我是一名軟件工程師,已經觀看了很多有關XSS的視頻。
但是我無法理解如果它在客戶端運行而不在服務器端執行會帶來多大的危險?其中包含數據庫和許多重要文件。
如果存在XSS漏洞,攻擊者可以採取以下措施。
- Ad-Jacking -如果您設法將XSS存儲在網站,只需在其中註入廣告即可賺錢;)
- 點擊劫持-您可以在頁面上創建隱藏的覆蓋圖,劫持受害者的點擊以執行惡意行為。
會話劫持-如果Cookie中沒有HTTP ONLY標誌,則JavaScript可以訪問HTTP cookie。
內容欺騙-JavaScript可以完全訪問網絡應用程序的客戶端代碼,因此您可以使用它顯示/修改所需的內容。
憑據收集-最有趣的部分。您可以使用精美的彈出窗口來收集憑據。 WiFi固件已更新,請重新輸入您的憑據進行身份驗證。
強制下載-這樣,受害者就不會從以下位置下載惡意Flash Player absolute-safe.com?不用擔心,您會更幸運地嘗試從受害者訪問的受信任網站上進行下載。
加密挖礦-是的,您可以使用受害者的CPU為您挖掘一些比特幣!
繞過CSRF保護-您可以使用JavaScript發出POST請求,可以使用JavaScript收集和提交CSRF令牌,還需要什麼?
鍵盤記錄-您知道這是什麼。
錄製音頻-它需要得到用戶的授權,但是您可以訪問受害者的麥克風。感謝HTML5和JavaScript。
拍照-需要獲得用戶的授權,但您可以訪問受害者的網絡攝像頭。感謝HTML5和JavaScript。
地理位置-它需要得到用戶的授權,但是您可以訪問受害者的地理位置。 感謝HTML5和JavaScript。
隱藏HTML5網絡存儲數據-HTML5引入了一項新功能,即網絡存儲。現在,網站可以將數據存儲在瀏覽器中以供以後使用,當然,JavaScript可以通過window.localStorage()和window.webStorage()瀏覽器&系統
指紋識別-使用JavaScript可以輕鬆查找瀏覽器名稱,版本,已安裝的插件及其版本,操作系統,體系結構,系統時間,語言和屏幕分辨率。
網絡掃描-可以濫用受害者的瀏覽器來使用JavaScript掃描端口和主機。
崩潰的瀏覽器-是的!您可以用….stuff淹沒瀏覽器。
隱藏信息-捕獲網頁中的信息並將其發送到您的服務器。簡單!
重定向-您可以使用javascript將用戶重定向到您選擇的網頁。
捕獲-只是一個漂亮的重定向版本。例如,如果超過一分鐘未收到任何鍵盤或鼠標事件,則可能意味著該用戶是afk,並且您可以用偽造的網頁輕鬆地替換當前網頁。
捕獲屏幕截圖-再次感謝HTML5,現在您可以獲取網頁的屏幕截圖。盲XSS檢測工具一直在這樣做,然後才變酷。
執行操作-您正在控制瀏覽器
也許是一個現實生活中的例子將有助於理解像XSS這樣的表面上很小的安全漏洞可能有多危險。
作為安全評估的一部分,我的公司被要求嘗試訪問CEO個人。電子郵件。我設法通過某個OSint來獲取其個人電子郵件地址,現在可以使用許多信息竊取者惡意軟件之一的自定義版本進行魚叉式網絡釣魚,但我將信息收集階段延長了一段時間。事實證明,CEO很喜歡乘船,並在船賣網站上出售其中一艘。該網站似乎很業餘,我註冊並迷惑了一下。我發現了什麼?該站點允許您管理密碼,並在當前字段中預填一個密碼字段,為此,我對此站點進行了更多調查。我遇到了一個已存儲的XSS漏洞:當您回答要約時,您可以在其中放入任意HTML代碼(包括腳本),然後將其在閱讀器瀏覽器中執行!
看起來很“無害”,不是嗎?是嗎?
因此,如果將其與對密碼的管理不善怎麼辦?
