于吉吉的技術(shù)博客

對于的用戶輸入搜索出現(xiàn)XSS漏洞的問題，主要是由于開發(fā)人員對XSS了解不足，安全的意識不夠造成的。現(xiàn)在讓我們來普及一下XSS的一些常識，以后在開發(fā)的時候，每當(dāng)有用戶輸入的內(nèi)容時，都要加倍小心。

一、什么是XSS
   XSS又叫CSS (Cross Site Script) ，跨站腳本攻擊。它指的是惡意攻擊者往Web頁面里插入惡意html代碼，當(dāng)用戶瀏覽該頁之時，嵌入其中Web里面的html代碼會被執(zhí)行，從而達(dá)到惡意 用戶的特殊目的。XSS屬于被動式的攻擊，因?yàn)槠浔粍忧也缓美茫栽S多人常呼略其危害性
   在WEB2。0時代，強(qiáng)調(diào)的是互動，使得用戶輸入信息的機(jī)會大增，在這個情況下，我們作為開發(fā)者，在開發(fā)的時候，要提高警惕。

二、XSS攻擊的主要途徑
  方法只是利用HTML的屬性，作各種的嘗試，找出注入的方法。現(xiàn)在對三種主要方式進(jìn)行分析。

  第一種：對普通的用戶輸入，頁面原樣內(nèi)容輸出。
  打開http://go.ent.163.com/goproducttest/test.jsp(限公司IP),輸 入：<script>alert('xss')</script> JS腳本順利執(zhí)行。當(dāng)攻擊者找到這種方法后，就可以傳播這種鏈接格式的鏈接   （http://go.ent.163.com/goproducttest/test.jsp?key=JSCODE）如：http: //go.ent.163.com/goproducttest/test.jsp?key=<script>alert('xss')& lt;/script>，并對JSCODE做適當(dāng)偽裝，如：
http://go.ent.163.com/goproducttest/test.jsp?key=%3c%73%63%72%69%70 %74%3e%61%6c%65%72%74%28%27%78%73%73%27%29%3c%2f%73%63%72%69%70%74%3e,當(dāng)其 它用戶當(dāng)點(diǎn)此鏈接的時候，JS就運(yùn)行了，造成的后果會很嚴(yán)重，如跳去一個有木馬的頁面、取得登陸用戶的COOKIE等。


  第二種：在代碼區(qū)里有用戶輸入的內(nèi)容
  這個已經(jīng)在上次跟貼漏洞討論會上強(qiáng)調(diào)過了，原則就是，代碼區(qū)中，絕對不應(yīng)含有用戶輸入的東西。

  第三種：允許用戶輸入HTML標(biāo)簽的頁面。
  意思就是，用戶可以提交一些自定義的HTML代碼，這種情況是最危險(xiǎn)的。因?yàn)椋琁E瀏覽器默認(rèn)采用的是UNICODE編碼，HTML編碼可以 用&#ASCII方式來寫，又可以使用"\"連接16進(jìn)制字符串來寫，使得過濾變得異常復(fù)雜，如下面的四個例子，都可以在IE中運(yùn)行。

1，直接使用JS腳本。


2，對JS腳本進(jìn)行轉(zhuǎn)碼。


3，利用標(biāo)簽的觸發(fā)條件插入代碼并進(jìn)行轉(zhuǎn)碼。


4，使用16進(jìn)制來寫(可以在傲游中運(yùn)行)

以上寫法等于


三、解決辦法
  最重要的一點(diǎn)，就是提高意識嚴(yán)格控制輸入和輸出。具體執(zhí)行的方式有以下幾點(diǎn)：

  第一、在輸入方面對所有用戶提交內(nèi)容進(jìn)行可靠的輸入驗(yàn)證，提交內(nèi)容包括URL、查詢關(guān)鍵字、http頭、post數(shù)據(jù)等
  第二、在輸出方面，在用戶輸內(nèi)容中使用<XMP>標(biāo)簽。標(biāo)簽內(nèi)的內(nèi)容不會解釋，直接顯示。
  第三、嚴(yán)格執(zhí)行字符輸入字?jǐn)?shù)控制。
  第四、在腳本執(zhí)行區(qū)中，應(yīng)絕無用戶輸入。

----------------------------------------

by 陳于喆
QQ:34174409
Mail: chenyz@corp.netease.com