Web安全攻防实战教程-课件 第3章 XSS漏洞深度解析与防御实践

2026/03/06XSS漏洞深度解析与防御实践CONTENTS目录01

XSS漏洞概述02

存储型XSS漏洞03

反射型XSS漏洞04

DOM型XSS漏洞CONTENTS目录05

BeEF进行XSS渗透06

内容安全策略（CSP）07

XSS漏洞练习题与实训08

XSS漏洞防御总结与展望XSS漏洞概述01XSS漏洞的定义与危害XSS漏洞的定义XSS是一种常见的网络安全威胁，允许攻击者在用户浏览器中注入并执行恶意脚本，从而实施窃取用户信息、控制用户会话等恶意操作。XSS漏洞的普遍性根据OWASP报告，XSS始终位居Web应用安全威胁前列，无论是大型互联网公司还是小型网站，都可能成为XSS攻击的目标。XSS漏洞的主要危害XSS攻击后果包括会话劫持、网站篡改、数据窃取、键盘记录等，严重威胁用户隐私与Web应用安全。XSS漏洞的主要类型

存储型XSS漏洞恶意代码被存储到服务器（如数据库、文件），用户访问包含恶意代码的页面时触发攻击，具备隐蔽性和持久性，危害最大。

反射型XSS漏洞恶意脚本附加在URL参数中，服务器未过滤直接返回给浏览器执行，为一次性攻击，常通过邮件等诱导用户点击恶意链接。

DOM型XSS漏洞不经过服务器交互，恶意脚本在客户端通过JavaScript动态修改DOM生成，基于客户端脚本执行，隐蔽性强。存储型XSS漏洞02存储型XSS漏洞介绍存储型XSS漏洞定义存储型XSS漏洞也称为持久性XSS漏洞，指XSS代码被存储到服务器，当其他用户访问包含该代码的页面时，代码被浏览器解析执行。存储型XSS漏洞特点具备隐蔽性和持久性，恶意内容永久存储，可导致多个用户受害，攻击存在不确定性，在时间和空间上无直接关联的页面也可能引发攻击。典型应用场景常见于留言板、博客和论坛等，如恶意用户在论坛发布含恶意代码的留言，其他用户查看时，代码在其浏览器中执行产生攻击行为。存储型XSS漏洞攻击演示

登录系统与准备访问URL/bcbm/login.html，使用用户名“admin”、密码“123456”及验证码登录Wiki后台系统，打开添加新闻页面。

构造攻击内容在添加新闻页面输入标题“免费抽奖”，内容包含恶意JavaScript代码：<imgsrc="/bcbm/image/xss.gif"onclick="for(leti=0;i<10;i++){constxhr=newXMLHttpRequest();xhr.open('GET','/bcbm/');xhr.send();}"/>，并提交。

触发攻击与监控访问新闻列表页面，打开“免费抽奖”新闻详情，单击动图触发攻击。通过Firefox浏览器控制台监控到向服务器连续发送10条请求，实现DDoS攻击。存储型XSS漏洞原理解析后台存储代码问题

add.php代码通过变量接收用户输入的文章标题和内容，未对JavaScript代码处理直接存储到数据库，如$sql="insertintoarticle(author,headline,content,viewcount,createtime)values('$author','$headline','$content',0,now())"。页面展示代码问题

read.php代码获取文章ID后查询数据库，将标题和内容直接返回前台页面，如<div><?=$article['content']?></div>，导致恶意代码被浏览器解析执行。攻击代码执行逻辑

用户查看新闻详情时，恶意代码中的onclick事件在单击动图时触发，循环发送GET请求消耗服务器资源，实际攻击可设置更多循环次数，多个用户单击会造成更严重的DDoS攻击。反射型XSS漏洞03反射型XSS漏洞介绍

漏洞本质与特点反射型XSS漏洞是一种非持久、参数型脚本攻击，具有一次性攻击特性。攻击者将恶意脚本附加到URL参数中，服务器未严格过滤便将其输出到用户浏览器，导致恶意代码执行。

