淺談 跨站腳本攻擊(XSS)
一�、概述
1����、什么是跨站腳本攻擊
跨站腳本攻擊(Cross Site Scripting),簡稱XSS�, 是指:由于網(wǎng)站程序?qū)τ脩糨斎脒^濾不足,致使攻擊者利用輸入可以顯示在頁面上對其他用戶造成影響的代碼來盜取用戶資料��、利用用戶身份進(jìn)行某種動作或者對訪問者進(jìn)行病毒侵害的一種攻擊方式���。
直白點(diǎn):惡意攻擊者往Web頁面里插入惡意Script代碼�����,當(dāng)用戶瀏覽該頁之時(shí)�,嵌入其中Web里面的Script代碼會被執(zhí)行�����,從而達(dá)到惡意攻擊用戶的目的�����。
不同于大多數(shù)攻擊(一般只涉及攻擊者和受害者),XSS涉及到三方����,即攻擊者、客戶端與網(wǎng)站���。XSS的攻擊目標(biāo)是為了盜取客戶端的cookie或者其他網(wǎng)站用于識別客戶端身份的敏感信息���。獲取到合法用戶的信息后,攻擊者甚至可以假冒最終用戶與網(wǎng)站進(jìn)行交互�。
2、為什么簡稱XSS���,而不是CSS
跨站腳本攻擊(Cross Site Scripting)����,為了不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆����,故將跨站腳本攻擊縮寫為XSS。
3�、XSS漏洞成因
XSS漏洞成因是由于動態(tài)網(wǎng)頁的Web應(yīng)用對用戶提交請求參數(shù)未做充分的檢查過濾,允許用戶在提交的數(shù)據(jù)中摻入代碼�����,然后未加編碼地輸出到第三方用戶的瀏覽器�����,這些攻擊者惡意提交代碼會被受害用戶的瀏覽器解釋執(zhí)行�。
4、舉個(gè)例子
-
<?php
-
header("Content-Type: text/html; charset=utf-8");
-
$username = $_GET["name"];
-
echo "<p>Hi��,".$username."��!</p>";
-
?>
-
-
(1)正常情況下:我們在url中輸入: http://localhost/test.php?name=Sam
給參數(shù)name傳一個(gè)值Sam����,顯示如下圖
(2)那么,在非正常情況下呢(即:把傳遞給name的參數(shù)值改為一段可執(zhí)行的Javascript代碼)�����?
我們在url中輸入:http://localhost/test.php?name=<script>alert("My name is Sam");</script>
如果我們后臺沒有進(jìn)行任何關(guān)于傳入?yún)?shù)值的過濾��,會顯示如下圖結(jié)果
二�、XSS生效方式
XSS主要有三種生效方式:(1)構(gòu)造URL (2)發(fā)布內(nèi)容式 (3)蠕蟲式
1、生效方式:構(gòu)造URL
XSS攻擊者通過構(gòu)造URL的方式構(gòu)造了一個(gè)有問題的頁面;當(dāng)其他人點(diǎn)擊了此頁面后����,會發(fā)現(xiàn)頁面出錯(cuò),或者被暗中執(zhí)行了某些js腳本����,這時(shí),攻擊行為才真正生效�。
一般來說,動態(tài)頁面中會將url中的部分內(nèi)容回寫在頁面中����。以百度的搜索為例,輸入網(wǎng)址:http://www.baidu.com/s?wd=<script>alert("wrong")<%2Fscript>
搜索后會顯示如下頁面:
因?yàn)閰?shù)<script>alert("wrong")<%2Fscript>是<script>alert("wrong")</script>轉(zhuǎn)義后的結(jié)果��,搜索結(jié)果頁中��,會在標(biāo)題中中和搜索框中回寫用戶輸入的內(nèi)容�����。
如果這里沒有經(jīng)過轉(zhuǎn)義處理��,則頁面中就嵌入了一段script��,并執(zhí)行該代碼,并彈出對話框提示用戶�。如果是其他惡意代碼,則可能造成破壞���。然后攻擊者將此URL廣為傳播——比如說,以報(bào)錯(cuò)的方式發(fā)給百度的管理員��,管理員打開這個(gè)URL就中招了�����。
下面我們來通過下圖����,圖解XSS
舉例
例1、
