從 xss 反打到進小黑屋的故事

關于這個新聞，首先科普一下犯罪過程：

1、互聯網搜索 XSS 找到跨站漏洞攻擊平臺

百度搜索 xss 關鍵詞，翻了幾頁還真找到了一個在線平臺：

趕緊打開看看能不能用，界面很不錯：

注冊發現，需要邀請碼，但是這個平臺是一個開源項目，已經有很多人在玩，那么通過關鍵詞 xss-platform 來進行搜索，可以發現很多不需要驗證碼的平臺，找一個注冊賬號進去看看：

2、通過該平臺獲取攻擊代碼，插入相關網站

有了攻擊平臺之后，找一下新聞中的攻擊代碼，因為是要獲取 cookie 信息，所以找獲取 cookie 的功能即可，創建一個測試 cookie 的項目，選擇：

接下來查看攻擊代碼：

到這里就已經有了攻擊代碼。

3、將攻擊代碼插入到存在 XSS 漏洞的網站

從新聞中的結果來看，獲取到六十多條 cookie 信息，還包含了管理員的，猜出是存儲型的 XSS 漏洞，也就是插入的代碼保存到數據庫，只要有人訪問那個被插入惡意代碼的頁面即可出發惡意代碼，從而被盜取 cookie。

有人會問，盜取 cookie 有啥用？有了 cookie，就可以登錄你的賬戶，接管你的賬戶，你登錄之后能做的操作，攻擊者都可以做，包括花你的錢，修改你的資料等等。

我們也來試試，首先得找到存在 XSS 漏洞的網站，對于白帽子而言，找到漏洞，第一時間應該提交到相關平臺，督促官方修復漏洞，而測試漏洞是否存在，無需使用攻擊平臺，只要能彈窗就行，彈窗腳本：

alert(1)

為了測試，我寫了一個存在 xss 漏洞的測試頁，內容如圖：

將上面的彈窗代碼帶入參數，訪問如圖：

到這里，就已經可以證明漏洞存在了，作為白帽子的測試已經結束，提交漏洞即可，無需進一步測試。

但是新聞中的主人公，使用了攻擊平臺，插入了獲取 cookie 的代碼，我們試試插入攻擊代碼之后的效果：

頁面上沒有任何反應，但是看看 xss 攻擊平臺有沒有結果，看到一條新記錄：

包含了我的 cookie、頁面標題、遠程 IP 地址、操作系統、瀏覽器等信息，而新聞中的主人公獲取了六十多人的記錄，相當于獲得了六十多人的賬號權限，這是不應該做的，也是違法的主要原因。

對于提供獲取 Cookie 信息的平臺也是具有連帶責任的，屬于為違法犯罪提供幫助，這也是不允許的。

4、總結

在互聯網上做測試，一定不能越界，無論是出于何種目的，獲取用戶敏感數據，攻擊在線平臺都是不允許的，都存在未授權測試的違法行為，如果是白帽子，測試漏洞一定要點到為止，不能進行深入利用，如果作為紅隊成員，一定在授權的范圍內進行測試，鍛煉技術就打靶場吧，千萬不要未授權實戰利用漏洞，來提升自己的能力，越界后，將追悔莫及。