對(duì)很久以前的一個(gè)bug進(jìn)行分析和總結(jié)
function parsePost(data, action) {
try {
var postData = eval("(" + data + ")");
// TO DO1
} catch (e) {
// TO DO2
}
}
這是一段頁(yè)面的老代碼,data是數(shù)據(jù)庫(kù)body字段,既是用戶錄入并取出的數(shù)據(jù),由于業(yè)務(wù)的關(guān)系,data是以json格式保存的,為了使數(shù)據(jù)能實(shí)現(xiàn)兼容,這里使用try...catch...方式處理,如果變量data能被轉(zhuǎn)換成對(duì)象,則執(zhí)行TO DO1,否則執(zhí)行TO DO2.
我們知道eval的作用很簡(jiǎn)單,就是把一段字符串傳遞給js解析器,由javascript解析器將這段字符串解釋成為javascript代碼,并且執(zhí)行.不過這也是非常危險(xiǎn),尤其是在給它傳遞用戶輸入的數(shù)據(jù)時(shí),這往往就是惡意用戶的一個(gè)切入點(diǎn).
安裝上面的代碼,如果用戶輸入的data是一段js代碼,如"alert('hello')",那么這段代碼用數(shù)據(jù)庫(kù)出來后顯示部分就會(huì)eval("alert('hello')"),這時(shí)我的頁(yè)面就會(huì)以alert提示框的方式彈了出來.
好了,這個(gè)就是大家都知道的 Cross-site scripting (XSS),中文翻譯是跨站腳本攻擊。
Cross-site scripting (XSS) is a type of computer security vulnerability typically found in web applications which allow code injection by malicious web users into the web pages viewed by other users. Examples of such code include HTML code and client-side scripts. (摘自《Cross-site scripting》http://en.wikipedia.org/wiki/Cross- site_scripting)這里介紹了 XSS 的背景,類型,利用和防范等幾方面內(nèi)容。
下面開始修復(fù)工作。這段代碼顯然沒能對(duì) data 作好嚴(yán)格的判斷工作,data 不但是用戶輸入的內(nèi)容,還要被似乎萬(wàn)惡的 eval() 函數(shù)執(zhí)行,而整個(gè)過程沒有對(duì) 用戶輸入的 data 進(jìn)行一個(gè)校驗(yàn)工作,這就是問題所在,而且問題相當(dāng)嚴(yán)重。
針對(duì)跟貼系統(tǒng)此段代碼的業(yè)務(wù)邏輯,可以通過判斷 data 的數(shù)據(jù)類型來確定其邏輯結(jié)構(gòu),更改后的代碼如下∶
function parsePost(data, action) {
if (typeof(data) == 'string') {
// TO DO2
}
else {
// TO DO1
}
}
代碼在主體上修改如上,我們的選擇是,繞開 eval() 函數(shù),把 body 的原型賦給 Javascript 的變量 data,然后使用 typeof() 來對(duì) data 作判斷處理,并且根據(jù)此判斷繼續(xù)下一步的處理。
另外也可以是使用 JSON 解析器對(duì) JSON 進(jìn)行解析,可從http: //www.json.org/json.js 下載的參考實(shí)現(xiàn)腳本。JSON 是一種基于文本的開放式數(shù)據(jù)交換格式(請(qǐng)參見 RFC 4627)。
ps:此bug發(fā)生在2008年,跟帖受xss攻擊