若未對XSS進(jìn)行預(yù)防���,
我們在URL中正常輸入如下�,搜索結(jié)果會如下圖顯示:beijing 的相關(guān)詞條
如果在url中非正常輸入如下的話����,查看源碼后input的value屬性值會自動變?yōu)?nbsp; <script>alert("xss test")</script>
若已對XSS進(jìn)行了預(yù)防,
非正常輸入后則會顯示如下圖:
例2��、
若未對XSS進(jìn)行預(yù)防,
在URL中輸入紅框中的值�,搜索后則顯示如下:
若已對XSS預(yù)防,
則搜索結(jié)果如下圖:
2���、生效方式:發(fā)布式內(nèi)容
構(gòu)造URL攻擊方式傳播范圍有限�����,被攻擊者只要有基本的安全意識就可以避免���,因此這種手段的危險(xiǎn)性比較小。相比之下�����,通過發(fā)表內(nèi)容構(gòu)造的XSS的危害就大了很多�。
在可以發(fā)表內(nèi)容的論壇、討論區(qū)����、吧、博客�、微博等網(wǎng)站上,用戶發(fā)表的內(nèi)容會保存起來�,允許其他用戶瀏覽��。這些保存的內(nèi)容顯示在頁面上的時(shí)候����,如果沒有經(jīng)過正確的處理��,也會把攻擊者精心構(gòu)造的內(nèi)容顯示出來��,訪問該內(nèi)容的用戶就此中招�。如果該頁面流傳廣泛���,則影響會更加深遠(yuǎn)����。
拿 留言板舉例
例���、
留言板的任務(wù)是把用戶留言的內(nèi)容展示出來����。正常情況下����,用戶的留言都是正常的語言文字����,留言板顯示的內(nèi)容也就沒毛病����。
然而這個(gè)時(shí)候如果有人不按套路出牌,在留言內(nèi)容中丟進(jìn)去一行”<script>alert(“mdzz”)</script>
之后當(dāng)瀏覽這條留言的時(shí)候���,就會彈出如下信息框����。
3���、生效方式:蠕蟲式
最暴力的方式是使用蠕蟲——就是首先發(fā)一個(gè)有問題的文章�����,瀏覽者閱讀時(shí)會被暗中執(zhí)行惡意代碼�,發(fā)表一篇新的文章的���,該文章也含有同樣的惡意代碼���。這樣有可能在最快時(shí)間內(nèi)將攻擊鋪滿整個(gè)網(wǎng)站�����。蠕蟲式攻擊將暗中偷偷摸摸的攻擊行為變成了光明正大的攻城拔寨��,極容易被發(fā)現(xiàn)和修復(fù)����。
Eg:早在2011年新浪就曾爆出過嚴(yán)重的xss漏洞��,導(dǎo)致大量用戶自動關(guān)注某個(gè)微博號并自動轉(zhuǎn)發(fā)某條微博��。(蠕蟲式)
它以吸引人眼球的方式����,讓當(dāng)微博用戶主動點(diǎn)擊攻擊鏈接�。之后微博網(wǎng)友會立刻執(zhí)行一段有害代碼,造成三個(gè)結(jié)果:發(fā)布一條微博�����;成為攻擊發(fā)起人的粉絲�����;向其他好友發(fā)送含同樣鏈接地址的私信。新浪微博很快發(fā)現(xiàn)這個(gè)漏洞����,刪除了含攻擊鏈接的微博內(nèi)容,并將攻擊發(fā)起人ID刪除�。
注:上面我們只是為了方便以彈窗舉例,但是XSS攻擊方式絕不是彈窗這么簡單
三��、XSS攻擊實(shí)例
(1)XSS偷取用戶信息
(2)XSS盜取Cookie
(3)XSS釣魚網(wǎng)站
(4)XSS蠕蟲攻擊
四����、XSS的破壞方式
(1)破壞頁面結(jié)構(gòu):用戶輸入的內(nèi)容包含了html的標(biāo)簽,與前面的標(biāo)簽等閉合���,導(dǎo)致頁面的DIV結(jié)構(gòu)發(fā)生變化����,頁面錯(cuò)亂�����。
(2)破壞顯示內(nèi)容:用戶輸入的內(nèi)容包含了單引號或雙引號����,與前面的單引號或雙引號匹配����,導(dǎo)致后面的內(nèi)容丟失���,顯示不出來��。
(3)破壞JS:用戶產(chǎn)生的內(nèi)容直接輸出到j(luò)s片斷中�,但僅轉(zhuǎn)義少數(shù)字符不能保證排除攻擊�,所以容易導(dǎo)致JS被破壞
五、XSS攻擊 繞過過濾的一些簡單方法
1���、大小寫繞過
這個(gè)繞過方式的出現(xiàn)是因?yàn)榫W(wǎng)站僅僅只過濾了<script>標(biāo)簽���,而沒有考慮標(biāo)簽中的大小寫并不影響瀏覽器的解釋所致。
