Ajax技术下XSS攻击的新趋势.pdf

Aj ax技术下XSS攻击 的新趋势 姚 磊 （淮北矿业集团 信息化管理部 安徽 淮北 235000） 摘 要： 当前形势下， 由Ajax技术构建的WEB2.0网站已经是网络发展的主流趋势。然而，新技术也带来新隐患。在Ajax框架下，XSS攻击有新的发展趋势。将 由传统的XSS攻击说起，分析传统XSS攻击与Ajax技术下XSS攻击的异同。最后提出可行的预防措施。 关键词： Ajax；WEB2.0；XSS；网络安全；网络攻击 中图分类号：TP393.08 文献标识码：A 文章编号：1671－7597（2011）0620036－01 0 引言 有效地绕过服务器或者客户端的过滤，所以一次编码乃至多次编码技术就 当今世界，网络已经与人们 日常生活紧密联系在一起，WEB2.0也逐渐 很有必要。 成为人们讨论和研究的焦点，Ajax也成为人们关注的领域。随着对Ajax技 3.2 Ajax技术下XSS攻击分析 术的研究，网路攻击者们很快找到了攻击方向，而这些攻击方向较之以往 3.2.1 Ajax技术下XSS攻击点。由于Ajax技术引入了异步通信机制以 的攻击有很大的不同。其中基于Ajax技术漏洞的XSS攻击尤为突出，本文 及通信数据 由HTML/CSS格式变为XML/JSON格式，Ajax技术下XSS（ 以下简 将就此展开探讨。 称Ajax XSS）攻击点有了新的变化。异步通信机制的引入意味着向服务器 1 背景知识 的请求在后台完成，无论是善意请求还是恶意请求，用户都不再能够轻易 1.1 XSS定义。XSS是 “Cross Site Script”的缩写方式，也就是跨 检测到 。同时异步通信机制也意味着XSS攻击大范 围传播 的可能性 。 站点脚本。 XML/JSON引入意味着攻击面的扩展。在XML或者JSON中嵌入恶意脚本也使 1.2 Ajax定义。Ajax即是 “Asynchronous JavaScript and XML”， 旧有的防御检测机制失去作用。 也就是异步JavaScript和XML。Ajax最大的优势在于实现异步访问。 3.2.2 Ajax XSS攻击方法。由于Ajax继承了绝大部分传统WEB应用的 1.3 XHR定义。XHR即是 “XMLHttpRequest”的缩写，它是Ajax实现异 架构，所以传统XSS攻击方法同样适用于Ajax XSS攻击。而新的攻击方法 步访问的关键。XHR对象实现客户端与服务器的异步通信。 大多集中在基于JavaScript的XHR对象的操作。将恶意代码隐藏在XHR对象 1.4 JSON定义。JSON（JavaScript Object Notation）是一种轻量级 中，如此就不会用到传统XSS攻击中常用的标签。另外还有个新的也是最 的数据交换格式。它基于JavaScript Programming Language，Standard 危险的攻击方法就是基于异步通信的Ajax XSS蠕虫。 ECMA-262 3rd Edition-December 1999的一个子集。 4 检测防御 1.5 DOM定 义 。DOM即 是 文 档 对 象 模 型 ， 是 “Document Object 跨站脚本漏洞是由于程序在输出数据的时候没有作好处理导致恶意数 Model”的缩写。文档对象模型是一个与平台和语言无关的接 口，允许程