白帽子讲Web安全 第三章 跨站脚本攻击(XSS)
XSS----Cross Site Script;
XSS攻击,通常指黑客通过“HTML注入”篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击。
1、XSS根据效果划分三类:
1)反射型XSS(非持久型XSS):简单的把用户输入的数据“反射”给浏览器。黑客往往需要诱导用户点击一个恶意链接,才能攻击成功。
2)存储型XSS(持久型XSS):存储型会把用户输入的数据存储在服务器端。这种具有很强的稳定性。
3)DOM Based XSS:通过修改页面的DOM形成的XSS。
2、XSS攻击
XSS Payload---用以完成各种具体功能的恶意脚本。
1) 最常见:通过读取浏览器的Cookie对象,发起“Cookie”劫持攻击。
2)通过模拟GET\POST请求操作用户的浏览器。
3)XSS钓鱼
eg:模拟登陆框获取用户名,密码。
4)识别用户浏览器
alter(navigator.userAgent);
5)识别用户安装的软件
eg:在IE 中可以通过判断ActiveX控件的classid是否存在,来推测用户是否安装了该软件。
try{
var obj=new ActiveXObject('XunLeiBHO.ThunderIEHelper');
}catch(e){
//异常就不存在
}
6)获取用户真实的IP地址
eg:在XSS攻击框架“Attack API”中就有获取本地IP地址的API。
3、XSS攻击平台
Attack API
BeEF
XSS-Proxy
4、XSS Worm (XSS蠕虫)
Samy Worm
5、调试JavaScript
Firebug
Fiddler
HttpWatch
6、XSS 构造技巧
1)利用字符编码:
2)绕过长度限制
eg:利用onclick事件加载XSS Payload
location.hash----- 用于标识位置,一个可读可写的字符串,该字符串是 URL 的锚部分(从 # 号开始的部分)。
利用注释
3)使用<base>标签
<base>----定义页面上的所有使用“相对路径”标签的hosting地址。可以放置页面的任意地方,作用于位于它后面的所有标签
eg:
<base href="http://www.baidu.com"/>
<script src="x.js"></script>
4)window.name--- 可设置或返回存放窗口的名称的一个字符串。可跨域、跨页面传递数据。
7、XSS 防御
1)HttpOnly:浏览器禁止页面的javaScript访问带有HttpOnly属性的cookie------------------可以防止cookie劫持
2)输入检查:服务器端要过滤特殊、敏感字符。
3)输出检查:使用编码或转义
eg:HtmlEncode\JavascriptEncode
在Protocal与host中使用严格的URLEncode
4)处理富文本
过滤富文本时,事件应严格禁止
使用白名单禁止一些危险标签,只保留比较安全的标签存在
使用白名单过滤属性、事件
尽可能禁止用户自定义CSS \style
5)防御DOM Based XSS
在“$var”输出到<script>时,应该执行一次javascriptEncode;
在document.write输出到HTML页面时,要分具体情况:如果输出到方法或者脚本里,则需要在做一次javascriptEncode,如果输出到HTML页面或属性,则要做一次HtmlEncode。
javaScript到HTML:
document.write();
document.writeln();
xxx.innerHTML();
xxx.outerHTML();
innerHTML.replace;
document.attachEvent();
window.attachEvent();
document.location.replace();
document.location.assign();
javaScript的输出:
页面中的所有的inputs框;
window.location(href\hash等)
window.name
document.referrer( 返回载入当前文档的来源文档的URL。 )
document.cookie
localstorage
XMLHttpRequest返回的数据