web安全之XSS

上一篇 / 下一篇  2014-04-30 13:55:27 / 个人分类:安全测试

查看( 638 ) / 评论( 0 ) / 评分( 0 / 0 )
XSS 全称(Cross Site Scripting) 跨站脚本攻击, 是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的.  比如获取用户的Cookie,导航到恶意网站,携带木马等。

阅读目录:
1 XSS的类型及场景
2 XSS的产生
3 html encode
4 XSS漏洞的修复
5 如何测试XSS
html encode和 URLencode的区别
7 浏览器中的xss过滤器
---------------------------------------------------------------------------------------

1 XSS类型有3种:

反射型XSS漏洞 (Reflectedxss

保存型XSS漏洞    (Storedxss

基于DOMXSS漏洞 (Dom-basedxss


反射XSS漏洞 (Reflectedxss):

没有对输入的内容进行安全检查或者重新编码,特点是需要用户自己去点击链接才能触发XSS;以下为它的攻击流



保存型XSS漏洞    (Stored xss):

用户提交的数据被不经过适当过滤或净化就直接显示给用户;以下为它的攻击流程:


2 XSS的产生

假如有下面一个textbox

<inputtype="text"name="address1"value="value1from">

value1from是来自用户的输入,如果用户不是输入value1from,而是输入 "/><script>alert(document.cookie)</script><!- 那么就会变成

<inputtype="text"name="address1"value=""/><script>alert(document.cookie)</script><!- ">

嵌入的JavaScript代码将会被执行

 

或者用户输入的是  "onfocus="alert(document.cookie)      那么就会变成 

<inputtype="text"name="address1"value=""onfocus="alert(document.cookie)">

 事件被触发的时候嵌入的JavaScript代码将会被执行

 攻击的威力,取决于用户输入了什么样的脚本

3 HTML Encode

XSS之所以会发生, 是因为用户输入的数据变成了代码。 所以我们需要对用户输入的数据进行HTML Encode处理。 将其中的"中括号", “单引号”,“引号” 之类的特殊字符进行编码。

4 XSS漏洞修复

原则: 不相信客户输入的数据
注意:  攻击代码不一定在<script></script>中

将重要的cookie标记为http only,   这样的话Javascript. 中的document.cookie语句就不能获取到cookie了;

只允许用户输入我们期望的数据。 例如: 年龄的textbox中,只允许用户输入数字。 而数字之外的字符都过滤掉;

对数据进行Html Encode 处理;

过滤或移除特殊的Html标签, 例如: <script>, <iframe> ,  &lt; for <, &gt; for >, &quot for;

过滤JavaScript. 事件的标签。例如 "onclick=", "onfocus" 等等;

5 如何测试XSS

方法一:  查看代码,查找关键的变量,   客户端将数据传送给Web 服务端一般通过三种方式 Querystring, Form表单,以及cookie.  例如在ASP的程序中,通过Request对象获取客户端的变量

<%
strUserCode =  Request.QueryString(“code”);
strUser =  Request.Form(“USER”);
strID =    Request.Cookies(“ID”);
%>

假如变量没有经过htmlEncode处理, 那么这个变量就存在一个XSS漏洞

 

 方法二: 准备测试脚本,

"/><script>alert(document.cookie)</script><!--
<script>alert(document.cookie)</script><!--
"onclick="alert(document.cookie)

 在网页中的Textbox或者其他能输入数据的地方,输入这些测试脚本, 看能不能弹出对话框,能弹出的话说明存在XSS漏洞

 在URL中查看有那些变量通过URL把值传给Web服务器, 把这些变量的值退换成我们的测试的脚本。  然后看我们的脚本是否能执行

 

方法三:  自动化测试XSS漏洞
现在已经有很多XSS扫描工具(appscan、webpecker)了。 实现XSS自动化测试非常简单,只需要用HttpWebRequest类。 把包含xss 测试脚本。发送给Web服务器。 然后查看HttpWebResponse中,我们的XSS测试脚本是否已经注入进去了。

html encode和 URLencode的区别

刚开始我老是把这两个东西搞混淆, 其实这是两个不同的东西。 

HTML编码前面已经介绍过了,关于URL 编码是为了符合url的规范。因为在标准的url规范中中文和很多的字符是不允许出现在url中的。

例如在baidu中搜索"测试汉字"。 URL会变成
http://www.baidu.com/s?wd=%B2%E2%CA%D4%BA%BA%D7%D6&rsv_bp=0&rsv_spt=3&inputT=7477

 

所谓URL编码就是: 把所有非字母数字字符都将被替换成百分号(%)后跟两位十六进制数,空格则编码为加号(+

 

在C#中已经提供了现成的方法,只要调用HttpUtility.UrlEncode("string <scritp>") 就可以了。  (需要引用System.Web程序集)

Fiddler中也提供了很方便的工具, 点击Toolbar上的"TextWizard" 按钮

7 浏览器中的xss过滤器

为了防止发生XSS, 很多浏览器厂商都在浏览器中加入安全机制来过滤XSS。 例如IE8,IE9,Firefox, Chrome. 都有针对XSS的安全机制。 浏览器会阻止XSS。 如果需要做测试, 最好使用IE7。



收藏 举报

TAG:

 

评分:0

我来说两句

Open Toolbar