因此,我製作了一個腳本來獲取密碼頁面(這是域內請求,滿足SOP),提取了密碼和客戶信息(UA,OS等),並將其發送到我的C&C。然後,通過謹慎地寫一封電子郵件告知首席執行官我的“購買意圖”,向首席執行官灌輸一種渴望。
一天后,我收到了他們用來登錄船用網站的密碼。正如預期的那樣,這是他們電子郵件所使用的密碼(沒有2FA,我不記得是不是這樣),並且能夠訪問網絡郵件(客戶端信息用於模擬合法訪問) ,以防有必要保持低調。
長話短說,進攻不是一個原子步,它是由征服者組成的。如果您給對手留出空間,您將永遠不知道他們從那裡可以做什麼。 XSS為攻擊者提供了空間,您已經看到了很多。
攻擊者控制的代碼在客戶端的Web應用程序上下文中運行,可以完全控制客戶端的操作,還可以讀取HTML頁面的DOM等。
這意味著它既可以竊取此頁面內的秘密(密碼等),也可以按照登錄客戶端的身份進行操作(例如購買商品,在郵件客戶端中發送炸彈威脅等)。請注意,這種活動通常可以對客戶隱藏,這樣他/她就不會意識到自己目前正在受到攻擊。
XSS攻擊對服務器沒有危險。這對於擁有服務器的原因是一種危險。這不是技術意義,而是非常人性化的,因為源自您網站的任何類型的XSS攻擊通常都以您的聲譽敗下陣來。一些測試用例:
當XSS在Web應用程序安全社區中首次廣為人知時,一些專業的滲透測試人員傾向於將XSS視為“ as腳”漏洞。
來源:Web應用程序黑客手冊
XSS是客戶端的命令注入,就像其他用戶指出的那樣,它可能導致用戶可以執行任何操作。 XSS通常用於會話劫持,其中使用JavaScript的攻擊者使受害者將會話Cookie傳輸到攻擊者控制的服務器,然後攻擊者可以從那裡執行“會話騎行”。
但是XSS也會導致完整的應用程序接管。考慮一個注入JavaScript並存儲它的場景。然後,管理員將其加載到Web瀏覽器(通常是日誌或CMS)中。如果那裡存在XSS,則您現在擁有管理會話令牌。這就是XSS可能非常危險的原因。
XSS漏洞的大多數可能後果影響用戶,而不是服務器。因此,如果您不關心用戶的網站帳戶遭到破壞或用戶看到的網站內容不是來自服務器,則請忽略這些漏洞。
用戶具有管理員權限,那麼XSS漏洞很容易導致意外的管理員操作。典型的例子是您的管理區域中的日誌查看器不支持XSS。訪問日誌中的一些javascript代碼段可能會由您的管理員執行,並在其帳戶下執行管理操作。這就是為什麼您有時會在試圖入侵您網站的漫遊器的HTTP標頭中看到javascript代碼段的原因。
為您提供一個真實的示例,其中在大約10年前的一次事件中使用XSS來直接接管服務器(儘管我忘記了(小型/無關緊要)網站的名稱,並且我懷疑它已經不存在了):
向網站站長報告:“您的網站上存在XSS漏洞。您應該解決此問題。我應該如何向您發送詳細信息?”
想要向網站站長提問:“向我展示我的服務器是超級安全的!請嘗試,但您沒有機會。”
記者的回答:“然後在您的網站上查看我的個人資料頁面。 “
網站管理員這樣做了,突然整個網站都死了。發生了什麼?報告者使用XSS漏洞在自己的個人資料頁面上插入了JavaScript代碼。
JavaScript代碼(在瀏覽器和網站管理員會話中運行)向服務器發送了以下請求:
通過向託管公司發送請求以取消對服務器和域的訂閱並從中轉移資金,可能會造成其他損失他的銀行帳戶(假設網站管理員已登錄到託管人/域註冊商/銀行,並且沒有CSRF保護,這在10年前並不罕見)。
也不要忘記XSS蠕蟲就像 MySpace蠕蟲Samy散佈在所有配置文件頁面上一樣,可能會破壞您的服務器的DDOS或損害您的用戶。
您似乎在尋找對服務器(包括SQL等)而不是客戶端的危險,因此許多危險不適用。
但是有一個危險服務器(允許客戶端在服務器上執行的操作)。如果客戶端有權更改數據庫,則攻擊者也可以。客戶端有權在服務器上執行的任何操作也是如此。
XSS本身在以下意義上是危險的:
您還可以從其他答案中很好地了解XSS成為問題的技術原因。我將提供另一個觀點。
XSS是一個非常容易引入您的代碼中的漏洞,並且可以被掃描程序發現。這可能是為什麼它被包括記者在內的“普通大眾” 相對“知名”的原因之一(在“我聽說過”的意義上)。
如果您有一個公開可用的站點,則它可能被描述為
Sai Kumar LLC具有一個極易受攻擊的站點,因為它具有XSS。XSS是一個非常危險的漏洞。非常。
它允許竊取同伙的數據。是的̨da҉t͘a̵͢haś̴al͞r̀ead́y͠b̷e̷e̶n̨s͝t͜o̢l͝e͜n。 t>
然後您可以進行各種各樣的肚皮舞,解釋這不是漏洞,勘誤表將在第74頁的3 pt字體中顯示為灰色。
這就是為什麼我在公共網站上系統地提高XSS調查結果的CVSS的原因(當通過滲透測試,掃描或其他測試發現時)。
存儲的跨站點腳本的風險很大,原因有多種:瀏覽器的XSS過濾器不再可見有效負載。如果用戶轉到受影響的頁面,可能會偶然觸發有效負載,而利用精心設計的url或精確的表單輸入來利用反射的XSS將會是必需的。