典型攻击场景攻击者发现网站存在反射型XSS漏洞后，构造含恶意代码的URL，通过邮件等方式冒充正常链接发送给用户。用户登录网站后点击该链接，恶意脚本在其浏览器中执行，窃取敏感信息并发送至攻击者服务器。反射型XSS漏洞攻击演示

准备工作打开Firefox浏览器抓包工具（路径：工具→Web开发者→网络），登录系统（URL：/bcbm/login.html，用户名“admin”，密码“123456”），查看抓取数据包中的Cookie数据（如PHPSESSID=j14jkq708bnvgs1bhr81bbs0n5）。

构造恶意攻击内容登录后访问URL：/bcbm/xssref.php，在“搜索内容”文本框输入JavaScript代码“”，点击“提交查询”按钮，生成恶意URL：/bcbm/xssref.php?search=%3Cscript%3Ealert%28document.cookie%29%3B%3C%2Fscript%3E。

获取Cookie数据提交请求后，浏览器弹出对话框，显示获取到的Cookie数据（如PHPSESSID=j14jkq708bnvgslbhr81bbsOn5），与抓包工具获取的Cookie一致，表明攻击成功窃取用户隐私数据。反射型XSS漏洞原理解析

后台代码分析xssref.php后台代码通过“echo'Hello'.$_GET['search'].'XSS漏洞被触发!'”直接获取URL参数search的内容并输出到页面。用户输入的恶意JavaScript代码（如“”）未经过滤，被直接返回给浏览器。

页面源代码验证查看页面源代码，可见服务器返回内容为“HelloXSS漏洞被触发!”，恶意脚本被嵌入HTML中。浏览器解析时执行该脚本，通过document.cookie获取Cookie数据，alert函数弹出对话框展示数据。

攻击延伸风险实际场景中，攻击者可将获取的Cookie数据发送至指定服务器，利用SessionID冒充用户身份登录站点，进一步窃取用户信息或进行恶意操作。DOM型XSS漏洞04DOM型XSS漏洞介绍

DOM型XSS定义与核心特征基于文档对象模型（DOM）的客户端脚本漏洞，恶意脚本无需经过服务器交互，直接在客户端通过JavaScript动态注入页面文档，区别于存储型和反射型XSS的服务器中转特性。

与传统XSS的本质区别存储型和反射型XSS的恶意脚本需经服务器处理后返回客户端，而DOM型XSS的恶意脚本由客户端JavaScript在执行合法代码后动态生成，服务器响应中不包含恶意内容。

典型攻击场景流程攻击者构造含恶意字符串的URL→欺骗用户访问→服务器返回正常响应→客户端执行合法JS时注入恶意脚本→恶意脚本窃取Cookie等数据并发送至攻击者服务器。DOM型XSS漏洞攻击演示

正常请求构造与页面交互访问/bcbm/xssdom.php，在搜索框输入"hellodomXss!"并点击"domxss测试"按钮，页面底部正常显示输入内容，验证功能逻辑。

