二維碼中XSS攻擊檢測系統的設計

莫永華，于冰冰

（桂林電子科技大學信息科技學院，桂林　541004）

二維碼中XSS攻擊檢測系統的設計

莫永華，于冰冰

（桂林電子科技大學信息科技學院，桂林541004）

0　引言

二維條碼也稱為二維碼 （Two-dimensional bar code）是在一維條碼基礎上，用特定的幾何圖形按一定規律在二維平面上通過分布的黑白相間的圖形以記錄信息，由于可存儲信息量大，在信息傳遞應用越來越廣。伴隨智能手機普及，掃描二維碼傳遞信息的應用越來越多。由于二維碼中的信息不能字符顯示，在信息中隱藏了用戶無法直接識別的威脅就成為可能。如惡意網站信息，在二維碼中隱藏惡意URL信息，誘發用戶訪問釣魚網站，這些網站通過申請注冊相似域名，構建相似度高的網站環境，通過合法用戶操作，盜取合法用戶賬號，發布虛假中獎信息等，但是這種釣魚攻擊方式針對有一定安全意識的用戶來說，很難實現成功的釣魚攻擊。然而通過XSS跨站腳本攻擊漏洞進行的釣魚攻擊，即使有一定安全意識的用戶，缺乏有效防范的情況下，很難抵御。本文主要針對Android手機用戶通過二維碼掃碼來傳遞信息的應用，設計檢測含有跨站攻擊的二維碼系統，應用特征腳本標簽檢測的方法，實現二維碼安全檢測功能。

1　二維碼與跨站式攻擊研究分析

（1）認識二維碼

二維碼有三種類型。根據不同需求常用的有：線性堆疊式二維碼、矩陣式二維碼和郵政碼。它們的編碼原理也不相同。第一種線性堆疊式二維碼，又稱為行排式二維碼，它是在一維碼的基礎上實現編碼，因此在設計碼制、識別和校驗有著一維碼的特點。它的原理是將多個一維碼按照縱向方向堆疊起來，由于行數的增加改變了原來的結構，因此在譯碼算法等方面與一維碼不相同。典型的有：PDF417、Codel6K。第二種矩陣式二維碼，呈現出矩陣的形式是一種新型圖形符號，也是現在應用最廣泛的。數據表示在矩陣相應元素位置上黑色的“點”表示二進制“1”，白色表示二進制“0”，典型的矩陣式二維碼有QRCode、Aztec。第三種郵政碼。通過對長度不同的條進行編碼，主要應用在郵件中，典型的有：POSTNET。

二維碼有著更多特點。之所以應用廣泛，相比一維碼有著更安全可靠、存儲信息量大和成本低的優點。由于采用可靠的加密技術，對可數字化信息：編號、照片、指紋、掌紋、虹膜等作為原始數據，使用先進的數學和密碼學方法將這些原始數據進行加密運算，生成一組經過加密后的二維碼數據。另一個特點是信息存儲量大，多達上千字節，在數據的釆集、存儲和傳遞等方面優勢突出。二維碼在糾錯能力上采用先進算法，保障在部分二維碼遭到損毀的情況下，還原出全部的原始信息。另外制作PVC面的二維碼卡成本低，使用壽命長達10年左右。一般包括二維碼圖像捕獲、識別、解碼基本功能，信息獲取是系統中的一個主要操作。

（2）二維碼中的惡意網站信息與跨站式攻擊

以上介紹了二維碼在信息傳遞方面的應用，這些信息存在方式可以是URL（Uniform Resource Locator），統一資源定位符。在Internet上，每一個信息資源都有統一、唯一的地址，該地址就統一資源定位符，就是指網絡地址。URL由三部分組成：資源類型、存放資源的主機IP地址或者域名和資源文件名。URL常用格式：Protocol：//［username：password］@host［：port］/path/［？query］［#fragment］（方括號為可選項）。

