1 引言 ) l6 ^( g8 a% Q) V0 H6 d: E/ `# A
6 q+ m. w, U8 o( A, `8 }
: q* y; M g8 |* Q/ D6 p 在Web 2.0出现以前,跨站脚本(XSS)攻击不是那么引人注目,但是在Web 2.0出现以后,配合流行的AJAX技术,XSS的危害性达到了十分严重的地步。比如,世界上第一个跨站脚本蠕虫发生在MySpace网站,20小时内就传染了一百万个用户,最后导致该网站瘫痪。因此我认为,XSS是在脚本环境下的溢出漏洞,其危害性绝不亚于传统的缓冲区溢出漏洞。
`7 n/ Q$ U* h# D1 R9 m
' B9 u5 a# n4 ~# Z I 2 XSS攻击的定义 1 d* x! Y' l9 P# x/ I g8 h
& O+ T* ` H- W+ E. @$ p# t/ E 跨站脚本英文名称是(Cross Site Script),为了与层叠样式表(Cascading Style Sheets)区分,故命名为XSS。
/ Z4 x4 M; j; q" ~ XSS攻击是指入侵者在远程WEB页面的HTML代码中插入具有恶意目的的数据,用户认为该页面是可信赖的,但是当浏览器下载该页面时,嵌入其中的脚本将被解释执行。
* R6 b9 O* p% F" C - P% e( Y: D7 o' C# k
3 跨站脚本漏洞的成因
% G" \" z- a: S/ w# K
& D0 |0 L$ U7 m, O9 B+ V; b! b! |! S, r 3.1XSS成因概括 4 o1 u( R" i/ A
XSS其实就是Html的注入问题,攻击者的输入没有经过严格的控制进入了数据库最
# _# E7 \9 o* ~: U' R 终显示给来访的用户,导致可以在来访用户的浏览器里以浏览用户的身份执行Html代码,数据流程如下:攻击者的Html输入—>web程序—>进入数据库—>web程序—>用户浏览器。
+ s) R/ h2 L; ~+ Z 3.2常规跨站漏洞 5 V1 w/ d9 |5 q% ?1 |/ u: ?
我们来看一段接收评论的代码:
B5 W) R8 T2 u7 w <% & C8 K# a( }, c
UserName= Request.Form(” UserName”)
- t0 `& i j& n! }- q. w Comment=Request.Form(”Commmet”) : b6 O9 ]: k$ M, y, E" W" O) W
Email= Request.Form(”Email”) * _; C0 t p" j9 T% ?# R: g
Conn.execute(“insert into Comment (Com_UserName, Com_Comment, Com_Email) values(’”& UserName&”’,’”& Comment&”’,’”& Email”’)”) ! [5 b2 s# l& Y1 C- O) ]( h
%>
, m+ ^' C6 }) I1 C& q1 {: u 可以看到,从客户端输入的所有变量没有经过任何过滤就直接进入了数据库。攻击者可以在表单中输入:,点击提交后,那么其他用户在浏览该页面时就会不知不觉打开一个预先挂有木马的页面http://www.xxx.com/muma.html,如果没打相应的补丁,就会中马。当然XSS的攻击方式还有很多,比如通过跨站将上传的图片备份直接得到WebShell、结合AJAX技术通过蠕虫攻击等,因为这不是本文的重点,在这里就不一一列举了。
2 `3 D, P% H! W$ q! \$ D9 L: J( p 3.3 UBB跨站漏洞
% m0 o4 r+ W& R 在很多论坛里发帖时,点击图片模样的按钮,在编辑区域就会出现[IMG][/IMG]的字样,这是采用了一种UBB编码的方式,如果攻击者输入,它会默认将其转换为,通过这种方式诱发的跨站漏洞称为UBB跨站漏洞。
4 z" |8 ^, Y% L) L C/ _8 k: }9 q+ c
4 防范方法
$ L& O0 t6 x% w9 a3 X7 X* r
7 L: T7 L3 ~- f8 B1 P3 z- } 4.1针对常规跨站漏洞
, Y- J* ^$ a2 c/ k! a 在常规的跨站漏洞中,正是因为攻击者可以不受限制地引入“<>”,导致了他可以操纵一个html标记,从而诱发了XSS攻击。因此首先就要过滤掉“<>”: # d. z5 w4 d' _+ C
Replace(str,”<”,”<”) 6 J& R* k j8 ^* V6 u9 Y
Replace(str,”>”,”>”) 2 `; f( K5 q7 L" M' z
4.2针对UBB跨站漏洞
b( L J; r; P" a. u: W) G UBB跨站漏洞的防范相对来说比较复杂,首先攻击者必须引入javascript或vbscript代码来达到攻击的目的,所以首先要过滤中javascript后面的冒号,将其用中文的冒号替代: * u) B7 E: S# A" `) u
Replace(str,”:”,”:”)
/ n; [6 a" y8 z; s- u 但是HTML支持&#ASCII这样的编码,攻击者又可以通过重新达到目的(58是冒号的十进制ASCII码),所以必须过滤&符号:
5 U/ C# s4 A3 X4 X! Y" g0 }7 T& l Replace(str,”&”,”&”) " a& G1 U4 u4 E j' v
以上虽然已经过滤了来自标签属性的威胁,攻击者还是可以通过触发一个错误事件来达到目的。所以还需过滤掉以下字符:
7 Y* D/ V4 c) }* d) _ Replace(str,” ”,” ”)//过滤空格 , ~9 S! D8 ?# d9 `: O2 J) K
Replace(str,”=”,”=”)//过滤等号 + e+ J1 B* g0 p; j
Replace(str,””””,”"”)//过滤双引号 * q4 J6 A. S( T
% I2 E9 O) Z4 S' N# }7 O
5 结束语
x8 f7 ~5 c3 {0 c
0 l3 D! t) K: ]( [0 t+ y 通过以上分析我们看到,XSS是一种危害较大、较难防范,并且更加隐蔽的攻击方式。其实只要明白其原理,再加上勤加思考防范的对策,就可以根治XSS漏洞。
: F/ v& ~ w! K- ?5 @% z- f' f |