翻译

原文：https://portswigger.net/web-security/cross-site-scripting/reflected

- name: 翻译
  desc: 原文：https://portswigger.net/web-security/cross-site-scripting/reflected
  bgColor: '#F0DFB1'
  textColor: 'green'

反射型XSS

在本节中，我们将解释反射型跨站脚本，描述反射型 XSS 攻击的影响，并详细说明如何发现反射型 XSS 漏洞。

1什么是反射型XSS？

当应用程序在 HTTP 请求中接收数据，并以不安全的方式 将该数据包含在即时响应中时，就会出现反射型跨站脚本（XSS）。

假设某个网站有一个搜索函数，它在 URL 参数中接收用户提供的搜索词：

https://insecure-website.com/search?term=gift

应用程序在对此 URL 的响应页面中回显所提供的搜索词：

<p>You searched for: gift</p>

假设应用程序不对数据进行任何其他处理，攻击者可以构造如下攻击：

https://insecure-website.com/search?term=<script>/*+Bad+stuff+here...+*/</script>

此 URL 会产生以下响应：

<p>You searched for: <script>/* Bad stuff here... */</script></p>

如果应用程序的另一个用户请求了攻击者的 URL，则在用户与应用程序的会话上下文中，攻击者提供的脚本将会在受害用户的浏览器中执行。

实验室-学徒

反射型XSS-未编码的HTML上下文 >>

- name: 实验室-学徒
  desc: 反射型XSS-未编码的HTML上下文 >>
  avatar: https://fastly.statically.io/gh/clincat/blog-imgs@main/vuepress/static/imgs/docs/burpsuite-learn/public/lab-logo.png
  link: https://portswigger.net/web-security/cross-site-scripting/reflected/lab-html-context-nothing-encoded
  bgColor: '#001350'
  textColor: '#39d50c'

2反射型 XSS 攻击的影响

在受害者的浏览器中，如果攻击者可以控制所执行的脚本，则他们通常可以完全危及该用户的安全。除此之外，攻击者还可以：

• 在应用程序中执行用户可以执行的任何操作。
• 查看用户能够查看的任何信息。
• 修改用户能够修改的任何信息。
• 对应用程序内的其他用户发起交互，这些交互可能包含恶意攻击，攻击源来自最初的受害用户。

攻击者可以通过各种手段，诱使受害用户发出他们控制的请求，以提供反射型 XSS 攻击。这些方法包括在攻击者控制的网站上放置链接，或在允许生成内容的另一个网站上放置链接，或者通过电子邮件、推文或其他消息发送方式 来发送链接。这种攻击可以直接针对已知用户，也可以是 对应用程序的任何用户 执行不分青红皂白的攻击。

这种攻击依赖于外部传递机制，这意味着反射型 XSS 的影响通常不如存储型 XSS 严重，后者可以在易受攻击的应用程序本身内 传递自包含攻击。

学习更多

利用跨站脚本漏洞 (opens new window)

3不同上下文中的反射型XSS

有许多不同的反射型跨站脚本。反射数据在应用程序响应中的位置，决定了利用它所需要的有效负载类型，并且还可能影响漏洞的危害程度。

此外，如果应用程序在提交的数据被反射之前，对其执行任何验证或其他处理，这通常会影响 XSS 有效负载的类型。

学习更多

跨站脚本上下文 (opens new window)

4如何发现和测试反射型 XSS 漏洞

绝大多数反射型跨站脚本漏洞，都可以使用 Burp Suite 的Web漏洞扫描程序 (opens new window)快速而可靠地找到。

手动测试反射型 XSS 漏洞涉及以下步骤：

• 测试每个入口点。分别测试应用程序 HTTP 请求中的每个数据入口点。这包括 URL 查询字符串、消息正文、URL 文件路径中的参数或其他数据。它还包括 HTTP 标头，尽管通过某些 HTTP 标头触发的类似 XSS 的行为在实践中可能无法被利用。
• 提交随机字母数字值。对于每个入口点，提交一个唯一的随机值，并确定该值是否反射在响应中。该值的设计应能经受大多数输入验证，因此需要相当短并且仅包含字母数字字符。但它需要足够长，以防止响应中出现意外的匹配结果。一般来说，大约 8 个字符的随机字母数字值是理想的。你可以将 Burp Intruder 的number负载 (opens new window)与随机生成的十六进制值一起使用，以便生成合适的随机值。你可以使用 Burp Intruder 的grep负载设置 (opens new window)来自动标记包含提交值的响应。
• 确定反射位置的上下文。对于响应中反射随机值的每个位置，确定其上下文。它可能处于 HTML 标签之间的文本中、被引用的标签属性中、JavaScript 字符串中，等等位置。
• 测试首选有效载荷。根据反射的上下文，测试一个初始的首选 XSS 有效载荷，如果它在响应中未经修改地反射，将触发 JavaScript 执行。测试有效载荷的最简单方法是，将请求发送到 Burp Repeater，修改请求以插入首选有效载荷，发出请求，然后查看响应以查看有效载荷是否生效。一种有效的工作方式是，在请求中保留原始随机值，并将首选 XSS 有效载荷放在随机值之前或之后。然后将随机值设置为 Burp Repeater 响应视图中的搜索词。Burp 将突出显示搜索词的每个位置，从而让你快速定位反射的位置。
• 测试备选有效载荷。如果首选 XSS 有效载荷被应用程序修改或完全阻止，那么你将需要根据反射的上下文 和 正在执行的输入验证类型，来测试备选有效载荷和技术，这些有效载荷和技术可能会提供有效的 XSS 攻击。有关更多详细信息，请参阅跨站脚本上下文 (opens new window)。
• 在浏览器中测试攻击。最后，如果你成功找到了一个似乎在 Burp Repeater 中工作的有效载荷，请将攻击转移到真实的浏览器中，通过将 URL 粘贴到地址栏中，或通过修改 Burp Proxy 拦截视图中的请求，然后查看注入的 JavaScript 是否确实被执行。通常，最好执行一些简单的 JavaScript，如alert(document.domain)，如果攻击成功，它将在浏览器中触发一个可见的弹出窗口。

5有关反射型跨站脚本的常见问题

反射型 XSS 和存储型XSS (opens new window)有什么区别？当应用程序从 HTTP 请求中获取一些输入，并以不安全的方式将该输入嵌入到即时响应中时，就会出现反射型 XSS。对于存储型 XSS，应用程序会将输入进行存储，并以不安全的方式将其嵌入到稍后的响应中。

反射型 XSS 和 Self-XSS 有什么区别？Self-XSS 与常规反射型 XSS 拥有着类似的应用程序行为，但它不能以正常方式触发，例如构造 URL 或通过跨域请求触发。相反，只有当受害者从他自己的浏览器中提交 XSS 载荷时，才会触发该漏洞。想要利用 Self-XSS 攻击，通常需要对受害者进行社会工程，诱使受害者将攻击者提供的一些输入粘贴到他们的浏览器中。因此，它通常被认为是一个蹩脚的、低影响的问题。