通過構造相似URL迷惑性用戶訪問釣魚網站，這些網站通過申請注冊相似域名，構建相似度高的網站環境，通過合法用戶操作，盜取合法用戶賬號，發布虛假中獎信息等，例如某合法網站的URL訪問為：http：// www.123.com/index.php，正常應用二維碼存儲網站URL信息，方便手機用戶掃描獲取URL并訪問網站，由于此URL信息在二維碼外觀無法看出，不法分子利用這一缺陷，制作URL相似度高的二維碼，如http：//www. 123.com.cn/index.php具有很大的迷惑性，當用戶看到其URL時，很容易誤以為是真的官網，當合法用戶誤入假網站時，輸入合法用戶信息后，將盜取合法用戶信息，造成用戶損失，這種構造與合法網站相似度很高的地址，是約魚攻擊者常用的手法之一。但是以上釣魚攻擊方式針對有一定安全意識的手機用戶來說，釣魚攻擊的實現有一定難度。然而通過XSS跨站腳本攻擊漏洞進行的釣魚攻擊，即使有一定安全意識的用戶，缺乏有效防范的情況下，很難抵御。

跨站腳本攻擊（Cross Site Scripting）是指攻擊者利用網站程序對用戶輸入缺乏足夠的過濾時，輸入可以顯示在頁面上對其他用戶造成影響的HTML代碼，從而盜取用戶資料、利用用戶身份進行某種動作或者對訪問者進行病毒侵害的一種攻擊方式。為了與層疊樣式表（Cascading Style Sheets）的縮寫CSS區分開，跨站腳本攻擊通常簡寫為XSS。

反射型XSS腳本攻擊即如上面所提到的XSS跨站腳本攻擊方式，該類型只是簡單地將用戶輸入的數據直接或未經過完善的安全過濾就在瀏覽器中進行輸出，導致輸出的數據中存在可被瀏覽器執行的代碼數據。由于此種類型的跨站代碼存在于URL中，所以黑客通常需要通過誘騙或加密變形等方式，將存在惡意代碼的鏈接制作二維碼發給用戶，當手機用戶掃描含這樣的二維碼后自動打開瀏覽器訪問并執行腳本，當用戶使用合法身份訪問時，自己信息將上傳給黑客，導致用戶信息泄露，威脅用戶財產和信息安全。

這里利用DVWA漏洞站點測試的反射型XSS跨站腳本攻擊，頁面代碼如下：

在文本框中任意輸入一個用戶名，提交之后就會在頁面上顯示。從URL中可以看出，用戶名是通過name參數以GET方式提交的。

http：//192.168.1.110/dvwa/vulnerabilities/xss_r/

圖1　dvwa系統下XXS界面

網頁代碼，可以看到這里對用于接收用戶數據的name參數沒有進行任何過濾，就直接在網頁中輸出，因而造成了XSS漏洞。可以測試執行輸入一段語句來彈出cookie：“alert（document.cookie）”

輸入：＜script＞alert（document.cookie）＜/script＞

根據URL編碼，編碼規則%3C表示“＜”；%3E表示“＞”；%28表示“（”；%29表示“）”構造含有跨站攻擊的URL：

http：//192.168.1.110/dvwa/vulnerabilities/xss_r/？name=% 3Cscript%3Ealert%28document.cookie%29%3C%2Fscript%3E#

圖2　執行跨站攻擊代碼后返回的cookie值

獲取到合法用戶cookie值，該信息再通過手機發送到黑客，導致用戶信息泄露，威脅用戶財產和信息安全。

2　二維碼安全檢測系統設計

Android平臺惡意二維碼檢測系統的設計采用C/S架構，C為Android手機客戶端，S為網絡主機服務端。本系統框架分為三個部分二維碼的生成、二維碼的識別、安全檢測。二維碼的生成部分，是將字符串裝換成圖片。識別正好與其相反。安全檢測，主要是將識別解析后的到的信息發送到服務器進行判斷返回到客戶端并將返回的信息顯示出來，從而判斷此二維碼是否安全。下圖3展示了Android平臺惡意二維碼安全檢測系統的應用場景。

