XSS-Game全关卡通关指南：从Level1到Level18的XSS靶场实战教程

一、XSS-Game靶场简介与学习价值

XSS-Game是由Google推出的交互式XSS（跨站脚本攻击）靶场，通过18个渐进式关卡模拟真实Web应用中的XSS漏洞场景。与常规CTF题目不同，该靶场强调对浏览器解析机制、HTTP协议细节和前端安全的理解，适合以下人群：

1. Web开发者：理解输入处理不当导致的安全风险
2. 安全工程师：掌握XSS漏洞的检测与利用技巧
3. 学生群体：通过实践深化对同源策略、内容安全策略（CSP）等概念的理解

每个关卡均设计有明确的攻击目标（如窃取Cookie、执行任意JS代码），需要利用特定场景下的XSS漏洞完成挑战。通关过程实质是学习如何识别和利用不同上下文环境中的注入点。

二、核心XSS类型与利用原理

1. 反射型XSS（Level1-Level6）

特点：攻击载荷通过URL参数或表单提交返回给用户，不持久化存储。
典型场景：搜索框、错误提示页、URL跳转等。

Level1通关解析：

<!-- 原始代码片段 -->
<input type="text" value="<?php echo $_GET['query']; ?>">

攻击向量：通过修改URL参数?query=<script>alert(1)</script>触发。
防御建议：使用htmlspecialchars()对输出进行编码，或设置Content-Type为text/plain。

2. 存储型XSS（Level7-Level12）

特点：攻击载荷存入数据库，后续访问时执行。
典型场景：评论系统、用户资料页。

Level9关键突破：

// 服务器端存储逻辑
app.post('/post', (req, res) => {
  db.collection('posts').insert({ content: req.body.content });
});

攻击Payload：

<img src=x onerror=alert(document.cookie)>

防御策略：实施输入长度限制、使用CSP头、对富文本进行白名单过滤。

3. DOM型XSS（Level13-Level18）

特点：漏洞存在于客户端JS处理逻辑，不涉及服务器端。
典型场景：URL hash处理、动态内容加载。

Level15核心漏洞：

// 客户端JS代码
const hash = window.location.hash.substring(1);
document.getElementById('output').innerHTML = decodeURIComponent(hash);

攻击向量：构造URL #<svg/onload=alert(1)>
修复方案：使用textContent替代innerHTML，或对hash参数进行严格校验。

三、分关卡详细通关指南

Level1-Level6：基础反射型XSS

• Level2：利用<a>标签的href属性

  <a href="<?php echo $_GET['url']; ?>">Click</a>

  Payload：javascript:alert(1)

• Level4：突破简单过滤
  原始过滤：移除<script>标签
  解决方案：使用事件处理器

  <img src=x onerror=alert(1)>

Level7-Level12：存储型XSS实战

• Level8：多字段存储型XSS
  需要同时在用户名和评论字段注入：

  用户名：<script>alert(1)</script>
  评论：正常内容

  防御要点：实施字段级过滤

• Level11：JSONP接口漏洞
  服务端返回：

  callback({"data": "<?php echo $_GET['data']; ?>"});

  攻击Payload："});alert(1);//

Level13-Level18：高级DOM型XSS

• Level14：URL搜索参数处理

  const search = new URLSearchParams(window.location.search);
  document.write(search.get('q'));

  突破方法：闭合document.write并注入脚本

• Level17：PostMessage跨域通信
  需要构造恶意页面监听message事件：

  window.addEventListener('message', (e) => {
    eval(e.data); // 危险操作
  });

  防御建议：验证消息来源和内容

四、防御体系构建建议

1. 输入验证：

   • 实施白名单过滤（如只允许字母数字）
   • 使用正则表达式限制特殊字符
   • 对富文本采用DOMPurify等库净化

2. 输出编码：

   • HTML上下文：htmlspecialchars()
   • JS上下文：JSON.stringify()
   • URL参数：encodeURIComponent()

3. 安全配置：

   Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-inline'
   X-XSS-Protection: 1; mode=block

4. 现代框架防护：

   • React：自动转义JSX表达式
   • Angular：内置Sanitizer模块
   • Vue：使用v-html时需谨慎

五、实战技巧总结

1. Payload构造原则：

   • 优先使用无字母数字Payload（如<svg/onload=...>）
   • 尝试多种编码（URL编码、Unicode、Hex）
   • 利用浏览器自动解码机制

2. 调试方法论：

   • 使用开发者工具检查DOM变更
   • 监控Network请求查看参数回显
   • 通过console.log跟踪JS执行流程

3. 绕过常见过滤：

   • 双写绕过：<sc<script>ript>
   • 大小写混淆：<ScRiPt>
   • 注释干扰：<!-- <script> --><script>alert(1)

六、进阶学习资源

1. 官方文档：

   • OWASP XSS防御备忘录
   • MDN Web安全文档

2. 工具推荐：

   • Burp Suite（漏洞扫描）
   • XSS Hunter（自动捕获Cookie）
   • BeEF框架（高级XSS利用）

3. 类似靶场：

   • PortSwigger Web Security Academy
   • DVWA（Damn Vulnerable Web Application）
   • HackTheBox XSS模块

通过系统完成XSS-Game的18个关卡，开发者能够建立完整的XSS攻防知识体系。建议每通关一个关卡都记录攻击路径和防御方案，形成个人知识库。实际项目中应结合自动化扫描工具和代码审计，构建多层次的XSS防护体系。记住，安全是一个过程而非状态，持续学习最新攻击技术才是防御的根本。