恶意代码注入与按钮生成单击此处添加项正文

攻击触发与抓包验证点击生成的"clickme"按钮，页面被导航至第三方网站；抓包工具仅捕获xssdom.php初始请求，无后续服务器交互，证明攻击在客户端完成。DOM型XSS漏洞原理解析客户端JavaScript处理逻辑xssdom.php中domXss()函数通过document.getElementById("inputXss").value获取用户输入，直接赋值给contentXss标签的innerText，未做任何过滤。恶意代码注入与标签闭合单击此处添加项正文漏洞核心成因客户端JavaScript直接将用户可控输入作为DOM节点内容动态插入页面，未对HTML标签、事件属性等危险内容进行转义或过滤，导致恶意代码被浏览器解析执行。BeEF进行XSS渗透05BeEF工具原理与模块介绍BeEF简介BeEF是一款强大的浏览器渗透测试框架，为安全研究人员和渗透测试人员评估Web应用安全性提供高效灵活的方式，能帮助提升XSS渗透测试效率。工具原理BeEF内置木马脚本文件hook.js，攻击者提交Payload时将其挂到用户网页。hook.js执行后，BeEF可与用户浏览器交互，获取信息并控制浏览器进行攻击操作，脚本内容可通过:3000/hook.js查看。核心模块功能OnlineBrowsers：显示与BeEF服务器连接成功的在线浏览器；Commands：BeEF核心模块，提供多种命令控制浏览器操作，命令按执行效果用不同颜色标识；CurrentBrowser：展示目标浏览器详细信息、日志等，含Details、Logs等子模块。BeEF常用核心命令01命令颜色标识含义绿色：命令可在目标浏览器执行且用户无异常感知；橙色：命令可执行但用户可能察觉异常，如弹窗、跳转等；灰色：命令未针对目标浏览器验证；红色：命令不适用于目标浏览器。02获取用户Cookie依次选择“CurrentBrowser”→“Commands”→“ModuleTree”→“Browser”→“HookedDomain”→“GetCookie”，点击“Execute”，在“ModuleResultsHistory”查看获取的Cookie数据。03替换网页内链接与网页重定向替换链接：选“ReplaceHREFS”，输入目标URL执行，可将页面链接替换为指定地址；网页重定向：选“RedirectBrowser”，输入重定向网址执行，被攻击浏览器会打开该页面。04社工弹窗在“SocialEngineering”→“PrettyTheft”设置弹窗类型、背景等，执行后用户浏览器出现登录界面，诱导输入用户名密码，攻击者可在“ModuleResultsHistory”查看窃取的登录数据。BeEF攻击实战：盗取DVWACookie环境准备与启动在CentOS启动docker服务并运行BeEF：[root@centos7~]#systemctlstartdocker；[root@centos7~]#dockerrun--rm-d-p3000:3000janes/beef。登录BeEF：访问:3000/ui/authentication，输入用户名“beef”和密码“beef”。DVWA靶场设置与脚本注入登录DVWA（/dvwa/，用户名“admin”，密码“password”），将“SecurityLevel”设为“Low”。在“XSS(Reflected)”文本框输入含hook.js的脚本：，点击“Submit”完成注入。劫持浏览器与获取CookieBeEF的“OnlineBrowsers”显示在线浏览器即劫持成功。选“CurrentBrowser”→“Commands”→“ModuleTree”→“Browser”→“HookedDomain”→“GetCookie”执行，在“ModuleResultsHistory”获取Cookie数据，含PHPSESSID等。BeEF攻击实战：盗取DVWACookie

利用Cookie免登录DVWA配置Edge浏览器代理（地址，端口8080），清空Cookie。启动BurpSuite拦截请求，在拦截消息中添加获取的Cookie数据（如Cookie:security=low;PHPSESSID=gv2ghmbdjhlkn831rjt1jn9d55），转发后成功免登录DVWA。内容安全策略（CSP）06CSP的定义与作用

01CSP的核心定义内容安全策略（CSP）是一种Web安全机制，允许网站运营者控制用户代理（如浏览器）加载内容的来源和类型，通过白名单机制明确信任资源，减少XSS等攻击风险。

02CSP的主要作用防御XSS攻击：限制内联JavaScript执行、控制外部代码加载来源、禁止动态代码执行；增强网站安全性：减少恶意脚本注入风险，保护用户隐私和数据安全。

03白名单机制原理开发者通过配置指令（如script-src、img-src）指定可信任的资源来源，浏览器仅加载符合策略的资源，即使存在漏洞也无法执行恶意代码。CSP配置方法与指令启用CSP的三种方式单击此处添加项正文常见CSP指令default-src：默认资源加载策略；script-src：JavaScript来源；style-src：CSS来源；img-src：图片来源；connect-src：网络请求来源；object-src：插件资源来源。内容源类型源列表：指定信任的主机地址（如）；关键字：'self'（同源）、'none'（无信任源）、'unsafe-inline'（允许内联资源）；数据：data:（数据URI）、mediastream:（媒体流URI）。CSP报告机制

