WEB漏洞测试(二)——HTML注入 & XSS攻击

上一篇介绍了我们安装BWAPP来完成我们的漏洞测试


在BWAPP中,将HTML Injection和XSS做了非常详细的分类,那么为什么要将两个一起讲呢?归根结底,我觉得这两个分明是一个玩意,充其量是攻击的方式不一样。


我们先来介绍一下这两种漏洞的原理,简单说:当用户在输入框输入内容,后台对输入内容不做处理直接添加入页面的时候,用户就可以刻意填写HTML、JavaScript脚本来作为文本输入,这样这个页面就会出现一些用户加入的东西了。这是一种脚本注入(和CSDN发布文章时候的填写源码应该是类似的,CSDN填写源码时候可以搞些链接,假设这些链接链到恶意网站,甚至不写链接直接Script脚本?这样是不是很恐怖?)

WEB漏洞测试(二)——HTML注入 & XSS攻击_第1张图片

看这个例子,下一行文字会把输入的xs打出来,那么假如我填写的是一个连接?

WEB漏洞测试(二)——HTML注入 & XSS攻击_第2张图片

点击这个Click Me就跳到百度去了。

再假如我填写的是一个script标签下的东西,是不是更加恐怖?我们知道浏览器是不对cookie做过多防护的,如果这种手段配合CSRF攻击(不好意思先让这玩意提前出场一下),细思极恐啊。


当然有些稍微有点脑子的网站会屏蔽script标签的输入,但是我们大可以利用类似于

这样的语句


说了那么多,我们发觉没有,好像原理并不复杂,为什么BWAPP上可以分出那么多种类呢。其实吧这款软件在于展示各类漏洞,有些漏洞原理虽然一样,但是伴随着不同的攻击和防护也是有着截然不同的效果的。


比如HTML注入和XSS攻击就是对注入的是html还是js做了分类(这个分类略蠢),然后对于用的是get请求还是post请求、json还是xml、ajax还是表单做了分类(比前一个略好点不过感觉也挺蠢)。其实众多分类中较为有点用处的是反射型和存储型。


其实这种分类也没太高明的地方,甚至不需要举例,就是一个结果直接呈现,一个是存到数据库里面。我们前面那个例子就是反射型的,但是显然这种攻击没有太大效果,因为攻击方和效果呈现在同一台机子同一个浏览器同一次浏览;而存储型就不同了,用于存入数据库,因此这些攻击脚本是长时间存在的,比如微博朋友圈等等。


其实相比起这些可有可无的分类,对于xss的防护措施才是比较重要的,我们之前说过很多后台会过滤

你可能感兴趣的:(WEB漏洞测试(二)——HTML注入 & XSS攻击)