本系列侧重方法论,各工具只是实现目标的载体。
命令与工具只做简单介绍,其使用另见《安全工具录》。
靶场参考:XSS-Labs,pikachu,DVWS。
XSS(Cross-Site Scripting),跨站脚本攻击。它允许攻击者向网页注入恶意脚本代码,然后在用户的浏览器上执行这些恶意脚本。
危害:
分类:
Webshell 后门中的后门:
通过在 webshell 程序中植入后门,形成 “ 黑吃黑 ”,用有后门的木马入侵的网站也可以被木马制造者利用。webshell 的后门就可以利用 XSS 实现。
HttpOnly:如果 HTTP 响应头中包含 HttpOnly 标志,只要浏览器支持,客户端脚本就无法访问 cookie。因此,即使存在 XSS 缺陷,且用户意外访问利用此漏洞的链接,浏览器也不会向第三方透露 cookie。
如果浏览器不支持 HttpOnly,浏览器会忽略 HttpOnly 标志,从而创建一个传统的,脚本可访问的 cookie。
HttpOnly 属性只能防止 cookie 被盗取,不能防止 xss 漏洞。
绕过 httponly:
常规 WAF 绕过思路:
XSS 平台:
https://xss.yt
webshell 收集:
https://github.com/tennc/webshell
工具 XSStrike:
https://github.com/s0md3v/XSStrike
工具 Xwaf:
https://github.com/3xp10it/xwaf
关于 XSS 漏洞修复:
https://www.cnblogs.com/baixiansheng/p/9001522.html
绕过 XSS 检测机制:
https://bbs.kanxue.com/thread-250852.htm
Fuzz 字典:
https://github.com/TheKingOfDuck/fuzzDicts
CSRF,或 XSRF(Cross-Site Request Forgery),跨站请求伪造。利用用户已经通过身份验证的会话来执行未经用户许可的操作,通过欺骗用户在不知情的情况下执行恶意请求。
也被称为 “One Click Attack” 或 “Session Riding”。
XSS:利用用户对指定网站的信任。
CSRF:利用网站对用户网页浏览器的信任。
漏洞攻击两个条件:
如果遇到 POST 型,则需要构造一个表单提交按钮欺骗用户点击。
防御方案:
SSRF(Server-Side Request Forgery),服务器端请求伪造。攻击者通过受害者服务器发起网络请求,从而操纵和滥用服务器的资源,甚至访问服务器相关的内网。
SSRF 攻击的目标一般是从外网无法访问的内部系统。
SSRF 形成的原因大都是服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。
SSRF 利用手段:
SSRF漏洞(原理&绕过姿势):
https://www.t00ls.com/articles-41070.html
RCE(Remote Command/Code Execution),远程命令/代码执行。指攻击者能够成功地在远程目标计算机上执行自己的恶意代码或命令。
出现这种漏洞,一般是因为应用从设计上需要给用户提供远程命令操作的接口。
危害:
PHP远程代码执行漏洞复现(CVE-2019-11043):
http://blog.leanote.com/post/snowming/9da184ef24bd
明月直入,无心可猜。
——《独漉篇》(唐)李白