XSS(cross-site scripting跨域腳本攻擊)攻擊是最常見(jiàn)的Web攻擊塔逃,其重點(diǎn)是“跨域”和“客戶端執(zhí)行”。有人將XSS攻擊分為三種盈厘,分別是:
1.?Reflected XSS(基于反射的XSS攻擊)
2.?Stored XSS(基于存儲(chǔ)的XSS攻擊)
3.?DOM-based or local XSS(基于DOM或本地的XSS攻擊)
Reflected XSS
基于反射的XSS攻擊,主要依靠站點(diǎn)服務(wù)端返回腳本,在客戶端觸發(fā)執(zhí)行從而發(fā)起Web攻擊孟岛。
例子:
1. 做個(gè)假設(shè),當(dāng)亞馬遜在搜索書(shū)籍督勺,搜不到書(shū)的時(shí)候顯示提交的名稱渠羞。
2. 在搜索框搜索內(nèi)容,填入“alert('handsome boy')”, 點(diǎn)擊搜索玷氏。
3. 當(dāng)前端頁(yè)面沒(méi)有對(duì)返回的數(shù)據(jù)進(jìn)行過(guò)濾堵未,直接顯示在頁(yè)面上, 這時(shí)就會(huì)alert那個(gè)字符串出來(lái)盏触。
4. 進(jìn)而可以構(gòu)造獲取用戶cookies的地址渗蟹,通過(guò)QQ群或者垃圾郵件,來(lái)讓其他人點(diǎn)擊這個(gè)地址:
PS:這個(gè)地址當(dāng)然是沒(méi)效的赞辩,只是舉例子而已雌芽。
結(jié)論:
如果只是1、2辨嗽、3步做成功世落,那也只是自己折騰自己而已,如果第4步能做成功糟需,才是個(gè)像樣的XSS攻擊屉佳。
開(kāi)發(fā)安全措施:
1. 前端在顯示服務(wù)端數(shù)據(jù)時(shí)候,不僅是標(biāo)簽內(nèi)容需要過(guò)濾洲押、轉(zhuǎn)義武花,就連屬性值也都可能需要。
2. 后端接收請(qǐng)求時(shí)杈帐,驗(yàn)證請(qǐng)求是否為攻擊請(qǐng)求体箕,攻擊則屏蔽专钉。
例如:
標(biāo)簽:
轉(zhuǎn)義
屬性:
如果一個(gè)input的value屬性值是
就可能出現(xiàn):
點(diǎn)擊input導(dǎo)致攻擊腳本被執(zhí)行,解決方式可以對(duì)script或者雙引號(hào)進(jìn)行過(guò)濾累铅。
Stored XSS
基于存儲(chǔ)的XSS攻擊跃须,是通過(guò)發(fā)表帶有惡意跨域腳本的帖子/文章,從而把惡意腳本存儲(chǔ)在服務(wù)器娃兽,每個(gè)訪問(wèn)該帖子/文章的人就會(huì)觸發(fā)執(zhí)行菇民。
例子:
1. 發(fā)一篇文章,里面包含了惡意腳本
今天天氣不錯(cuò)盎槐 玉雾!alert('handsome boy')
2. 后端沒(méi)有對(duì)文章進(jìn)行過(guò)濾,直接保存文章內(nèi)容到數(shù)據(jù)庫(kù)轻要。
3. 當(dāng)其他看這篇文章的時(shí)候复旬,包含的惡意腳本就會(huì)執(zhí)行。
PS:因?yàn)榇蟛糠治恼率潜4嬲麄€(gè)HTML內(nèi)容的冲泥,前端顯示時(shí)候也不做過(guò)濾驹碍,就極可能出現(xiàn)這種情況。
結(jié)論:
后端盡可能對(duì)提交數(shù)據(jù)做過(guò)濾凡恍,在場(chǎng)景需求而不過(guò)濾的情況下志秃,前端就需要做些處理了。
開(kāi)發(fā)安全措施:
1. 首要是服務(wù)端要進(jìn)行過(guò)濾嚼酝,因?yàn)榍岸说男r?yàn)可以被繞過(guò)浮还。
