跨站腳本攻擊(XSS):過濾不完的惡夢,又有新攻擊語法!

转载 2012年01月04日 09:55:34
 

跨站腳本攻擊(Cross Site Scripting,簡稱 XSS,亦翻為跨網站的入侵字串)又有新的攻擊語法!此次觸發惡意腳本不需要用到 script 標籤(譬如 <script>alert(1)</script>),也不用 javascript 協定(譬如 javascript:alert(1)),而是 8 月 26 日所揭露的

<isindex type=image src=1 onerror=alert(1)>

<isindex>是一個很早就有但普遍少用的標籤,其功能與<form>、<input>、<textarea>,以及<select>類似,都可供使用者輸入資料。onerror 屬性也是鮮為人知。
各家瀏覽器在實現 HTML 的支援度不盡相同,各國語系又對編碼有所差異,這些都使得跨站腳本攻擊(XSS)的攻擊語法千變萬化,也讓駭客更能規避掉不少治標的防護機制,像是 WAF 解決方案,畢竟新的攻擊手法就要新的規則(好加在我們家的 WAF 可以幫你生規則,請參考你期望的 WAF 是? XD),源碼檢測才是治本的作法阿,從 Web 應用程式端利用編碼、過濾等方式讓這些奇奇怪怪的攻擊語法全部繳械!(請參考談源碼檢測: CodeSecure的架構與技術

我們在各個常見瀏覽器平台(Microsoft Internet ExplorerMozilla FirefoxOpera,以及Google Chrome)的測試結果是,這個跨站腳本攻擊(XSS)新攻擊語法僅適用於 IE 系列的瀏覽器(含最新的 IE8)。註:我們在下列示範中所採用的 alert(1) 字串可換成各種惡意腳本,而並非跨站腳本攻擊(XSS)只能做到跳出一個視窗打招呼。

<isindex type=image src=1 onerror=alert(1)>攻擊語法

稍加調整甚至不需要定義 src 屬性也可成功:
<isindex type=image onerror=alert(1) src=>攻擊語法

跨站腳本攻擊(XSS)不虧是名列最新 OWASP Top 20072007年 OWASP 十大 Web 資安漏洞)的榜首,「簡單好用、防不勝防」!

簡單來說,跨站腳本攻擊(XSS)的基本精神就是駭客在 HTML 文件中安插網頁腳本語言(譬如 JavaScript 或 VBScript),讓受駭方的瀏覽器在瀏覽網頁時進而去執行。這延伸兩個討論議題:
1. 為何駭客能夠在 HTML 文件中安插這些腳本?
在 Web 2.0 的時代,大部分的網頁或多或少都需要產生動態內容,都需要與使用者互動,一旦使用者所提供的資料(譬如惡意腳本字串)有機會成為動態輸出的 HTML 內容的一部份時,這樣惡意腳本就被成功地安插進原本合法無惡意的 HTML 文件了。這也是為何許多客戶最後選擇從源碼檢測著手,揪出這些進入點與輸出點,治本地解決跨站腳本攻擊(XSS)。

2. 為何瀏覽器會去執行這些腳本?
瀏覽器只是如實地遵循 W3C (World Wide Web Consortium) 所制定的 HTML 標準(目前最新版本為 HTML 4.01),正確地支援各語法標籤應表現的樣式與行為,因此當應該執行腳本時,就會執行這些腳本,儘管他們可能是惡意的,包括偷取 Cookie、置換網頁、轉址、攻擊其他網站等。

相关文章推荐

过滤XSS(跨站脚本攻击)的函数和防止svn版本库被浏览

别处看到的php去除xss的函数,自己备份下,以备不时之需。 php过滤xss函数 /** * @过滤XSS(跨站脚本攻击)的函数 * @par $val 字符串参数,可能包含恶...
  • god_7z1
  • god_7z1
  • 2012年08月01日 17:37
  • 710

XSS(跨站脚本攻击) 逃避过滤

XSS(跨站脚本攻击) 备忘录逃避过滤出处:http://ha.ckers.org/xss.html作者:RSnake翻译:帝释天如果你不知道如何进行XSS攻击,那么本文或许对你没有任何帮助。这里主要...
  • yatere
  • yatere
  • 2011年04月24日 22:28
  • 1544

XSS 跨站脚本攻击及防范

  • 2008年11月13日 17:16
  • 138KB
  • 下载

ASP.NET 下 XSS 跨站脚本攻击的过滤方法

做 WEB 开发当然要防止跨站脚本攻击了,尤其是开发BLOG、论坛、购物平台等可以让用户添加自定义内容的网站。 有些开发者选择了将所有Html内容都过滤掉,但是这些不适合有些需要将自定义内容开放...
  • lxfan
  • lxfan
  • 2012年11月08日 15:21
  • 3907

XSS 跨站脚本攻击及防范

  • 2015年09月07日 09:08
  • 98KB
  • 下载

跨站脚本攻击(XSS)的原理、防范和处理方法

0。关键字:XSS,跨站脚本攻击,原理分析,攻击方式,防范,检查,恶意代码,蠕虫   1。概念   以下概念摘抄自百度百科:   XSS又叫CSS (Cross S...

XSS跨站脚本攻击防御和Cookie,及SSO单点登录原理

XSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入...
  • he90227
  • he90227
  • 2016年05月24日 17:28
  • 10679

XssAPP开源,Xss跨站脚本攻击测试平台(JAVA开发) BY:WebSOS

XssAPP 一套针对Xss跨站脚本攻击的专业测试平台 开源日期:2016-05-29 开发者:WebSOS 开发时间:2015年下半年 开发语言:JAVA 使用技术:Spring Hibe...

XSS跨站脚本攻击(三)-- 结合Spring MVC框架

1.web.xml中 xssFilter com.xxx.web.filter.XSSFilter xssFilter /* 2.XSSFilter.jav...
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:跨站腳本攻擊(XSS):過濾不完的惡夢,又有新攻擊語法!
举报原因:
原因补充:

(最多只允许输入30个字)