跳出一个JS变量封装

Question

我正在阅读一本关于 XSS 攻击的书，我发现了一个关于 XSS 过滤器规避的例子，这有点奇怪（恕我直言）。

这是示例文本：

另一个可能存在的注入点是开发人员使用 unsanitized 用户输入作为脚本元素中生成的 HTML 的一部分。例如：

var query_string="";
一些函数（查询字符串）；
函数 somefunction {
...
}
脚本>

看来我们可以访问 JavaScript 函数的内部。让我们尝试添加一些 引号，看看能不能跳出封装：

var query_string="”";
一些函数（查询字符串）；
函数 somefunction {
...
}

它成功了，并且在过程中也导致了一个 JavaScript 错误，如图 3.38 所示。 让我们再试一次，但不要尝试注入 HTML，让我们直接使用 JavaScript。因为无论如何我们都在一个脚本标签中，为什么不利用它来发挥我们的优势呢？

var query_string="";alert(“XSS”);//";
一些函数（查询字符串）；
函数 somefunction {
...
}

bold 文本是我认为是用户输入的内容，例如来自表单。

回到我的问题：这种攻击有什么方法有效吗？例如，假设somefunction(query_string) 用于运行一些sql 查询，query_string 是要在数据库中搜索的产品名称。如果在搜索函数中我创建sql_query = 'SELECT name FROM table WHERE name = "'+query_string+'"';，我认为没有办法注入一些带引号的字符串来“跳出封装”，即输入YAY";alert('hi');//不会将JS更改为：

var query_string = [user input, in this case YAY";alert('hi');//]
function abc(query_string){
    sql_query = "select name FROM table WHERE name = 'YAY';
    alert('hi');//
    ....
}

我错了吗？你怎么看？你能给我举一个简单的例子（如果可能的话），说明这种攻击如何造成某种损害？

我想过网店之类的东西，但是假设服务器端不使用JS，这种攻击唯一能做的就是修改查询字符串，然后将其提交给服务器..

希望你能理解我写的和我想理解的，谢谢，最好的问候。

Answer 1

你应该只看第一行。其余的在这个 xss 示例中没有发挥作用。这是一个选择不当的例子。所以举个简单的例子

var first_name="<XSS>";

在此示例中，<xss> 是用户生成的内容。所以你的例如php代码是这样的

var first_name="<? echo $firstName; ?>";

$firstName 取自某个数据库或其他东西，并由将其键入某个文本字段的用户生成。假设用户键入：";alert("XSS");//。 PHP会生成如下代码

var first_name="";alert("XSS");//";

印刷精美：

var first_name="";
alert("XSS");
//";

如您所见，用户能够在访问该页面的所有其他用户浏览器中运行他的代码alert("XSS")。在这个例子中除了一些警告框不会发生任何坏事，但是用户可能会注入一些代码来获取 cookie 信息并将其发送到某个服务器，因此攻击者可以窃取某人的登录会话。

同样的问题 - 忘记转义用户生成的内容 - 也适用于创建 sql 查询，但这与本示例无关。这个例子的创建者应该在他的例子中使用query_string，因为它显然是令人困惑的。