XSS漏洞的分析與討論

北京中電普華信息技術(shù)有限公司 白婉嬌 楊 軍 趙藝桐

近年來跨站腳本漏洞在安全漏洞中頻繁出現(xiàn)，對互聯(lián)網(wǎng)安全造成很大的威脅。XSS漏洞可以帶來的危害有：盜取各類用戶賬號，如用戶網(wǎng)銀賬號、各類管理員賬號等；盜竊企業(yè)重要的具有商業(yè)價值的資料；非法轉(zhuǎn)賬；控制受害者機(jī)器向其他網(wǎng)站發(fā)起攻擊、注入木馬等。為了提高對XSS漏洞檢測的準(zhǔn)確率，本文針對三種類型的XSS漏洞攻擊進(jìn)行深度分析以及對XSS漏洞如何準(zhǔn)確檢測、有效防御、檢測XSS漏洞可以使的工具進(jìn)行分析與討論。

伴隨著互聯(lián)網(wǎng)技術(shù)飛速發(fā)展，網(wǎng)絡(luò)已滲透列各行各業(yè)，為廣大用戶提供快捷服務(wù)的同時，也暴露出越來越嚴(yán)重的安全問題，其中Web應(yīng)用程序安全問題尤為突出。在Web攻擊中，XSS攻擊是其中一個影響嚴(yán)重的攻擊。利用XSS攻擊可以竊取用戶的個人信息或者登錄帳號，對網(wǎng)站的用戶安全產(chǎn)生巨大的威脅，劫持用戶的瀏覽器等。竊取管理員帳號或Cookie，入侵者可以冒充管理員的身份登錄后臺惡意操縱后臺數(shù)據(jù)，包括讀取、更改、添加、刪除一些信息，如先將惡意攻擊代碼嵌入到Web應(yīng)用中，當(dāng)用戶瀏覽該掛馬頁面時，用戶的計算機(jī)會被植入木馬，還可以利用XSS漏洞植入廣告、發(fā)送垃圾信息，嚴(yán)重影響用戶正常使用。所以如何有效準(zhǔn)確地檢測、防御XSS漏洞是一個十分必要的研究課題。本文針對XSS漏洞產(chǎn)生的原因、如何檢測出XSS漏洞及如何對XSS漏洞進(jìn)行防御進(jìn)行深入研究與分析，進(jìn)而達(dá)到對XSS漏洞更高效的解決、防御的目的。

1 XSS漏洞的類型及原理分析

1.1 反彈型XSS漏洞

當(dāng)用戶在客戶端訪問某條鏈接時，攻擊者可以將惡意代碼植入到URL之中，如果服務(wù)端未對URL攜帶的參數(shù)做判斷、過濾處理，而是直接返回響應(yīng)頁面，這樣XSS攻擊代碼就會與返回信息一起被傳輸?shù)接脩舻臑g覽器，進(jìn)而觸發(fā)反射型XSS產(chǎn)生。舉個例子，當(dāng)用戶在網(wǎng)站進(jìn)行搜索時，返回結(jié)果中一般會包括用戶原本搜索的內(nèi)容，如果攻擊者構(gòu)造了包含XSS惡意代碼的鏈接，誘導(dǎo)用戶進(jìn)行點擊并且成功執(zhí)行，那么用戶的信息就可能被竊取，甚至可以模擬用戶進(jìn)行一些操作，進(jìn)而導(dǎo)致一些列嚴(yán)重后果。反射型XSS漏洞不會永久存儲用戶的信息、數(shù)據(jù)，發(fā)生在用戶的一次訪問之后。這個過程就類同于一次反射，因此得名反射型XSS漏洞。

1.2 存儲型XSS漏洞

存儲型XSS漏洞又名持久型XSS，是目前危害最大的一種XSS漏洞。此類型的XSS漏洞是因為惡意攻擊代碼持久化地保存在服務(wù)器上，進(jìn)而被顯示到HTML頁面中。攻擊者構(gòu)造XSS代碼保存在數(shù)據(jù)庫中，當(dāng)用戶訪問這個頁面時，就會觸發(fā)并執(zhí)行惡意的XSS代碼，進(jìn)一步竊取用戶的重要信息

1.3 DOM型XSS漏洞

DOM型XSS漏洞是基于文檔對象模型的一種漏洞。這種XSS與反射型XSS、持久型XSS在原理上有本質(zhì)區(qū)別，它的攻擊代碼并不需要服務(wù)器解析響應(yīng)，觸發(fā)XSS靠的是瀏覽器端的DOM解析。客戶端上的JavaScript腳本可以訪問瀏覽器的DOM并修改頁面的內(nèi)容，不依賴服務(wù)器的數(shù)據(jù)，直接從瀏覽器端獲取數(shù)據(jù)并執(zhí)行。具體攻擊實施步驟如下：

