對很久以前的一個bug進行分析和總結
function parsePost(data, action) {
try {
var postData = eval("(" + data + ")");
// TO DO1
} catch (e) {
// TO DO2
}
}
這是一段頁面的老代碼,data是數據庫body字段,既是用戶錄入并取出的數據,由于業務的關系,data是以json格式保存的,為了使數據能實現兼容,這里使用try...catch...方式處理,如果變量data能被轉換成對象,則執行TO DO1,否則執行TO DO2.
我們知道eval的作用很簡單,就是把一段字符串傳遞給js解析器,由javascript解析器將這段字符串解釋成為javascript代碼,并且執行.不過這也是非常危險,尤其是在給它傳遞用戶輸入的數據時,這往往就是惡意用戶的一個切入點.
安裝上面的代碼,如果用戶輸入的data是一段js代碼,如"alert('hello')",那么這段代碼用數據庫出來后顯示部分就會eval("alert('hello')"),這時我的頁面就會以alert提示框的方式彈了出來.
好了,這個就是大家都知道的 Cross-site scripting (XSS),中文翻譯是跨站腳本攻擊。
Cross-site scripting (XSS) is a type of computer security vulnerability typically found in web applications which allow code injection by malicious web users into the web pages viewed by other users. Examples of such code include HTML code and client-side scripts. (摘自《Cross-site scripting》http://en.wikipedia.org/wiki/Cross- site_scripting)這里介紹了 XSS 的背景,類型,利用和防范等幾方面內容。
下面開始修復工作。這段代碼顯然沒能對 data 作好嚴格的判斷工作,data 不但是用戶輸入的內容,還要被似乎萬惡的 eval() 函數執行,而整個過程沒有對 用戶輸入的 data 進行一個校驗工作,這就是問題所在,而且問題相當嚴重。
針對跟貼系統此段代碼的業務邏輯,可以通過判斷 data 的數據類型來確定其邏輯結構,更改后的代碼如下∶
function parsePost(data, action) {
if (typeof(data) == 'string') {
// TO DO2
}
else {
// TO DO1
}
}
代碼在主體上修改如上,我們的選擇是,繞開 eval() 函數,把 body 的原型賦給 Javascript 的變量 data,然后使用 typeof() 來對 data 作判斷處理,并且根據此判斷繼續下一步的處理。
另外也可以是使用 JSON 解析器對 JSON 進行解析,可從http: //www.json.org/json.js 下載的參考實現腳本。JSON 是一種基于文本的開放式數據交換格式(請參見 RFC 4627)。
ps:此bug發生在2008年,跟帖受xss攻擊