對于的用戶輸入搜索出現XSS漏洞的問題,主要是由于開發人員對XSS了解不足,安全的意識不夠造成的。現在讓我們來普及一下XSS的一些常識,以后在開發的時候,每當有用戶輸入的內容時,都要加倍小心。
一、什么是XSS
XSS又叫CSS (Cross Site Script)
,跨站腳本攻擊。它指的是惡意攻擊者往Web頁面里插入惡意html代碼,當用戶瀏覽該頁之時,嵌入其中Web里面的html代碼會被執行,從而達到惡意
用戶的特殊目的。XSS屬于被動式的攻擊,因為其被動且不好利用,所以許多人常呼略其危害性
在WEB2。0時代,強調的是互動,使得用戶輸入信息的機會大增,在這個情況下,我們作為開發者,在開發的時候,要提高警惕。
二、XSS攻擊的主要途徑
方法只是利用HTML的屬性,作各種的嘗試,找出注入的方法。現在對三種主要方式進行分析。
第一種:對普通的用戶輸入,頁面原樣內容輸出。
打開http://go.ent.163.com/goproducttest/test.jsp(限公司IP),輸
入:<script>alert('xss')</script>
JS腳本順利執行。當攻擊者找到這種方法后,就可以傳播這種鏈接格式的鏈接
(http://go.ent.163.com/goproducttest/test.jsp?key=JSCODE)如:http:
//go.ent.163.com/goproducttest/test.jsp?key=<script>alert('xss')&
lt;/script>,并對JSCODE做適當偽裝,如:
http://go.ent.163.com/goproducttest/test.jsp?key=%3c%73%63%72%69%70
%74%3e%61%6c%65%72%74%28%27%78%73%73%27%29%3c%2f%73%63%72%69%70%74%3e,當其
它用戶當點此鏈接的時候,JS就運行了,造成的后果會很嚴重,如跳去一個有木馬的頁面、取得登陸用戶的COOKIE等。
第二種:在代碼區里有用戶輸入的內容
這個已經在上次跟貼漏洞討論會上強調過了,原則就是,代碼區中,絕對不應含有用戶輸入的東西。
第三種:允許用戶輸入HTML標簽的頁面。
意思就是,用戶可以提交一些自定義的HTML代碼,這種情況是最危險的。因為,IE瀏覽器默認采用的是UNICODE編碼,HTML編碼可以
用&#ASCII方式來寫,又可以使用"\"連接16進制字符串來寫,使得過濾變得異常復雜,如下面的四個例子,都可以在IE中運行。
1,直接使用JS腳本。
<img src="javascript:alert('xss')" />
2,對JS腳本進行轉碼。
<img src="javascript:alert('xss')" />
3,利用標簽的觸發條件插入代碼并進行轉碼。
<img onerror="alert('xss')" />
4,使用16進制來寫(可以在傲游中運行)
<img STYLE="background-image: \75\72\6c\28\6a\61\76\61\73\63\72\69\70\74\3a\61\6c\65\72\74\28\27\58\53\53\27\29\29">
以上寫法等于
<img STYLE="background-image: url(javascript:alert('XSS'))">
三、解決辦法
最重要的一點,就是提高意識嚴格控制輸入和輸出。具體執行的方式有以下幾點:
第一、在輸入方面對所有用戶提交內容進行可靠的輸入驗證,提交內容包括URL、查詢關鍵字、http頭、post數據等
第二、在輸出方面,在用戶輸內容中使用<XMP>標簽。標簽內的內容不會解釋,直接顯示。
第三、嚴格執行字符輸入字數控制。
第四、在腳本執行區中,應絕無用戶輸入。
----------------------------------------
by 陳于喆
QQ:34174409
Mail: chenyz@corp.netease.com