①被攻擊用戶在客戶端登錄Web應(yīng)用程序時，輸入的用戶名、密碼等就會被保存在cookie中；②攻擊者將精心構(gòu)造的含有惡意腳本的鏈接發(fā)給用戶；③被攻擊者在沒有任何防范措施的情況下點擊了這些含有惡意腳本的鏈接；④服務(wù)器向點擊鏈接的用戶返回有DOM型XSS漏洞的頁面，觸發(fā)腳本運(yùn)行；⑤惡意腳本在用戶運(yùn)行的時候，將攻擊代碼復(fù)制到用戶的頁面中；⑥被攻擊的用戶瀏覽器就會讀取用戶的隱私信息，并發(fā)送給攻擊指定的服務(wù)器中。

2 XSS漏洞攻擊的手動檢測方法

一般手工使用代碼'>測試一下，可以看到代碼'>，被成功執(zhí)行了，但有時網(wǎng)站會過濾一些關(guān)鍵字，我們就需要用到工具進(jìn)行模糊測試，運(yùn)行BruteXss，輸入G選擇get傳遞方式，然后輸入要測試的網(wǎng)址，選擇payload字典，原理就是使用不同的payload拼接，網(wǎng)址url'>，進(jìn)行測試。可以看到已經(jīng)成功測試出可用的payload。

3 XSS漏洞攻擊可以使用的檢測工具介紹

3.1 FireBug

FireBug是Firefox瀏覽器的一個擴(kuò)展插件，它是一個全能的Web應(yīng)用程序調(diào)試器，能夠協(xié)助Web開發(fā)者洞悉復(fù)雜的Web應(yīng)用程序的內(nèi)部工作機(jī)制。該工具提供了許多便捷功能，包括HTML代碼、探索DOM結(jié)構(gòu)、監(jiān)視網(wǎng)絡(luò)請求和響應(yīng)、調(diào)試和檢測任何頁面的CSS、HTML和JavaScript等。如圖1所示。

圖1 FireBug工具示例圖

3.2 Tamper Date

當(dāng)測試Web應(yīng)用程序的安全性時，經(jīng)常需要對HTTP流量進(jìn)行分析和動態(tài)修改，這時就可以用到Tamper Data這款小工具。Tamper Date同樣是Firefox的小插件，他的特點是簡單易用、功能強(qiáng)大，只要HTTP請求都可以抓取。Tamper Date的含義是“篡改數(shù)據(jù)”，它可以查看和修改HTTP/HTTPS的頭部和Post參數(shù)。IE類似的插件是Tamper IE。如圖2所示。

圖2 Tamper Date工具示例圖

3.3 Fiddler

Fiddler是一種一款免費(fèi)且功能強(qiáng)大HTTP/HTTPS網(wǎng)絡(luò)監(jiān)視器，它也能夠檢測和記錄所有客戶之間的HTTP通信。如圖3所示。

圖3 Fiddler工具示例圖

3.4 BurpSuite

Burp Suite是用于攻擊web應(yīng)用程序的集成平臺。它包含了許多工具，并為這些工具設(shè)計了許多接口，以促進(jìn)加快攻擊應(yīng)用程序的過程。所有的工具都共享一個能處理并顯示HTTP消息、持久性、認(rèn)證、代理、日志、報警的強(qiáng)大的可擴(kuò)展的框架。

4 XSS攻擊的防御方法

（1）在表單提交或者url參數(shù)傳遞前，對需要的參數(shù)進(jìn)行過濾；

（2）利用些函數(shù)對出現(xiàn)xss漏洞的參數(shù)進(jìn)行過濾，函數(shù)如下：

①htmlspecialchars()函數(shù)，用于轉(zhuǎn)義處理在頁面上顯示的文本；②htmlentities()函數(shù)，用于轉(zhuǎn)義處理在頁面上顯示的文本；③ strip_tags()函數(shù)，過濾掉輸入、輸出里面的惡意標(biāo)簽；④ header()函數(shù)，使header("Content-type:application/json")；用于控制json數(shù)據(jù)的頭部不用于瀏覽；⑤urlencode()函數(shù)，用于輸出處理字符型參數(shù)帶入頁面鏈接中；⑥intval()函數(shù)用于處理數(shù)值型參數(shù)輸出頁面中；⑦自定義函數(shù)，在大多情況下，要使用一些常用的html標(biāo)簽，以便美化頁面顯示，如留言、小紙條等。那么在這樣的情況下，要采用白名單的方法使用合法的標(biāo)簽顯示，過濾掉非法的字符。

（3）對用戶輸入進(jìn)行檢查—XSS filter

XSS filter是在用戶提交數(shù)據(jù)時獲取變量，并進(jìn)行XSS過濾的。此時的XSS filter只對用戶輸入數(shù)據(jù)進(jìn)行XSS檢查，并沒有結(jié)合前端頁面的HTML代碼。所以針對XSS filter需要強(qiáng)調(diào)兩點：

①XSS filter對語境的理解并不完整。比如：無法針對輸出點位置進(jìn)行合適的XSS過濾。所以有時可能會造成遺漏、破壞原有語義等后果；②XSS filter是在服務(wù)器進(jìn)行URL解碼之前生效的，所以要考慮URL編碼繞過的問題。比如XSS filter過濾了