freeBuf
Java代码审计-XSS审计
2023-05-28 23:15:06
所属地 陕西省

一、漏洞简介

XSS是Cross Site Scripting的缩写,意为"跨站脚本攻击",为了避免与层叠样式表(Cascading Style Sheet,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。XSS是一种针对网站应用程序的安全漏洞攻击技术,是代码注入的一种。

XSS是指攻击者在网页中嵌入客户端脚本(通常是JavaScript编写的恶意代码),进而执行其植入的代码的漏洞,若Web应用未对用户可直接活间接控制的"输入"或者"输出"进行关键字的过滤或者转义处理,则很有可能存在跨站脚本漏洞。

攻击者可以利用该漏洞向Web页面注入恶意的脚本代码并使其执行,从而得到恶意攻击用户的目的(如果是自己打自己,意义较小)。

XSS漏洞的典型攻击场景--"网络钓鱼"的示意图。

1685284440_6473665816f400e0319ab.png!small?1685284440447

一种在Web应用中对漏洞的审计策略如下:

  1. 判断输入,输出点。

  2. 查看输入,输出点的上下文。

  3. 判断是否对输入,输出做了防御工作(XSSFilter过滤器,扰乱以及编码)。

二、反射型XSS

对于反射型XSS(又称非持久型XSS),这种漏洞通过外部输入,然后直接在浏览器端出发,最明显的特征是恶意数据常会在链接里,需要受害者参与,攻击者会将篡改后的链接发送给用户,当用户访问该链接时,被注入的恶意脚本就会被浏览器执行,从而达到攻击目的,在白盒审计的过程中,我们需要寻找带有参数的输出方法,然后根据输出方法对内容进行回溯输入参数。

下面的JSP代码展示了反射型XSS漏洞的大致形式。

<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<html>
<head>
<title>Title</title>
</head>
<body>
<%
//部署在服务器端
//从请求中获得"name"参数
String name = request.getParameter("name");
//从请求中获得"学号"参数
String studentId = request.getParameter("sid");
out.println("name = " + name);
out.println("studentId = " + studentId);
%>
</body>
</html>

1685284468_64736674e8c7ea4085d8c.png!small?1685284468837

我们可以看到name和sid这两个变量是从HttpServletRequest请求对象中获取的,而获取的这两个参数并未对上输入和输出进行过滤,扰乱以及编码,方面的工作,直接打印,因此无法对XSS漏洞进行防御。

访问链接如下:

http://localhost:8080/XSS-demo/reflective-xss.jsp?name=%3Cscript%3Ealert(/xss/);%3C/script%3E&sid=111
http://localhost:8080/XSS-demo/reflective-xss.jsp?name=%3Cscript%3Ealert(/xss1/);%3C/script%3E&sid=%3Cscript%3Ealert(/xss2/);%3C/script%3E

1685284489_64736689df771c9327c3a.png!small?1685284489593

三、存储型XSS

对于存储型XSS(又称持久性XSS),为了利用这一漏洞,攻击者需要将利用代码保存在数据库或者文件中,当Web程序读取利用代码并输出在页面时执行利用代码,攻击行为会一直伴随着攻击数据存在,在挖掘存储型XSS漏洞时,要寻找"输入点"与"输出点",由于"输入点"和"输出点"可能不在同一个业务流中,在挖掘这类漏洞时,可以考虑一下方法提高效率:

  1. 黑白盒结合。

  2. 通过功能,接口名,表名,字段名等角度去搜索。

3.1、oasys系统

本地项目部署

下载链接:https://github.com/misstt123/oasys

因为该项目是基于SpringBoot系统所开发的,所以只需要导入数据库即可,我们使用phpstudy。

1、创建数据库

1685284503_64736697a0192c3d587a6.png!small?1685284503287

2、运行sql文件。

1685284510_6473669ee5d815f971ef0.png!small?1685284510565

3、使用Maven加载文件。

1685284519_647366a79f034cb16277e.png!small?1685284519626

用自己下载的Maven,配置里了aliyun,速度快。

4、按照文档说明修改application.properties配置文件内容。

1685284531_647366b3ea5ce3545049a.png!small?1685284531893

5、修改端口防止冲突。

1685284539_647366bb1bba1e140531c.png!small?1685284539099

6、启动项目

本文项目地址为:http://127.0.0.1:10086/logins,按照说明文档存在两个账号分别为:admin/123456,soli/123456。

1685284546_647366c22f7c493ae5e6d.png!small?1685284546135

3.2、用户面板处-便签处存在XSS

1、进入用户面板。

1685284554_647366ca2f1287795cd8c.png!small?16852845538931685284561_647366d1c86f32a877bbd.png!small?1685284561591

