網站安全之XSS漏洞攻擊以及防范措施
XSS漏洞是網站漏洞中最容易出現的一種,至少現在的各大網站中基本都存在,傳聞只有gmail是唯一一個完全不存在的,或者說攻擊者沒找出漏洞的,也許是因為XSS漏洞看起來危害并不是那么的大吧,所以基本上沒有得到過太大的重視,從而也就造成了這么多的網站存在著一些很簡單就能發現的XSS漏洞,在這篇blog中以我這個網站安全的外行人的角度來侃侃XSS漏洞攻擊以及防范的措施。
XSS漏洞的出現簡單來說,就是讓不支持富文本的區域支持了富文本的執行,例如blog的標題是不支持富文本的,但由于頁面顯示時沒去做處理,導致了可以在標題中嵌入像文本加粗、變顏色等等的普通HTML,當然,攻擊者也就可以嵌入惡意的javascript了,例如獲取你在當前網站的cookie的javascript:document.cookie等等,另外一種就是支持富文本的區域沒有去過濾一些惡意的javascript,例如blog的文章內容中內嵌獲取cookie等惡意的javascript代碼,這兩類現象太多了,反倒是富文本的區域會好一些,例如多數論壇采用的UBB等等,而且對于富文本,大家都會比較重視,但反而是非富文本區域,很容易忽略其會產生XSS漏洞。
上面說的好像有些太抽象了,舉個例子來說吧,例如blog的標題,假設在存到數據庫的時候是直接將blog標題文本框中的內容存儲,在顯示的時候直接用$blog.title這樣的方式去顯示的話,那么只要在blog標題中輸入<script>alert(document.cookie);</script>,然后保存,在顯示的時候這段javascript就會被正常執行了,雖然這樣的看似沒有什么大的危害,但攻擊者同樣不會采取這么簡單的方式,例如可以直接給你一段經過url編碼的串,而其中就是利用網站的XSS漏洞將你的cookie信息發送至一個攻擊性質的記錄cookie的網站等,又或者完全可以利用網站的XSS漏洞埋上一段隱藏的img來嵌入這樣而已的url,那么你的cookie就會不知不覺的被盜用,而偏偏現在大部分的網站都是借助cookie來代表用戶的身份,這樣,當攻擊者拿到cookie之后,也就可以假冒你的身份大搖大擺的進入相應的網站了。
上面說的是比較典型的一種XSS漏洞產生的情況,另外一種比較典型的是domxss的情況,這種情況多數是攻擊者利用直接閉合標簽,從而執行惡意的javascript代碼,例如頁面中有個文本框,這個文本框的內容在提交后會被記錄并繼續顯示在結果頁面的文本框架中,假設第二個頁面中文本框是這么寫的:<inputtype=textvalue="$!prevPage.someText">,那么只要在前一頁面中輸入"><script>alert(document.cookie);</script>這樣的內容,在第二個頁面顯示的時候就會變成:<inputtype=textvalue=""><script>alert(document.cookie);</script>>,攻擊者通過閉合input標簽實現了執行惡意的javascript代碼,同樣,如果你的javascript中也有類似的讀取url參數或前頁提交的內容,又或數據庫中的內容的話,攻擊者都有可能利用這種閉合標簽的方式來實施攻擊。
這樣看起來,產生XSS漏洞的地方確實可能會有很多,說完上面這些,大家估計仍然覺得xss漏洞即使被利用也沒什么吧,確實,也許xss漏洞只能做到盜用個用戶cookie來玩玩,但是一旦它盜用了cookie,然后再結合一些其他的攻擊手段,例如csrf的話,很有可能會造成非常嚴重的后果,當年的MySpace攻擊事件就源于此,更何況對于大部分的網站來說,用戶身份被盜也不是什么好事。
因此還是有必要對XSS漏洞進行防范的,根據上面闡述的XSS漏洞產生的原因來說,對于非富文本的區域來講,其實只需要對其進行HTML編碼就沒問題了,而對于富文本的區域,則相對麻煩一些,需要有一個有效的過濾攻擊性質的html代碼的方式,但這個確實很難很難完全做到100%的防范,因為編寫惡意html代碼的方式實在太多了,url編碼方式,注釋方式,十六進制方式等等,完全無法窮舉,但目前出現在網站中的,其實大部分都是非富文本的XSS漏洞,只要對這些非富文本的XSS漏洞進行了防范的話,至少可以很大程度的提升網站攻擊的門檻,不至于被一些很簡單的攻擊手段攻擊,像freemarker模板中,可以直接支持變量字符的html編碼,例如${user?html}這樣的方式就可以了,還是很簡單的。
【編輯推薦】