例:
如果我們在URL中輸入: localhost/test.php?name=<script>alert(''hey!")</script>
����,由于網(wǎng)站對<script>標(biāo)簽進(jìn)行了過濾�����,所以搜索后什么都不會發(fā)生。
而如果我們輸入: localhost/test.php?name=<sCript>alert(''hey!")</scRipt>
����,實(shí)質(zhì)就是改變了<script>的大小寫,則結(jié)果如下圖所示���,我們又愉快的彈出了彈窗�。
2�����、利用過濾后返回語句再次構(gòu)成攻擊語句來繞過
即我們輸入一串原始值��,網(wǎng)站將輸入的原始值進(jìn)行過濾���,過濾后的值仍是一段可執(zhí)行的代碼���。
例
讓過濾完script標(biāo)簽后的語句中還有script標(biāo)簽。
即:<sCri<script>pt>alert("hey!")</scRi</script>pt> 過濾后
仍為可執(zhí)行的JS代碼<script>alert("hey!")</script>
如下圖:將參數(shù)name值設(shè)為<sCri<script>pt>alert("hey!")</scRi</script>pt>
����,輸入后仍會出現(xiàn)彈窗
3、并不是只有script標(biāo)簽才可以插入代碼�!
當(dāng)script標(biāo)簽已經(jīng)被完全過濾后���,前面兩種方法就都不會成功。
莫慌���,能植入腳本代碼的不止script標(biāo)簽����。
例如:我們用<img>標(biāo)簽做一個(gè)示范����。
我們利用如下方式在URL中輸入:http://localhost/test.php?name=<img src='w.123' onerror='alert("hey!")'>
之后就可以再次愉快的彈窗。(因?yàn)槲覀冎付ǖ膱D片地址根本不存在也就是一定會發(fā)生錯(cuò)誤����,這時(shí)候onerror里面的代碼自然就得到了執(zhí)行。)
以下列舉幾個(gè)常用的可插入代碼的標(biāo)簽���。
<div onmouseover=‘do something here’> 當(dāng)用戶鼠標(biāo)在這個(gè)塊上面時(shí)即可運(yùn)行(可以配合weight等參數(shù)將div覆蓋頁面��,鼠標(biāo)不劃過都不行)
類似的還有onclick�,這個(gè)要點(diǎn)擊后才能運(yùn)行代碼
4����、編碼腳本代碼繞過關(guān)鍵字過濾。
有的時(shí)候�,服務(wù)器往往會對代碼中的關(guān)鍵字(如alert)進(jìn)行過濾,這個(gè)時(shí)候我們可以嘗試將關(guān)鍵字進(jìn)行編碼后再插入��,不過直接顯示編碼是不能被瀏覽器執(zhí)行的���,我們可以用另一個(gè)語句eval()來實(shí)現(xiàn)��?!緀val()會將編碼過的語句解碼后再執(zhí)行】
例
alert(1)編碼過后就是\u0061\u006c\u0065\u0072\u0074(1)����,
所以構(gòu)建出來的攻擊語句http://localhost/test.php?name=<script>eval(\u0061\u006c\u0065\u0072\u0074(1))</script>
如下圖執(zhí)行后又會出現(xiàn)彈窗
5、組合各種方式
在實(shí)際運(yùn)用中漏洞的利用可能不會這么直觀�,需要我們不斷的嘗試,甚至組合各種繞過方式來達(dá)到目的����。
藍(lán)藍(lán)設(shè)計(jì)( www.bouu.cn )是一家專注而深入的界面設(shè)計(jì)公司,為期望卓越的國內(nèi)外企業(yè)提供卓越的UI界面設(shè)計(jì)����、BS界面設(shè)計(jì) 、 cs界面設(shè)計(jì) ��、 ipad界面設(shè)計(jì) 、 包裝設(shè)計(jì) �����、 圖標(biāo)定制 ��、 用戶體驗(yàn) �����、交互設(shè)計(jì)�、 網(wǎng)站建設(shè) 、平面設(shè)計(jì)服務(wù)