成功弹窗。

1685284568_647366d87007c015f66e2.png!small?1685284568475

3、我们重新输入,然后进行抓包。

1685284576_647366e0d49a84bd9ac6f.png!small?1685284577141

4、我们全局搜索这个方法。

1685284584_647366e83cd165f549030.png!small?1685284584570

5、我们定位代码。

1685284591_647366ef701200f5ca46e.png!small?16852845913736、我Ctrl+B跟进这个方法。

1685284598_647366f692008ba516948.png!small?1685284598449

7、我们进入了UserpanelController,我们继续跟进这个UserDao。1685284605_647366fd6085e6cce650b.png!small?1685284606296

直接进入了数据库操作。

我们继续搜索,看看全局有没有XSSfilter过滤器。

1685284612_647367044f34332e3ade8.png!small?1685284612154

也没有filter过滤器。

8、我们对writep这里进行分析。

1685284640_64736720e138df51d9efe.png!small?1685284640830

这里就是进行了非空判断,不为空就保存了,没有做任何的过滤操作,内容和标题都没有做过滤,所以都能出发XSS。

3.3、文件管理-新建文件夹处存在XSS

1、我们来到文件管理,新建一个文件夹。

1685284649_647367298472d50f8dea7.png!small?1685284649649

2、文件名输入payload,发现可以弹窗。


<img src=1 onerror=alert(/xss3/) />

3、我们可以看到已经下面刷新一下,直接弹窗。

1685286356_64736dd493a4043d0099a.png!small?1685286356504

4、根据页面信息搜索源码,发现表单action为createpath,源码中搜索createpath。

1685284670_6473673ed07db5247dfd8.png!small?1685284670758

5、定位TypeSysController文件中第96行,查看源码。

1685284678_647367466a009872290c6.png!small?1685284678417

6、查看源码,我们发现,整个过程,没有做任何的校验,和过滤限制,直接ruturn,所以造成了XSS漏洞。

1685284684_6473674ca13aa139d3446.png!small?1685284684517

3.4、系统管理-类型管理处存在XSS

1、系统管理-类型管理新增三个地方都输入XSS的payload,保存后发现模板名称和类型均可弹窗。

1685284692_6473675471eb65a93f3e6.png!small?1685284692302

2、我们输入payload进行抓包。

1685284698_6473675aea2a2ddea3030.png!small?1685284698954

我们可以看到路径为typecheck。

3、我们进行放包。发现弹窗了。

1685284705_6473676100d0197b4ee6a.png!small?1685284704940

4、根据抓包的路径,我们在源码中进行全局的搜索typecheck。

1685284711_647367674832aaefb0360.png!small?16852847110281685284717_6473676d2b2c1d30598af.png!small?1685284717345

我们查看源码发现只做了校验状态通过,就在通过session判断是否从编辑界面进行的,是的话就保存,也没有做任何防护措施,导致了XSS。

四、DOM型XSS

对于DOM型XSS,是基于Document Object Model(文本对象模型)的一种XSS(客户端的脚本程序可以通过DOM动态地操作和修改页面内容)。DOM型XSS不需要与服务器交互的,它只发生在客户端处理数据阶段,粗略的说,DOM XSS的成因是不可控的危险数据,未经过滤被传入存在缺陷的JavaScript代码处理。

下面JSP代码展示了DOM型XSS漏洞的大致形式。

<script>
var pos = document.URL.indexOf("#")+1;
var name = document.URL.substring(pos, document.URL.length);
document.write(name);
eval("var a = " + name);
</script>

恶意Poc如下。

http://localhost:8080/xss-demo/dom-xss.jsp#1;alert(/safedog/)

1685284727_64736777dfceb78d60f2c.png!small?1685284727605

4.1、DOM型XSS常见的输入输出点

输入点:

  1. document.URL

  2. document.location

  3. document.referer

  4. document.fprm

  5. ......

输出点:

  1. eval

  2. document.write

  3. document.InnterHTML

  4. document.OuterHTML

  5. ......

五、XSS漏洞修复方法

1、对与后端有交互的位置执行参数的输入过滤,可通过Java过滤器filter,Spring参数校验注解来实现。

2、对于后端有交互的位置执行参数的输出转义,可以通过运用org.springframework.web.util.HtmlUtils或commons-lang-2.5.jar实现HTML标签及转义字符之间的转换来实现;特殊字符列表包括了:单引号('),双引号("),尖括号(<>),反斜杠(/),冒号(:),and符号(&),#号(#)。

3、开启JS开发框架的XSS防护功能(若应用了JS开发框架),例如JS开发框架Angular JS默认启动了对XSS攻击的防御。

4、标签时间属性黑白名单,用正则表达式匹配,如果匹配到的时间不在报名单列表,就直接拦截掉,而不是替换为空。

5、设置HttpOnly严格来说,设置HttpOnly对防御XSS漏洞不起作用,主要是为了解决XSS漏洞后续的Cookie劫持攻击,这一攻击方式可阻止客户端脚本访问Cookie。

本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
文章目录