DVWA之反射型XSS代码审计
大家好,又见面了,我是你们的朋友全栈君。
目录
从整个cms的角度去分析这个漏洞
low
前端代码如下。定义了一个表单以get的方式发送请求形式为?name= 。然后引用了一个$html的变量
html所在文件源码如下。array_key_exists() 函数检查某个数组中是否存在指定的键名,如果键名存在则返回 true,如果键名不存在则返回 false。_GET为超全局变量。
直接将输入的name值赋值给变量$html然后前端再引用这个变量,所以触发xss
<?php
header ("X-XSS-Protection: 0");
// 如果$_GET中存在'name'这个键,说明点击了form表达的提交按钮。$_GET就是以数组的形式保存变量
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
// Feedback for end user
$html .= '<pre>Hello ' . $_GET[ 'name' ] . '</pre>';
}
?medium
可见在低级的基础上增加了str_replace()函数,将用户的输入中<script>关键字进行了过滤,所以可以考虑双写关键字进行绕过。我们也知道构造xss有以下几种方式,所以我也可以利用第二种和第三种方式进行弹窗
- 利用<script>标签构造
- 利用js伪协议:<a href=”javascript:alert(/xss/)”>touch me</a>
- 利用html事件
1. 双写<script>绕过
<scr<script>ipt>alert(/xss/)</scr<script>ipt>2. 利用伪协议
<a href="javascript:alert(/xss/)">touch me</a>
3. 利用html事件
<input type="button" onclick="alert(/xss/)" value="点我!">
high
在中级的时候只是对<script>关键字进行了一次过滤,这里使用正则表达式对<script中的每一个词进行了无限次过滤,所以这里不能双写绕过。但是我们可以使用伪协议和产生html事件进行弹窗,和上一样
impossible
可以看出多了user_token和session_token,这是防csrf的,因为经常是xss+csrf结合攻击。然后他对我们输入的内容用htmlspecialchars() 函数进行处理。这里主要看htmlspecialchars() 就行
htmlspecialchars()
htmlspecialchars()函数是使用来把一些预定义的字符转换为HTML实体,返回转换后的新字符串
- & 转换为&
- ” 转换为"
- ‘ 转换为成为
- < 转换为<
- > 转换为>
xss构造的几种方式
- 利用<script>构造,<>被转换了所以不行
- 利用伪协议,需要用到<和单引号或者双引号,所以不行
- 利用html事件,也需要用到<和单引号或者双引号,所以不行
如下,我们选中然后右键查看选中部分源码,发现被转换了,所以确实是impossible
发布者:全栈程序员栈长,转载请注明出处:https://javaforall.cn/137360.html原文链接:https://javaforall.cn