7.3 存储型跨站脚本攻击（XSS）渗透测试

存储型跨站脚本攻击（XSS）渗透测试Web渗透与防护WebPenetrationTesting&Protection目录2存储型XSS渗透测试环境13存储型XSS渗透测试初级分析4存储型XSS渗透测试流程存储型XSS渗透测试中级分析5存储型XSS渗透测试高级分析6存储型XSS渗透测试总结存储型XSS渗透测试环境DVWA平台中XSS跨站脚本攻击环境用户端虚拟机中的Win10操作系统IP地址192.168.200.106/24IP地址192.168.200.1/24物理机PC存储型跨站脚本攻击（XSS）渗透测试流程：

寻找输入点寻找页面中的用户输入点寻找输出点寻找页面中对应的信息输出点构造执行构造JavaScript脚本并运行存储型XSS渗透测试流程……$message=trim($_POST['mtxMessage']);$name=trim($_POST['txtName']);//Sanitizemessageinput

$message=stripslashes($message);$message=((isset($GLOBALS["___mysqli_ston"])&&is_object($GLOBALS["___mysqli_ston"]))?mysqli_real_escape_string($GLOBALS["___mysqli_ston"],$message):((trigger_error("[MySQLConverterToo]Fixthemysql_escape_string()call!Thiscodedoesnotwork.",E_USER_ERROR))?"":""));//Sanitizenameinput$name=((isset($GLOBALS["___mysqli_ston"])&&is_object($GLOBALS["___mysqli_ston"]))?mysqli_real_escape_string($GLOBALS["___mysqli_ston"],$name):((trigger_error("[MySQLConverterToo]Fixthemysql_escape_string()call!Thiscodedoesnotwork.",E_USER_ERROR))?"":""));//Updatedatabase$query="INSERTINTOguestbook(comment,name)VALUES('$message','$name');";……存储型XSS渗透测试初级分析对输入的“name”和“message”参数值进行处理初级防护措施stripslashes()函数：删除字符串中的反斜杠trim()函数：删除字符串两侧的空白字符mysqli_real_escape_string()函数：转义特殊字符无法实现JavaScript脚本的过滤，将输入的恶意脚本插入到了数据库……$message=trim($_POST['mtxMessage']);$name=trim($_POST['txtName']);//Sanitizemessageinput

$message=strip_tags(addslashes($message));$message=((isset($GLOBALS["___mysqli_ston"])&&is_object($GLOBALS["___mysqli_ston"]))?mysqli_real_escape_string($GLOBALS["___mysqli_ston"],$message):((trigger_error("[MySQLConverterToo]Fixthemysql_escape_string()call!Thiscodedoesnotwork.",E_USER_ERROR))?"":""));

$message=htmlspecialchars($message);//Sanitizenameinput

$name=str_replace('<script>','',$name);……//Updatedatabase$query="INSERTINTOguestbook(comment,name)VALUES('$message','$name');";……存储型XSS渗透测试中级分析“message”参数中级防护措施strip_tags()函数：删除字符串中的HTML、XML以及PHP的标签addslashes()函数：在每个双引号“"”前添加反斜杠htmlspecialchars()函数：将所有的预定义字符转换成了HTML实体，不会将其作为脚本执行“name”参数str_replace()函数：将“<script>”字符串替换成空字符串绕过方法BurpSuite修改数据包，绕过长度限制“name”参数：大小写绕过、双写绕过……$message=trim($_POST['mtxMessage']);$name=trim($_POST['txtName']);//Sanitizemessageinput$message=strip_tags(addslashes($message));$message=((isset($GLOBALS["___mysqli_ston"])&&is_object($GLOBALS["___mysqli_ston"]))?mysqli_real_escape_string($GLOBALS["___mysqli_ston"],$message):((trigger_error("[MySQLConverterToo]Fixthemysql_escape_string()call!Thiscodedoesnotwork.",E_USER_ERROR))?"":""));$message=htmlspecialchars($message);//Sanitizenameinput

$name=preg_replace('/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i','',$name);……//Updatedatabase$query=“INSERTINTOguestbook(comment,name)VALUES(‘$message’,‘$name’);”;……存储型XSS渗透测试高级分析“name”参数高级防护措施不区分大小写，防止大小写绕过preg_replace()函数：基于正则表达式替换<script>标签，防止双写绕过绕过方法BurpSuite修改数据包，绕过长度限制“name”参数：标签绕过测试XSS页面功能判断页面中的用户输入点寻找页面输入点寻找输出点XSS攻击存储型XSS渗透测试总结测试用户输入对应的