（1）二維碼安全檢測設計。因為二維碼安全檢測，是將識別二維碼后得到的數據進行驗證的，所以想要完成這一步需要，先完成二維碼識別操作。識別完成后系統會將二維碼解析出的字符串放到下一個頁面來顯示，此時二維碼還可以提供編輯。在提交安全檢測時，客戶端會將數據用post方法通過服務器地址發送到服務器，服務器通過服務器地址接收數據，數據通過服務器的httpservlet對象交給服務器端進行特征庫數據匹配處理，將處理完的結果發回客戶端進行顯示。沒有攻擊特征腳本符號，二維碼為安全。檢測出特征符信息為不安全，二維碼可能帶有攻擊。最后服務器向客戶端發送消息說明，二維碼是否存在安全問題。

圖3　Android平臺惡意二維碼安全檢測系統的應用場景

圖4　安全驗證設計圖

（2）編碼與實現：客戶端與服務器交互。

客戶端向服務器端傳輸數據和接收消息代碼如下：

3　檢測結果與分析

（1）在Android模擬器端的運行。在模擬器上運行只需要，只需要點中項目右鍵run as，模擬器就會自動啟動。再點擊一邊開始安裝此程序。啟動完成后，模擬器的演示如下圖：

圖5　Android模擬器的效果圖

（2）系統的安全檢測演示與運行

將解析后的數據顯示在文本框里，然后點擊安全檢測按鈕，就會彈出一個窗口，顯示此二維碼是否安全。

圖6　安全檢測效果圖

4　結語

對于二維碼信息存儲的特點以及在Android手機中信息傳遞的過程，存在惡意攻擊信息并對應用構成威脅，基于二維碼的生成、二維碼的識別和安全檢測功能需求，通過分析反射型跨站腳本攻擊的原理，在手機移動端的獨自處理安全檢測有困難情況下，提出C/S結構解決方案，實現手機客戶端掃描二維碼，應用網絡傳輸數據，在服務器端接收并安全檢測的方法，開發了對隱藏在二維碼中惡意攻擊信息的檢測系統，有效解決了Android手機掃描二維碼時遭受到的反射型跨站攻擊問題。

［1］徐國輝，陳婕嫻.手機二維碼技術原理及應用［J］.信息與電腦，2013，1（1）：18-19.

［2］Rick Rogers著，李耀亮譯.Android應用開發［M］.人民郵電出版社2010年9月1日出版

［3］趙剛.基于決策樹的二維碼惡意網址檢測方法［J］.信息安全技術，2014

Android Application System；Two-Dimensional Code；XSS Attacks；Detection

Design of XSS Attack Detection System in Two-Dimensional Code

MO Yong-hua，YU Bing-bing
（Institute of Information&Technology，Guilin University of Electronic Technology，Guilin 541004）

1007-1423（2016）24-0070-05DOI：10.3969/j.issn.1007-1423.2016.24.016

莫永華（1978-），男，廣西桂林人，研究生，講師，研究方向為計算機網絡、網絡安全技術

2016-05-27

2016-08-15

二維碼傳遞信息的應用越來越廣，隱含惡意攻擊的二維碼也隨之出現，對智能手機掃描二維碼就帶來安全威脅。針對存儲在二維碼中的反射型跨站腳本攻擊的問題，基于Android平臺手機設計一個檢測惡意攻擊的系統，保障用戶掃碼安全。先通過DVWA漏洞系統分析反射型跨站腳本攻擊，應用特征腳本標簽檢測的方法，然后采用C/S結構，設計二維碼的生成、識別及安全檢測功能，最后搭建測試環境，通過對隱藏攻擊的二維碼安全測試，系統可以有效防御。

Android系統；二維碼；跨站腳本攻擊；檢測

于冰冰（1994-），男，江西南昌人，本科，學生，研究方向為計算機應用

The application of two-dimensional code in mobile phone is more and more widely，two-dimensional code information contains malicious code attacks，this will threaten mobile applications.Against the problems for storage in the two-dimensional code in reflection type cross site scripting attacks，designs an Android phone system to detect malicious attack，realizes the user scan code security.First，analyzes DVWA loopholes in the system of the reflection type cross site scripting attack and application feature script tag detection method，then，uses C/S structure design of two-dimensional code generation，recognition and security detection function，finally，by setting up the test environment，to hiding attack two-dimensional code security testing，system can defense effectively.