基于PHP的在線跨站腳本檢測工具

王佩+牛晨+丁立彤

摘 要： 跨站腳本是一類基于網站應用程序的安全漏洞攻擊，將研究和解決快速化的自動化檢測。為了有效地防止跨站腳本被濫用，決定創建一種基于Web 的跨站腳本檢測方式，以發現Web站點中潛在的跨站風險。完成主要的6大模塊有：登陸模塊、檢測模塊、掃描模塊、輸出模塊、報表模塊、日志模塊。核心代碼模塊是檢測和掃描部分，他們相互配合構造跨站參數并抓取反饋信息，其他模塊配合核心代碼起到輔助作用。選擇PHP進行構造是一大亮點，PHP是一種Web程序語言，能夠快速地解析前端DOM內容，在腳本語言中速度僅次于Python。用Web方式構造和檢測本就屬于Web 攻擊的跨站腳本，將更加快捷、高效。

關鍵詞： 跨站腳本； Web； PHP； 安全檢測； 掃描

中圖分類號： TP911?34 文獻標識碼： A 文章編號： 1004?373X（2015）20?0041?03

Online XSS testing tool based on PHP

WANG Pei， NIU Chen， DING Litong

（Xian University of Posts & Telecommunications， Xian 710121， China）

Abstract： The XSS （cross site scripting） is a kind of attack against the security hole based on network application program. Its fast auto?test is studied in this paper. In order to prevent the abuse of XSS effectively， a Web?based XSS testing method is designed to detect the potential cross?site risks in Web sites. Six main modules （login module， detection module， scanning module， output module， report module and log module） were fulfilled， in which the kernel code modules are detection and scanning ones， which cooperate each other to construct cross?site parameters and grab the feedback data. PHP is a Web program language， which can resolve the front?end DOM contents quickly， and its rate is second only to Python in scripting language. To use Web method to structure and detect XSS belonging to the Web attack is more convenient and efficient.

Keywords： cross site scripting； Web； PHP； security detection； scan

在跨站腳本越來越隱蔽的今天，應對該漏洞威脅就成了一項艱巨的任務[1?3]。在早期對跨站腳本的研究只停留在簡單的暴力式攻擊[4]，而對繞過等新興的攻擊方式缺乏了解。但近幾年國外對于跨站腳本的研究越來越深入，有了這些研究基礎，Web安全大大的提高了[5]。目前國內的研究現狀，也基本已經涉及到跨站腳本的各個層次，唯獨自動化的檢測工具較少，即便是有也主要針對SQL注入等漏洞[6?8]。不專注與構造型的跨站腳本檢測，本文將補充這類的不足。依據基本的Javascript 腳本和跨站構造方法，可以構造出多種多樣的跨站語句，這樣的語句被稱為Payload。通過HTTP請求，不斷地檢測Payload提交到Web Server，就可以檢測站點是否存在跨站腳本，達到檢測的目的。

1 跨站腳本攻擊及防范方法

1.1 跨站腳本攻擊

跨站腳本漏洞的攻擊方式主要來源于Web站點運行過程中，有攻擊者將自己帶有惡意的腳本代碼，提交給該Web服務器，并在瀏覽器加載時將惡意代碼一起執行。在互聯網大規模流行的初期，大量的網站曾遭受到跨站腳本漏洞的攻擊[9]。本文從實踐角度實踐產生原理角度，對研究如何發掘與利用，如何防范等都做出了大量細致描述。本文將演示從系統的分析過程、搭建過程、運行過程、結果分析的過程逐一剖析。

1.2 構造攻擊及Bypass

跨站腳本的漏洞攻擊方法很多，其中不乏一些特殊的漏洞利用方式，當下所有繞過方式主要都是由人工完成。通過人工的漏洞查找雖然細致，但是效率低下，還要取決于攻擊者自身的編程水平。這樣一來注入工具就開始流行，而通過程序檢測跨站腳本，無法做到及時發現和靈活的構造。如果要求準確，而不要求時間，就可以手動注入。如果要求效率而忽略精確程度，就可以采用自動化檢測。本文就是采用自動化的檢測方法進行的一系列評估。耗時短，掃描量大，但是構造方法相對于手動注入缺乏靈活性。

1.3 跨站腳本攻擊防范方法

1.3.1 敏感過濾

對付跨站腳本最基本方法就是要將用戶交互的所有地方進行過濾，在Web后臺語言中幾乎所有的都包括前端標簽過濾函數。

1.3.2 HTTP頭指定類型

請求的報文必需包括請求行、請求頭部、空白行和請求內容4個部分組成。在header of request包含了名/值對的組成的單個組合數據，每1對都是由名稱和值構成，然后由英文冒號近行分割。在HTTP協議中可以使用報文的頭部指定內容的類型，使得輸出的內容避免被作為HTML解析[10]。

2 系統架構

2.1 邏輯架構

Web Scan漏洞掃描系統是根據XSSer為掃描引擎的掃描工具。結合國內最成熟的PHP開發框架ThinkPHP[11]，將掃描的Web頁面信息爬取出來，并根據參數尋找到關鍵字，重新構造POST 和 GET 參數提交給XSSer引擎進行掃描，完成后輸出結果到文件中，前臺讀取文件，進行信息匯總。 系統目錄圖如圖1所示。