2. 當(dāng)服務(wù)端不校驗(yàn)時(shí)候,前端要以各種方式過(guò)濾里面可能的惡意腳本闽巩,例如script標(biāo)簽钧舌,將特殊字符轉(zhuǎn)換成HTML編碼。
DOM-based or local XSS
基于DOM或本地的XSS攻擊涎跨。一般是提供一個(gè)免費(fèi)的wifi洼冻,但是提供免費(fèi)wifi的網(wǎng)關(guān)會(huì)往你訪問(wèn)的任何頁(yè)面插入一段腳本或者是直接返回一個(gè)釣魚(yú)頁(yè)面,從而植入惡意腳本隅很。這種直接存在于頁(yè)面撞牢,無(wú)須經(jīng)過(guò)服務(wù)器返回就是基于本地的XSS攻擊。
例子1:
1.?提供一個(gè)免費(fèi)的wifi叔营。
1. 開(kāi)啟一個(gè)特殊的DNS服務(wù)屋彪,將所有域名都解析到我們的電腦上,并把Wifi的DHCP-DNS設(shè)置為我們的電腦IP绒尊。
2. 之后連上wifi的用戶打開(kāi)任何網(wǎng)站撼班,請(qǐng)求都將被我們截取到。我們根據(jù)http頭中的host字段來(lái)轉(zhuǎn)發(fā)到真正服務(wù)器上垒酬。
3. 收到服務(wù)器返回的數(shù)據(jù)之后,我們就可以實(shí)現(xiàn)網(wǎng)頁(yè)腳本的注入,并返回給用戶勘究。
4.?當(dāng)注入的腳本被執(zhí)行矮湘,用戶的瀏覽器將依次預(yù)加載各大網(wǎng)站的常用腳本庫(kù)。
PS:例子和圖片來(lái)自口糕,http://www.cnblogs.com/index-html/p/wifi_hijack_3.html不是我寫(xiě)的缅阳,請(qǐng)注意!
這個(gè)其實(shí)就是wifi流量劫持景描,中間人可以看到用戶的每一個(gè)請(qǐng)求十办,可以在頁(yè)面嵌入惡意代碼,使用惡意代碼獲取用戶的信息超棺,可以返回釣魚(yú)頁(yè)面向族。
例子2:
1. 還是提供一個(gè)免費(fèi)wifi
2. 在我們電腦上進(jìn)行抓包
3.?分析數(shù)據(jù),可以獲取用戶的微信朋友圈棠绘、郵箱件相、社交網(wǎng)站帳號(hào)數(shù)據(jù)(HTTP)等。
PS:這個(gè)是我的測(cè)試氧苍,在51job頁(yè)面登錄時(shí)進(jìn)行抓包夜矗,可以獲取帳號(hào)密碼。
結(jié)論:
這攻擊其實(shí)跟網(wǎng)站本身沒(méi)有什么關(guān)系让虐,只是數(shù)據(jù)被中間人獲取了而已紊撕,而由于HTTP是明文傳輸?shù)模允菢O可能被竊取的赡突。
開(kāi)發(fā)安全措施:
1. 使用HTTPS对扶!就跟我前面《HTTP與HTTPS握手的那些事》這篇文章說(shuō)的,HTTPS會(huì)在請(qǐng)求數(shù)據(jù)之前進(jìn)行一次握手麸俘,使得客戶端與服務(wù)端都有一個(gè)私鑰辩稽,服務(wù)端用這個(gè)私鑰加密,客戶端用這個(gè)私鑰解密从媚,這樣即使數(shù)據(jù)被人截取了逞泄,也是加密后的數(shù)據(jù)。
總結(jié)
XSS攻擊的特點(diǎn)就是:盡一切辦法在目標(biāo)網(wǎng)站上執(zhí)行非目標(biāo)網(wǎng)站上原有的腳本(某篇文章說(shuō)的)拜效。本地的XSS攻擊的示例2其實(shí)不算XSS攻擊喷众,只是簡(jiǎn)單流量劫持。前兩種XSS攻擊是我們開(kāi)發(fā)時(shí)候要注意的紧憾,而流量劫持的則可以使用HTTPS提高安全性到千,。
參考鏈接:
