的时候，当我们对于目标程序找不到可以利用的跨站点，这个时候我们可以利用可以从外部入手，利用我们要拿下的是它的论坛，论坛的安全性做的很好，但其留言板却存在跨站漏洞，这个时候我们可以在留言板里写入跨站语句，跨站语句为以表单的方式向论坛提交提升权限的语句，如上面的bbsxp加asp 扩展的语句。当然我们可利用后台的备份功能直接得到一个shell。

例:先上传一个文件linzi.txt，内容如下:

〈body onload="javascript:document.forms[0].submit()"〉〈form

action=" " method="post"〉〈input value="database/bbsxp.mdb" name="yl" 〉〈input value="database/shit.asp" name="bf" 〉〈/body〉〈/html〉

上面的代码是把论坛的数据库备份为shit.asp，留言板存在跨站点如下:

我们构造备份跨站语句如下:

或者构造跨站语句，利用iframe打开一个0大小的linzi.txt。

当管理员打开后，会自动备份得到一个shell. [编辑本段]XSS与其它技术的结合从上面的实例，我们可以知道，如何欺骗管理打开是一个很重要的步骤，对于欺骗打开，除了社会工程学外，我们可以结合其它的技术，如sql injection.当我们渗透一个网站之时，主站mssql注入漏洞，权限为public,这个时候我们利用update构造跨站语句，如用iframe打开一个上面的备份得到shell的跨站语句等，同样，我们可以在社会工程学时，利用 *** 的其它跨站漏洞等等。

总是对于欺骗也是一门艺术，具体怎么利用，大家就发挥自己的想象力吧！

好一个欺骗也是一门艺术，不管是在生活中还是在 *** 中。生活中难免有些事情不能讲真话，这时采用适当的 *** 使得我们的假话当作真话讲，这就靠欺骗的艺术了。

XSS攻击原理是什么

Xss(cross-site scripting)攻击指的是攻击者往Web页面里插入恶意html标签或者javascript代码，当用户浏览该页或者进行某些操作时，攻击者利用用户对原网站的信任，诱骗用户或浏览器执行一些不安全的操作或者向其它网站提交用户的私密信息。

比如：攻击者在论坛中放一个看似安全的链接，骗取用户点击后，窃取cookie中的用户私密信息；或者攻击者在论坛中加一个恶意表单，当用户提交表单的时候，却把信息传送到攻击者的服务器中，而不是用户原本以为的信任站点。

诸如此类，唯一能完全杜绝xss攻击的 *** ，就是禁用script，img等，显然这是不靠谱的，用户需要丰富的页面内容；当然我们可以用一些 *** 预防xss攻击，尽量减少xss造成的危害。

XSS攻击的危害包括

盗取各类用户帐号，如机器登录帐号、用户网银帐号、各类管理员帐号

控制企业数据，包括读取、篡改、添加、删除企业敏感数据的能力

盗窃企业重要的具有商业价值的资料

非法转账

强制发送电子邮件

网站挂马

控制受害者机器向其它网站发起攻击

黑客基本入门知识

根据我所知道回答一下这个问题。

这里暂且理解为 *** 安全的需要了解的一些知识。

*** 基础知识，特别是 *** 协议

编程的基础知识

Linux的基础知识

web安全的基本知识

*** 运维的基本知识

... ...

