19. 存储型 XSS 入门 [什么都没过滤的情况]

来源:19. 存储型 XSS 入门 [什么都没过滤的情况]

简要描述

存储型和反射型相比,只是多了输入存储、输出取出的过程。简单点说: 反射型是:输入--输出;

存储型是:输入--进入数据库*--取出数据库--输出。 这样一来,大家应该注意到以下差别:

反射型是:绝大部分情况下,输入在哪里,输出就在哪里。

存储型是:输入在 A 处进入数据库, 而输出则可能出现在其它任何用到数据的地方。

反射型是:输入大部分位于地址栏或来自 DOM 的某些属性,也会偶尔有数据在请求中(POST 类型) 存储型是:输入大部分来自 POST/GET 请求,常见于一些保存操作中。

因而我们找存储型的时候,从一个地方输入数据,需要检测很多输出的点,从而可能会在很多点发现存储型 XSS。 至于如何根据输出来构建存储型 XSS 的代码,和反射型没有任何区别,都是看输出的上下文来进行。 从程序员过滤代码的角度来讲,我们给之后的教程走向分个类:

1. 数据需要过滤,但是未过滤。导致 XSS。 比如:昵称、个人资料。

2. 业务需求使得数据只能部分过滤,但过滤规则不完善,被绕过后导致 XSS。 比如:日志、邮件及其它富文本应用。 本节先看一个最基本的情况,该过滤,但是什么都没过滤的情况。

(数据库:不一定是像 mysql 那样的数据库,只要是能存储数据的都算。)

详细说明

1. 找存储型的时候,需要有一颗多疑的心,一双善于发现的眼睛。我们来看看实例!

2. 某一天,某一群,与某一妹子有以下对话。

image

3. 过了一会,就来了这么一条消息,原来是手机 QQ 录了发上来的。

image

4. 这个时候,我们就会想,这个发上来的页面会不会有 XSS 呢?

5. 我们来看看页面的结构。

image

6. 很多新手在找 XSS 的时候,都是拿着<script>alert(1)</script>或者其它到处测试,很盲目不是吗?

一定要记住本节最开头的话,存储型 XSS,输出的位置不一定出现在输入的位置。

7. 因而我们有时候需要逆向的思维,来寻找存储型 XSS。 大概思路如下:

7.1 先找到输出点,然后猜测此处输出是否会被过滤。

7.2 如果觉得可能没过滤,我们再找到这个输出是在哪里输入的。

7.3 接着开始测试输入,看输出的效果。

7.4 如果没过滤,那么你就成功了,否则你可以放弃掉它。

8. 拿本例来说明以上过程,

8.1 我们猜测昵称这个输出没过滤。

8.2 找到输入点,这个输入点,就是修改 QQ 昵称。

8.3 开始测试

通过 WEBQQ 修改昵称如下:(方法见: WooYun: PKAV 腾讯专场 - 3. 腾讯 QQ 客户端某处功能页面存储型 XSS ) 使用 charles web proxy 拦截 WEBQQ 数据包,修改并提交。

image

提交成功后:

image

8.4 我们拿小号进入一个群,发布一条手机 QQ 的语音。看输出效果,没过滤,成功了吧~~

image

image

拿 xsser.me 在某群的测试效果!

image

登录他人帐号:

image

修复方案:

昵称处输出过滤。