圖1 系統目錄

2.2 物理架構

圖2物理架構描述了一個標準的Web Scan系統掃描時經過的物理結構，圖中所有的元件都是物理設備，包括2臺Web服務器、路由器、客戶端、主機。掃描器部署結構。

2.3 系統運行環境

（1） 平臺環境：項目環境采用Ubuntu開發，兼容各Linux發行版本。

（2） 語言環境：Python，PHP，Javascript。

（3） 引擎環境：XSSer是用Python開發的滲透測試跨站漏洞的工具，只針對跨站腳本進行檢測。

（4） 服務器環境： XAMPP（MySQL+ Apache+PHP+PERL）。

圖2 物理架構

3 在線跨站腳本檢測工具

（1） 登陸模塊。此登陸模塊基于ThinKPHP、后臺架構和charisma的前臺架構，用戶信息存于MySQL數據庫中。系統默許管理員：admin 系統密碼：admin。

圖3 登陸界面

（2） 檢測模塊。系統的檢測模塊，引入simple_html_dom.php，http.php2個PHP的類文件，幫助分析頁面的結構和連接數。DOM樹[12?13]的結構如圖4所示。

圖4 DOM樹

（3） 掃描模塊。掃描結果將輸出到一個特定的TXT文件中，輸出結果存在關鍵字“Final Reasult”將這樣的部分截取出來，截取部分就是掃描的最終結果，將結果的風險等級讀取并傳給PHP 輸出結果，繪制風險等級圖。后臺掃描過程如圖5所示。

圖5 后臺掃描

（4） 輸出模塊。輸出過程主要是根據XSSer的掃描結果下的結論，根據Web系統風險等級分類標準輸出。輸出的主要流程為：

第1步：抓取TXT結果文件中的風險 Reasult 的相關參數；

第2步：將第1步中的內容提交給風險繪制模塊；

第3步：將第2步中的內容提交給站點輸出模塊；

第4步：按順序執行以上模塊，運行完成，模塊結束。

（5） 報表模塊。TCPDF的導入過程，下載TCPDF，然后參考文件說明里的內容一步步進行部署，安裝和遷移。

（6） 日志模塊。Web Scan系統選取PHP的報表輸出組件WordPress。在項目根目錄下生成的log.txt文件中插入相關的日志內容。

4 系統自身安全

Web Scan作為一款漏洞監測、注入類的軟件。自身的安全性非常重要，為了防止系統被攻擊，內置了一些安全過濾規則。在ThinkPHP的配置中加載進去一個新建的安全配置文件，該規則將在運行時寫入runtime.php文件中。

5 結 語

現在，越來越多的站點重視并修復了跨站漏洞。但是依然有大量的中小型網站存在這樣的安全問題，對于這一項漏洞的研究工作仍將繼續。目前國內的研究現狀，也基本已經涉及到跨站腳本的各個層次，唯獨自動化的檢測工具較少。即便是有也主要針對SQL注入等漏洞，不專注于構造型的跨站腳本檢測，本文補充了這類的不足。本文完成主要的6大模塊：登陸模塊、檢測模塊、掃描模塊、輸出模塊、報表模塊、日志模塊。核心代碼模塊是檢測和掃描部分，他們相互配合構造跨站參數并抓取反饋信息，其他模塊配合核心代碼起到輔助作用。

參考文獻

[1] 廖丹子.“多元性”非傳統安全威脅：網絡安全挑戰與治理[J].國際安全研究，2014（3）：25?39.

[2] 鄧袁，何國輝，吳慶.跨站腳本攻擊及防范技術研究[J].電腦知識與技術，2012（6）：1234?1236.

[3] 吳迪，連一峰，陳愷，等.一種基于攻擊圖的安全威脅識別和分析方法[J].計算機報，2012（9）：1938?1950.

[4] 李釗，彭勇，謝豐，等.信息物理系統安全威脅與措施[J].清華大學學報：自然科版，2012（10）：1482?1487.

[5] 陳建青，張玉清.Web跨站腳本漏洞檢測工具的設計與實現[J].計算機工程，2010（6）：152?154.

[6] 王云，郭外萍，陳承歡.Web項目中的SQL注入問題研究與防范方法[J].計算機工程與設計，2010（5）：976?978.

[7] 練坤梅，許靜，田偉，等.SQL注入漏洞多等級檢測方法研究[J].計算機科學與探索，2011（5）：474?480.

[8] 馬凱，蔡皖東，姚燁.Web 2.0環境下SQL注入漏洞注入點提取方法[J].計算機技術發展，2013（3）：121?124.

[9] 邱永華.XSS跨站腳本攻擊剖析與防御[M].北京：人民郵電出版社，2013.

[10] 吳翰清.白帽子講Web安全[M].北京：電子工業出版社，2012.

[11] 許宏云，李煜.基于ThinkPHP的權限控制模塊的設計與實現[J].微計算機信息，2012（9）：234?235.

[12] 郭建兵，崔志明，陳明，等.基于DOM樹與領域本體的Web抽取方法[J].計算機工程，2012（5）：56?58.

[13] 羅明宇，凌捷.基于DOM樹序列值比對的SQL注入漏洞檢測[J].計算機工程與設計，2015（2）：350?354.