*** 基础知识，特别是 *** 协议

熟练掌握TCP/IP分层模型，知道每层完成的功能，传输的报文，以及对应的协议；

熟练掌握一些重要的协议，比如http、dns、arp、tcp、udp等协议；

熟练掌握组网的基础知识，比如局域网组网，vlan、路由协议等；

掌握一些 *** 设备的配置，例如华为 *** 设备的配置，知道如何组建局域网、如何通过路由协议组建 *** 等。



编程的基础知识

至少要掌握C语言的编程，灵活应用指针、struct结构；

至少掌握一门脚本语言，推荐python语言，可以直接调用C语言的库，并且非常的灵活，现在很多 *** 安全工具是用python编写的；

能够看懂汇编语言，用于理解常见的漏洞。



Linux的基础知识

linux的基本使用操作，熟练掌握常用的命令，防火墙的配置等；

linux各类服务器的搭建，比如ftp服务器、dns服务器等；

数量掌握 *** 安全渗透平台kali的使用，kali广泛用于 *** 渗透测试和审计，是一个综合的 *** 安全渗透测试平台。



web安全的基本知识

熟练掌握http协议的知识，能够分析http数据包

了解前台的html语言、javascript代码、jquery框架，后端的mysql数据库，以及常用的php语言，用于分析web安全漏洞；

熟练掌握xss跨站脚本攻击，xss是非常流行的web安全漏洞，会手动和工具发现xss漏洞；

数量掌握sql注入的知识，能够手工或者工具发现sql注入漏洞。



*** 运维的基本知识

*** 设备的配置，比如vlan配置、vrrp配置、ospf配置、rip配置、snmp配置等；

数量掌握通过snmp获取 *** 设备的流量、运行状态等数据；

数量掌握linux系统、windows系统运维的基础知识。

总结

*** 安全是一门综合性的学科，需要连接 *** 的方方面面，需要不断的学习、实践和总结。

对于 *** 安全的学习，大家有什么看法呢，欢迎在评论区留言讨论。

如需更多帮助，请私信关注。谢谢极客跟你分享极客的经验，也是极客我在信息这个行业多年知道的，看到的。

之一点，计算机 *** :这个是信息安全行业基础，你的攻击或者维护都离不开计算机 *** 。

第二点，linux(kali),如果你是想做运维人员，你面临的就是什么内网啊，域啊，服务器啊等

第三点，精通js，以后你遇到的注入啊，xss啊等都和这个东西有关。

第三点，数据库，比如sql server，mysql,Oracle等。

第四点，一种脚本语言，比如python等。

第五点，c/c++，极客觉得这个是你编程的基础，也是你对计算机底层理解的关键。

第六点，汇编，如果你想成为漏洞挖掘者，一定要学汇编和OD。

目前极客想到的基本就这些了，极客目前缺一个加优，记得帮我加优，更希望能帮到你！

跨站脚本攻击xss的原理是什么？有什么危害？如何防范

xxs攻击原理是网页对用户输入的字符串过滤不严，导致在提交输入信息的时候浏览器执行了黑客嵌入的xxs脚本，致使用户信息泄露。黑客可将伪装过的含义脚本语句的链接发送给受害者，当受害者点击链接的时候，由于网页没有过滤脚本语句，所以浏览器执行了脚本语句，而这个脚本语句的作用是将用户的cookie发送到黑客指定的地址，然后黑客就可以利用受害者的cookie窃取受害者的个人信息等等。这种攻击对服务器没有多大危害，但对用户危害很大，要防范这种攻击应该在设计网站的时候对用户提交的内容进行严格的过滤。

如何正确防御xss攻击

XSS攻击通常是指黑客通过"HTML注入"篡改了网页，插入了恶意的脚本，从而在用户浏览网页时，控制用户浏览器的一种攻击。

一、HttpOnly防止劫取Cookie

HttpOnly最早由微软提出，至今已经成为一个标准。浏览器将禁止页面的Javascript访问带有HttpOnly属性的Cookie。目前主流浏览器都支持，HttpOnly解决是XSS后的Cookie支持攻击。

我们来看下百度有没有使用。

未登录时的Cookie信息

可以看到，所有Cookie都没有设置HttpOnly，现在我登录下

发现在个叫BDUSS的Cookie设置了HttpOnly。可以猜测此Cookie用于认证。

下面我用PHP来实现下：

?php

header("Set-Cookie: cookie1=test1;");

header("Set-Cookie: cookie2=test2;httponly",false);

setcookie('cookie3','test3',NULL,NULL,NULL,NULL,false);

setcookie('cookie4','test4',NULL,NULL,NULL,NULL,true);

