什么是XSS?
XSS(cross-site scripting)跨站脚本一直被OWASP组织认为是十大安全漏洞之一。
XSS向用户浏览的页面中注入HTML/Javascript脚本,当用户浏览恶意网页时,浏览器会不加验证的执行HTML和Javascript脚本。从而造成Cookie资料窃取、会话劫持、钓鱼欺骗等威胁。
XSS(为了区分CSS)跨站脚本本身不针对服务器,只是借助网站传播,使得网站大量用户受到XSS的危害。
XSS跨站漏洞防御难点
很多大公司网站存在XSS(比如 Google、腾讯、阿里等),可以说很难防御XSS,有以下原因:
1、浏览器不检查执行。
2、开发人员的问题:输入和输出没有进行验证,导致XSS 安全意识与能力良莠不齐。
3、XSS利用的方式灵活多变(利用CSS、Flash,以及一些最新HTML5特性),而且大多数公司缺乏安全工程师 忽略安全。
4、javascript脚本的灵活性。
XSS危害
1、网络钓鱼
2、盗取cookie
3、劫持用户会话
4、网页挂马
5、xss蠕虫
等等
XSS跨站分类
反射XSS:
反射XSS(非持久XSS)的利用是通过特定收发(比如点子邮件),诱使用户点击一个包含恶意代码的URL,当用户点击之后,恶意js代码会通过用户主机上的浏览器执行。
特点:用户点击触发,而且只能执行一次,所以称为非持久xss或反射xss。
反射xss一般发生在网站的搜索框、URL参数、用户登录页面。
一般情况下很容易被发现URL的问题,此时可以通过编码欺骗 URL编码等。
存储XSS:
存储XSS(持久XSS),不需要用户点击URL执行跨站脚本,恶意人员事先将恶意JS代码上传在服务器,只要用户点击到从数据库中获取JS代码的页面就会中招。
存储型XSS一般发生在用户留言区、评论等位置。
XSS-Filter
现实中的系统并非脆弱不堪,漏洞百出。公司也不会容许自己的程序存在Bug(漏洞),为了防御XSS跨站,会在Web应用中设计一个XSS Filter(跨站过滤器)。
XSS-Filter一般是基于黑白名单的安全过滤策略,白名单存在不构成威胁的数据,而黑名单存放构成威胁的数据。黑名单过滤机制,发现用户输入的内容包含黑名单中的内容就会进行拦截、编码和过滤等。
实际环境中很难确保系统不受XSS影响,开发人员必须考虑各种触发XSS的情况。
绕过XSS-Filter
扰乱XSS过滤,利用之前介绍的技巧HTML标签、属性值、时间、CSS、编码等技术,可以绕过XSS-Filter,但是如果全部都做过处理时就不能完全绕过。
1、大小写混淆
2、引号问题,双引号、单引号、不使用引号。
3、注释绕过 /**/
4、\或\0绕过,浏览器会忽略 @\i\0m\00p\000o\0000\00000r\0000000t"url"
5、编码
XSS EXP构造技巧还有很多,以上只是很少的一部分,因此不管XSS-Filter设计的多么严密,都有可能被绕过。
XSS Cheat Sheet
http://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet
http://gbhackers.com/top-500-important-xss-cheat-sheet/