WEB安全实战（二）带你认识 XSS 攻击

前言

上一篇文章写了关于 WEB 安全方面的实战，主要是解决 SQL 盲注的安全漏洞。这篇文章本来是要写一篇关于怎样防治 XSS 攻击的，可是想来想去，还是决定先从理论上认识一下 XSS 吧。下一篇文章，再深入研究怎样防治的问题。

概念

究竟什么是 XSS 攻击呢？XSS 攻击。全称是“跨网站脚本攻击”（Cross Site Scripting），之所以缩写为 XSS，主要是为了和“层叠样式表”（Cascading Style Sheets。CSS）差别开，以免混淆。

XSS 是一种常常出如今web应用中的计算机安全漏洞，它同意恶意web用户将代码植入到提供给其他用户使用的页面中。比方这些代码包含HTML代码和client脚本。对于跨站脚本攻击，黑客界共识是：跨站脚本攻击是新型的“缓冲区溢出攻击“，而JavaScript是新型的“ShellCode”。

XSS 是针对特殊 Web 网站的客户隐私的攻击，当客户具体信息失窃或受控时可能引发彻底的安全威胁。

大部分网站攻击仅仅涉及两个群体：黑客和 Web 网站，或者黑客和client受害者。

与那些攻击不同的是，XSS 攻击同一时候涉及三个群体：黑客、client和 Web 网站。XSS 攻击的目的是盗走client cookies，或者不论什么能够用于在 Web 网站确定客户身份的其它敏感信息。手边有了合法用户的标记，黑客能够继续扮演用户与网站交互。从而冒充用户。

举例来说。在对一个大型公司的调查中表明，利用 XSS 攻击窥视用户的信用卡号码和私有信息是可能的。

这是通过利用 Web 网站的訪问特权，在受害者（client）浏览器上执行恶意的 JavaScript 代码来实现的。

这些是很有限的 JavaScript 特权，除了与网站相关的信息，一般不同意脚本訪问其它不论什么内容。

重点强调的是。尽管 Web 网站上存在安全漏洞，可是 Web 网站从未受到直接伤害。可是这已经足够让脚本收集 cookies。而且将它们发送给黑客。

分析

假设某个怀有恶意的人（攻击者）能够强迫某个不知情的用户（受害者）执行攻击者选择的client脚本，那么便会发生跨网站脚本攻击。“跨网站脚本”这个词应该属于用词不当的情况，由于它不仅与脚本有关，并且它甚至不一定是跨网站的。

所以，它就是一个在发现这样的攻击时起的一个名字。并且一直沿用至今。从如今開始，我们将使用它常见的缩写名称“XSS”。

XSS 攻击的过程涉及下面三者：

• 攻击者
• 受害者
• 存在漏洞的站点（攻击者能够使用它对受害者採取行动）

在这三方之中，唯独受害者会实际执行攻击者的代码。

站点不过发起攻击的一个载体。一般不会受到影响。

能够用多种方式发起 XSS 攻击。比如。攻击者可通过电子邮件、IM 或其它途径向受害者发送一个经过经心构造的恶意 URL。当受害者在 Web 浏览器中打开该 URL 的时侯，站点会显示一个页面并在受害者的计算机上执行脚本。

那么。XSS 漏洞是什么样的呢？

作为一名 Web 开发者或測试人员。您肯定知道 Web 应用程序的技术基础是由 HTTP 和 HTML 组成的。HTTP 协议是 HTML 的传输机制，可使用代码设计 Web 页面布局和生成页面。

假设 Web 应用程序接受用户通过 HTTP 请求（如 GET 或 POST）提交的输入信息。然后使用输出 HTML 代码在某些地方显示这些信息，便可能存在 XSS 漏洞。以下是一个最简单的样例：

1. Web 请求例如以下所看到的：

    GET http://www.somesite.com/page.asp?pageid=10&lang=en&title=Section%20Title

 

2. 在发出请求后，server返回的 HTML 内容包含：

 

    <h1>Section Title</h1>

能够看到，传递给“title”查询字符串參数的用户输入可能被保存在一个字符串变量中而且由 Web 应用程序插入到 <h1> 标记中。通过提供输入内容。攻击者能够控制 HTML。

3. 如今。假设网站没有在server端对用户输入加以过滤（由于总是能够绕过client控件），那么恶意用户便能够使用很多手段对此漏洞加以滥用：

攻击者能够通过摆脱 <h1> 标记来注入代码：

    <scrīpt>alert(‘XSS%20attack’)</scrīpt">http://www.somesite.com/page.asp?pageid=10&lang=en&title=Section%20Title</h1><scrīpt>alert(‘XSS%20attack’)</scrīpt>

这个请求的 HTML 输出将为：

    <h1>Section Title</h1><scrīpt>alert(‘XSS attack’)</scrīpt>

即便是这个最简单的样例，攻击者也能够利用此连接完毕数不清的事情。

结束语

看完这篇文章。相信你已经了解了什么是 XSS 攻击，而这种攻击在我们的生活中也不是没有遇到过，不知道你发现没有。偶尔我们的邮箱中就会有一些不明的 URL，而这些 URL 非常有可能就是伪装好的攻击脚本。当然，我们要有自我保护的意识。不要轻易的点击这些链接之类的东东。只是，最重要的还是要知道他们攻击的原理。了解了原理。防止这些漏洞就不远了。