?

script

alert(document.cookie);

/script

js只能读到没有HttpOnly标识的Cookie

二、输入检查

输入检查一般是检查用户输入的数据中是否包含一些特殊字符，如、、'、"等，如果发现存在特殊字符，则将这些字符过滤或者编码。

例如网站注册经常用户名只允许字母和数字的组合，或者邮箱 *** ，我们会在前端用js进行检查，但在服务器端代码必须再次检查一次，因为客户端的检查很容易绕过。

网上有许多开源的“XSS Filter”的实现，但是它们应该选择性的使用，因为它们对特殊字符的过滤可能并非数据的本意。比如一款php的lib_filter类：

$filter = new lib_filter();

echo $filter-go('1+11');

它输出的是1，这大大歪曲了数据的语义，因此什么情况应该对哪些字符进行过滤应该适情况而定。

三、输出检查

大多人都知道输入需要做检查，但却忽略了输出检查。

1、在HTML标签中输出

如代码：

?php

$a = "scriptalert(1);/script";

$b = "img src=# onerror=alert(2) /";

?

div?=$b?/div

a href="#"?=$a?/a

这样客户端受到xss攻击，解决 *** 就是对变量使用htmlEncode,php中的函数是htmlentities

?php

$a = "scriptalert(1);/script";

$b = "img src=# onerror=alert(2) /";

?

div?=htmlentities($b)?/div

a href="#"?=htmlentities($a)?/a

2、在HTML属性中输出

div id="div" name ="$var"/div

这种情况防御也是使用htmlEncode

在owasp-php中实现：

$immune_htmlattr = array(',', '.', '-', '_');

$this-htmlEntityCodec-encode($this-immune_htmlattr, "\"script123123;/script\"");

3、在script标签中输出

如代码：

?php

$c = "1;alert(3)";

?

script type="text/javascript"

var c = ?=$c?;

/script

这样xss又生效了。首先js变量输出一定要在引号内，但是如果我$c = "\"abc;alert(123);//"，你会发现放引号中都没用，自带的函数都不能很好的满足。这时只能使用一个更加严格的JavascriptEncode函数来保证安全——除数字、字母外的所有字符，都使用十六进制"\xHH"的方式进行编码。这里我采用开源的owasp-php *** 来实现

$immune = array("");

echo $this-javascriptCodec-encode($immune, "\"abc;alert(123);//");

最后输出\x22abc\x3Balert\x28123\x29\x3B\x2F\x2F

4、在事件中输出

a href="#" onclick="funcA('$var')" test/a

可能攻击 ***

a href="#" onclick="funcA('');alter(/xss/;//')"test/a

这个其实就是写在script中，所以跟3防御相同

5、在css中输出

在owasp-php中实现：

$immune = array("");

$this-cssCodec-encode($immune, 'background:expression(window.x?0:(alert(/XSS/),window.x=1));');

6、在地址中输出

先确保变量是否是"http"开头，然后再使用js的encodeURI或encodeURIComponent *** 。

在owasp-php中实现：

$instance = ESAPI::getEncoder();

$instance-encodeForURL(‘url’);

四、处理富文体

就像我写这篇博客，我几乎可以随意输入任意字符，插入图片，插入代码，还可以设置样式。这个时要做的就是设置好白名单，严格控制标签。能自定义 css件麻烦事，因此更好使用成熟的开源框架来检查。php可以使用htmlpurify

五、防御DOM Based XSS

DOM Based XSS是从javascript中输出数据到HTML页面里。

script

var x = "$var";

document.write("a href='"+x+"'test/a");

/script

按照三中输出检查用到的防御 *** ，在x赋值时进行编码，但是当document.write输出数据到HTML时，浏览器重新渲染了页面，会将x进行解码，因此这么一来，相当于没有编码，而产生xss。