CSP报告启用方式1.拦截并报告：设置`report-uri`属性提交违规报告，如`Content-Security-Policy:script-src'self';report-uri/csp-report.php`；2.仅报告不拦截：使用`Content-Security-Policy-Report-Only`头部，监控违规行为不阻止资源加载。

CSP报告格式JSON格式包含关键信息：document-uri（违规文档URI）、violated-directive（违规指令）、blocked-uri（被阻止资源URI）、original-policy（原始策略）等。

报告存储方式文件存储：按日期命名日志文件（如csp-report-20250615.log）；数据库存储：建立专用数据表，记录报告中的关键字段，便于审计与分析。CSP应用实战

01配置CSP策略修改后台代码（如read.php），设置`header("Content-Security-Policy:img-src'self';report-uri/bcbm/cspreport.php");`，限制图片仅加载自身资源并指定报告地址。

02编写报告处理代码创建cspreport.php文件，通过`file_get_contents('php://input')`接收JSON报告，解析后写入日志文件（如cspreport.txt），记录违规时间、blocked-uri等信息。

03设置权限与测试验证赋予报告文件及目录可写权限（chmod777）；添加含外部图片的新闻，访问时浏览器拦截资源并在控制台显示违规消息，查看报告文件确认拦截记录。XSS漏洞练习题与实训07XSS漏洞练习题XSS漏洞类型填空题XSS漏洞分为3种，分别是存储型XSS、反射型XSS和DOM型XSS。DOM型XSS漏洞特点选择题DOM型XSS漏洞的特点是（C）。A.恶意脚本经过服务器后返回给客户端B.恶意脚本在服务器中生成C.恶意脚本在客户端生成D.不需要恶意脚本反射型XSS漏洞特点选择题反射型XSS漏洞的特点是（B）。A.可以持续进行攻击B.一次性攻击C.无法攻击D.攻击次数由用户参数决定CSP启用方式简述题简述启用CSP的两种方式：一是定义HTTP响应头中的Content-Security-Policy字段；二是设置网页的meta标签。BeEF工具原理简述题简述BeEF工具实施XSS的原理：BeEF内置木马脚本文件hook.js，攻击者将其注入用户网页，hook.js在用户浏览器执行并与BeEF服务器交互，使攻击者可获取信息、控制浏览器。实训1：存储型XSS漏洞攻击实践实训目的

提升针对存储型XSS漏洞利用的实践能力。实训环境

一台安装Windows10操作系统且Firefox浏览器已安装HackBar插件的计算机；一台安装CentOS7操作系统、可访问外网且已安装DVWA靶场的虚拟机。实训步骤：登录DVWA

在Windows本机打开Firefox浏览器，访问URL：/dvwa/，输入用户名“admin”和密码“password”登录。实训步骤：设置靶场安全级别

登录后，在左侧导航栏选择“DVWASecurity”，将“SecurityLevel”设置为“Low”，单击“Submit”按钮。实训步骤：构建Payload及攻击实施

在左侧导航栏选择“XSS(Stored)”，在“Name”文本框输入"HelloJack"，“Message”文本框输入代码：Hello,，单击“SignGuestbook”按钮提交，弹出“hello!”对话框。实训2：DOM型XSS漏洞攻击实践01实训目的提升针对DOM型XSS漏洞利用的实践能力。02实训环境一台安装Windows10操作系统且Firefox浏览器已安装HackBar插件的计算机；一台安装CentOS7操作系统、可访问外网且已安装DVWA靶场的虚拟机。03实训步骤：登录DVWA在Windows本机打开Firefox浏览器，访问URL：/dvwa/，输入用户名“admin”和密码“password”登录。04实训步骤：设置靶场安全级别登录后，在左侧导航栏选择“DVWASecurity”，将“SecurityLevel”设置为“Low”，单击“Submit”按钮。05实训步骤：构造攻击链接及获取Cookie数据在左侧导航栏选择“XSS(DOM)”，提交请求后浏览器生成链接，构造攻击链接：/dvwa/vulnerabilities/xss_d/?default=，在浏览器访问该链接获取Cooki