XSS漏洞是網(wǎng)站漏洞中最容易出現(xiàn)的一種���,至少現(xiàn)在的各大網(wǎng)站中基本都存在��,傳聞只有g(shù)mail是唯一一個完全不存在的,或者說攻擊者沒找出漏洞的,也許是因為XSS漏洞看起來危害并不是那么的大吧���,所以基本上沒有得到過太大的重視,從而也就造成了這么多的網(wǎng)站存在著一些很簡單就能發(fā)現(xiàn)的XSS漏洞,在這篇blog中以我這個網(wǎng)站安全的外行人的角度來侃侃XSS漏洞攻擊以及防范的措施。
XSS漏洞的出現(xiàn)簡單來說����,就是讓不支持富文本的區(qū)域支持了富文本的執(zhí)行���,例如blog的標題是不支持富文本的����,但由于頁面顯示時沒去做處理��,導(dǎo)致了可以在標題中嵌入像文本加粗、變顏色等等的普通HTML���,當(dāng)然,攻擊者也就可以嵌入惡意的javascript了��,例如獲取你在當(dāng)前網(wǎng)站的cookie的javascript:document.cookie等等�����,另外一種就是支持富文本的區(qū)域沒有去過濾一些惡意的javascript�,例如blog的文章內(nèi)容中內(nèi)嵌獲取cookie等惡意的javascript代碼�,這兩類現(xiàn)象太多了,反倒是富文本的區(qū)域會好一些���,例如多數(shù)論壇采用的UBB等等,而且對于富文本�����,大家都會比較重視���,但反而是非富文本區(qū)域�,很容易忽略其會產(chǎn)生XSS漏洞。
上面說的好像有些太抽象了�,舉個例子來說吧�����,例如blog的標題,假設(shè)在存到數(shù)據(jù)庫的時候是直接將blog標題文本框中的內(nèi)容存儲����,在顯示的時候直接用$blog.title這樣的方式去顯示的話����,那么只要在blog標題中輸入<script>alert(document.cookie);</script>��,然后保存���,在顯示的時候這段javascript就會被正常執(zhí)行了�,雖然這樣的看似沒有什么大的危害�����,但攻擊者同樣不會采取這么簡單的方式����,例如可以直接給你一段經(jīng)過url編碼的串�,而其中就是利用網(wǎng)站的XSS漏洞將你的cookie信息發(fā)送至一個攻擊性質(zhì)的記錄cookie的網(wǎng)站等,又或者完全可以利用網(wǎng)站的XSS漏洞埋上一段隱藏的img來嵌入這樣而已的url���,那么你的cookie就會不知不覺的被盜用,而偏偏現(xiàn)在大部分的網(wǎng)站都是借助cookie來代表用戶的身份�����,這樣��,當(dāng)攻擊者拿到cookie之后���,也就可以假冒你的身份大搖大擺的進入相應(yīng)的網(wǎng)站了���。
上面說的是比較典型的一種XSS漏洞產(chǎn)生的情況����,另外一種比較典型的是dom xss的情況����,這種情況多數(shù)是攻擊者利用直接閉合標簽�,從而執(zhí)行惡意的javascript代碼,例如頁面中有個文本框���,這個文本框的內(nèi)容在提交后會被記錄并繼續(xù)顯示在結(jié)果頁面的文本框架中,假設(shè)第二個頁面中文本框是這么寫的:<input type=text value="$!prevPage.someText">����,那么只要在前一頁面中輸入"><script>alert(document.cookie);</script>這樣的內(nèi)容�,在第二個頁面顯示的時候就會變成:<input type=text value=""><script>alert(document.cookie);</script>>�,攻擊者通過閉合input標簽實現(xiàn)了執(zhí)行惡意的javascript代碼,同樣,如果你的javascript中也有類似的讀取url參數(shù)或前頁提交的內(nèi)容����,又或數(shù)據(jù)庫中的內(nèi)容的話����,攻擊者都有可能利用這種閉合標簽的方式來實施攻擊����。
這樣看起來,產(chǎn)生XSS漏洞的地方確實可能會有很多����,說完上面這些���,大家估計仍然覺得xss漏洞即使被利用也沒什么吧���,確實���,也許xss漏洞只能做到盜用個用戶cookie來玩玩,但是一旦它盜用了cookie��,然后再結(jié)合一些其他的攻擊手段����,例如csrf的話��,很有可能會造成非常嚴重的后果,當(dāng)年的MySpace攻擊事件就源于此,更何況對于大部分的網(wǎng)站來說,用戶身份被盜也不是什么好事。
因此還是有必要對XSS漏洞進行防范的,根據(jù)上面闡述的XSS漏洞產(chǎn)生的原因來說��,對于非富文本的區(qū)域來講��,其實只需要對其進行HTML編碼就沒問題了�,而對于富文本的區(qū)域��,則相對麻煩一些��,需要有一個有效的過濾攻擊性質(zhì)的html代碼的方式,但這個確實很難很難完全做到100%的防范,因為編寫惡意html代碼的方式實在太多了��,url編碼方式��,注釋方式��,十六進制方式等等,完全無法窮舉�����,但目前出現(xiàn)在網(wǎng)站中的���,其實大部分都是非富文本的XSS漏洞��,只要對這些非富文本的XSS漏洞進行了防范的話�����,至少可以很大程度的提升網(wǎng)站攻擊的門檻,不至于被一些很簡單的攻擊手段攻擊,像freemarker模板中���,可以直接支持變量字符的html編碼�����,例如${user?html}這樣的方式就可以了���,還是很簡單的�����,:)。