防御 *** ：首先，还是应该做输出防御编码的，但后面如果是输出到事件或脚本，则要再做一次javascriptEncode编码，如果是输出到HTML内容或属性，则要做一次HTMLEncode。

会触发DOM Based XSS的地方有很多：

document.write()、document.writeln()、xxx.innerHTML=、xxx.outerHTML=、innerHTML.replace、document.attachEvent()、window.attachEvent()、document.location.replace()、document.location.assign()

XSS攻击如何实现以及保护Web站点免受跨站点脚本攻击

使用工具和测试防范跨站点脚本攻击. 跨站点脚本（XSS）攻击是当今主要的攻击途径之一，利用了Web站点的漏洞并使用浏览器来窃取cookie或进行金融交易。跨站点脚本漏洞比较常见，并且要求组织部署涵盖威胁建模、扫描工具和大量安全意识在内的周密的安全开发生命周期，以便达到更佳的XSS防护和预防。本文解释了跨站点脚本攻击是如何实现并且就如何保护企业Web应用免于这种攻击提供了建议。 跨站点脚本（XSS）允许攻击者通过利用因特网服务器的漏洞来发送恶意代码到其他用户。攻击者利用跨站点脚本（XSS）攻击向那些看似可信任的链接中注入恶意代码。当用户点击了链接后，内嵌的程序将被提交并且会在用户的电脑上执行，这会使黑客获取访问权限并偷走敏感数据。攻击者使用XSS来攻击受害者机器上的漏洞并且传输恶意代码而不是攻击系统本身。 通过用户输入的数据返回错误消息的Web表格，攻击者可以修改控制Web页面的HTML代码。黑客能够在垃圾信息中的链接里插入代码或者使用欺诈邮件来诱使用户对其身份产生信任。 例如攻击者可以发送带有URL的邮件给受害人，这个URL指向一个Web站点并且提供浏览器脚本作为输入；或者在博客或诸如Facebook、Twitter这样的社交网站上发布恶意URL链接。当用户点击这个链接时，该恶意站点以及脚本将会在其浏览器上运行。浏览器不知道脚本是恶意的并将盲目地运行这个程序，这转而允许攻击者的浏览器脚本使用站点的功能来窃取cookie或者冒充合法的用户来完成交易。 一些通常的跨站点脚本预防的更佳实践包括在部署前测试应用代码，并且以快速、简明的方式修补缺陷和漏洞。Web应用开发人员应该过滤用户的输入来移除可能的恶意字符和浏览器脚本，并且植入用户输入过滤代码来移除恶意字符。通常管理员也可以配置浏览器只接受来自信任站点的脚本或者关闭浏览器的脚本功能，尽管这样做可能导致使用Web站点的功能受限。 随着时代的进步黑客们变得更加先进，使用收集的工具集来加快漏洞攻击进程。这意味着仅仅部署这些通常的XSS预防实践是不够的，保护和预防过程必须从底层开始并持续提升。预防过程必须在开发阶段开始，建立在一个牢靠、安全的开发生命周期 *** 论之上的Web应用在发布版本中不太可能暴露出漏洞。这样以来，不仅提升了安全性，也改善了可用性而且缩减了维护的总体费用，因为在现场环境中修补问题比在开发阶段会花费更多。 威胁建模在XSS预防中也是重要的一个方面，应该纳入到每个组织的安全开发生命周期当中。威胁建模评估和辨识在开发阶段中应用程序面临的所有的风险，来帮助Web开发人员更好地理解需要什么样的保护以及攻击一旦得逞将对组织产生怎样的影响。要辨识一个特定应用的威胁级别，考虑它的资产以及它访问的敏感信息量是十分重要的。这个威胁建模过程将确保在应用的设计和开发过程中战略性地融合了安全因素，并且增强了Web开发人员的安全意识。 对于大型项目的Web开发人员来说，源代码扫描工具和Web应用漏洞扫描器是提高效率和减少工作量的通常选择。