网络空间安全技术 第9章XSS与XXE攻击 第10章认证与授权攻击.pptx

第9章：XSS与XXE攻击

要点XSS与XXE攻击采用技术XSS攻击XXE攻击实例:Webscantest网站存在XSS攻击危险相关安全漏洞披露

1XSS与XXE攻击采用技术跨站脚本攻击（XSS）已经连续十多年排在OWASPWeb安全攻击前十名，XML外部实体攻击（XXE）在2017年排在第4名。XSS攻击利用JavaScript语法进行攻击，XXE利用XML语法进行攻击。XSS攻击利用的是JavaScript语法与技术，XXE攻击利用的是XML语法与技术。所以伴随着新的语言的诞生与发展，相应的攻击也随之而来。

2XSS攻击跨站脚本攻击（CrossSiteScripting：XSS）,是发生在目标用户的浏览器层面上，当渲染DOM树的过程发生了不在预期内执行的JS（JavaScript）代码时，就产生了XSS攻击。大多数XSS攻击的主要方式是嵌入一段远程或者第三方域上的JS代码。实际上是在目标网站的作用域下执行了这段JS代码。

2.1XSS攻击手法攻击者往Web页面里插入恶意JavaScript代码，当用户浏览该页之时，嵌入Web里面的JavaScript代码会被执行，从而达到恶意攻击用户的目的。造成XSS代码执行的根本原因在于数据渲染到页面过程中，HTML解析触发执行了XSS脚本。XSS攻击常分为三类：反射型、DOM-based型、持久型。反射型XSS是在将XSS代码放在URL中，将参数提交到服务器。服务器解析后响应，在响应结果中存在XSS代码，最终通过浏览器解析执行。持久型XSS是将XSS代码存储到服务端（数据库、内存、文件系统等），在下次请求同一个页面时就不需要带上XSS代码，而是从服务器读取。DOMXSS的发生主要是在JS中使用eval造成的，所以应当避免使用eval语句。典型的攻击案例：比如一个购物页面，需要填写或更新邮寄地址。而攻击者因为熟悉JS语法，所以将邮寄地址分别填写为以下两种。邮寄地址1：scriptalert(您被攻击啦！)/script邮寄地址2：/scriptscriptalert(document.cookie)/script

2.2XSS攻击防护方法1.XSS攻击防护的总体思想对XSS攻击防护，请记住一句：不要相信用户的输入！XSS防御的总体思路是：对输入（和URL参数）进行过滤，对输出进行恰当的编码或转义。对XSS攻击的防护方法主要有：（1）在表单提交或者URL参数传递前，对参数值进行适当过滤。（2）过滤用户输入，检查用户输入的内容中是否有非法内容。如（尖括号）、”（引号）、‘（单引号）、%（百分比符号）、;（分号）、()（括号）、（符号）、+（加号）等。（3）严格控制输出，按输出的场景进行适当的编码或转义。更多请参考书籍

2.3富文本的XSS攻击手法所谓富文本（RichTextFormat：RTF），又称为多文本格式，简单点说就是它相对普通文本可以带有丰富的格式设置，使文本的可读性更强。富文本填充区，各种XSS攻击都可以填入，如果系统没有做好净化用户输入，同时又没有做输出展示编码防护，XSS攻击就一定会出现。

2.4富文本的XSS攻击防护方法对于富文本的XSS攻击防护，一般有3种方法：第一种：黑名单阻止或过滤不安全字串第二种：白名单放过安全字符串第三种：使用富文本安全框架

3XXE攻击XML外部实体（XMLExternalEntity：XXE）攻击是由于程序在解析输入的XML数据时，解析了攻击者伪造的外部实体而产生的。很多XML的解析器默认是含有XXE漏洞，这意味着开发人员有责任确保这些程序不受此漏洞的影响。XXE漏洞发生在应用程序解析XML输入时，没有禁止外部实体的加载，导致可加载恶意外部文件，造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起DOS攻击等危害。XXE漏洞触发的点往往是可以上传XML文件的位置，没有对上传的XML文件进行过滤，导致可以上传恶意的XML文件。

3.1XXE攻击手法构造本地XML接口，先包含本地XML文件，查看返回结果，正常返回后再换为服务器接口。1.任意文件读取payload如下:?xmlversion=1.0encoding=utf-8?!DOCTYPExxe[!ELEMENTnameANY!ENTITYxxeSYSTEMfile:///D://phpStudy//WWW//aa.txt]rootnamexxe;/name/root

3.2XXE攻击防护方法能防护XML外部实体攻击正确代码段：使用开发语言提供的禁用外部实体的方法。PHP:libxml_disable_entity_loader(true);JAVA:DocumentBuilderFa