XSS跨站点脚本的介绍和代码防御.docVIP

XSS跨站点脚本的介绍和代码防御 0x01 介绍 可能会窃取或操纵客户会话和 cookie，它们可能用于模仿合法用户，从而使黑客能够以该用户身份查看或变更用户记录以及执行事务在以下情况下会发生跨站点脚本编制 (XSS) 脆弱性： [1] 不可信数据进入 Web 应用程序，通常来自 Web 请求。 [2] Web 应用程序动态生成了包含此不可信数据的 Web 页面。 [3] 页面生成期间，应用程序不会禁止数据包含可由 Web 浏览器执行的内容，例如 JavaScript、HTML 标记、HTML 属性、鼠标事件、Flash 和 ActiveX。 [4] 受害者通过 Web 浏览器访问生成的 Web 页面，该页面包含已使用不可信数据注入的恶意脚本。 [5] 由于脚本来自 Web 服务器发送的 Web 页面，因此受害者的 Web 浏览器在 Web 服务器的域的上下文中执行恶意脚本。 [6] 这实际违反了 Web 浏览器的同源策略的意图，该策略声明一个域中的脚本不应该能够访问其他域中的资源或运行其他域中的代码。 一旦注入恶意脚本后，攻击者就能够执行各种恶意活动。攻击者可能将私有信息（例如可能包含会话信息的 cookie）从受害者的机器传输给攻击者。攻击者可能以受害者的身份将恶意请求发送到 Web 站点，如果受害者具有管理该站点的管理员特权，这可能对站点尤其危险。 网络钓鱼攻击可用于模仿可信站点，并诱导受害者输入密码，从而使攻击者能够危及受害者在该 Web 站点上的帐户。最后，脚本可利用 Web 浏览器本身中的脆弱性，可能是接管受害者的机器（有时称为“路过式入侵”）。主要有三种类型的 XSS： 类型 1：反射的 XSS（也称为“非持久性”） 服务器直接从 HTTP 请求中读取数据，并将其反射回 HTTP 响应。在发生反射的 XSS 利用情况时，攻击者会导致受害者向易受攻击的 Web 应用程序提供危险内容，然后该内容会反射回受害者并由 Web 浏览器执行。传递恶意内容的最常用机制是将其作为参数包含在公共发布或通过电子邮件直接发送给受害者的 URL 中。以此方式构造的 URL 构成了许多网络钓鱼方案的核心，攻击者借此骗取受害者的信任，使其访问指向易受攻击的站点的 URL。在站点将攻击者的内容反射回受害者之后，受害者的浏览器将执行该内容。 类型 2：存储的 XSS（也称为“持久性”） 应用程序在数据库、消息论坛、访问者日志或其他可信数据存储器中存储危险数据。在以后某个时间，危险数据会读回到应用程序并包含在动态内容中。从攻击者的角度来看，注入恶意内容的最佳位置是向许多用户或特别感兴趣的用户显示的区域。感兴趣的用户通常在应用程序中具有较高的特权，或者他们会与对攻击者有价值的敏感数据进行交互。如果其中某个用户执行恶意内容，那么攻击者就有可能能够以该用户的身份执行特权操作，或者获取对属于该用户的敏感数据的访问权。例如，攻击者可能在日志消息中注入 XSS，而管理员查看日志时可能不会正确处理该消息。 类型 3：基于 DOM 的 XSS 在基于 DOM 的 XSS 中，客户机执行将 XSS 注入页面的操作；在其他类型中，注入操作由服务器执行。基于 DOM 的 XSS 中通常涉及发送到客户机的由服务器控制的可信脚本，例如，在用户提交表单之前对表单执行健全性检查的 Javascript。如果服务器提供的脚本处理用户提供的数据，然后将数据注入回 Web 页面（例如通过动态 HTML），那么基于 DOM 的 XSS 就有可能发生。以下示例显示了在响应中返回参数值的脚本。参数值通过使用 GET 请求发送到脚本，然后在 HTML 中嵌入的响应中返回。 [REQUEST] GET /index.aspx?name=JSmith HTTP/1.1 [RESPONSE] HTTP/1.1 200 OK Server: SomeServer Date: Sun, 01 Jan 2002 00:31:19 GMT Content-Type: text/html Accept-Ranges: bytes Content-Length: 27 HTML Hello JSmith /HTML 攻击者可能会利用类似以下情况的攻击： [ATTACK REQUEST] GET /index.aspx?name=scriptalert(PWND)/script HTTP/1.1 [ATTACK RESPONSE] HTTP/1.1 200 OK Server: SomeServer Date: Sun, 01 Jan 2002 00: