搜索框所引起的XSS漏洞

XSS漏洞的预防

稍微有一点web开发经验的程序员估计可以不用看这些内容了，因为我讲得比较简单（因为我对XSS漏洞也是研究没有多久，实在是实力不够，不能讲太深入，太高难度的防御措施啊）。

首先要澄清的几个容易犯错的误区：

首先是黑名单机制，不要幻想把“<script>”等敏感字符串作为黑名单从而防止用户输入恶意代码，对于一个有经验的XSS Attacker来说，这个太好规避了。

其次是不要只在前台做了过滤而后台没有检验而直接把结果返回出来。我探测过一个QQ城市达人的达人搜索功能，其中网页在前台写了个javascript函数判断用户输入的QQ号是不是合法的，如果在搜索框输入：“1234567k<>”等就会提示输入有无之类的，但是后台却没有做任何过滤，我就抓包把那个发送url抓下来，发现是个以get方式传递参数的。于是我修改url为：

以下是引用片段： http://city.qzone.qq.com/search.php?mod=friend&act=searchqq&qq=23456345k</span><script>alert('xss')</script><span>&s1=%CB%D1%CB%F7

发现成功了。果然弹出如下图的提示框：

图10 QQ城市达人XSS漏洞弹出框

再写个窃取cookie的恶意连接就是不在话下的事情了，我实现过，成功了，但在这儿就不再累赘了。

最后要提提的误区是在程序完成后的测试阶段，不要只对正常的情况考虑XSS漏洞攻击，XSS Attacker往往会抓住异常情况的输出来进行攻击的。还是以QQ城市达人XSS漏洞为例子，开始探测的时候，我构造了一个类似于“1234567K”作为QQ号参数的url，发现程序对于异常的处理只是简单的返回这个字符串不是合法的QQ号，于是我便针对这个异常处理页面构造出XSS注入脚本了。

在国外讨论网络安全的社区混过几天，发现老外在XSS漏洞研究方面果然很深入，这方面国内的网络安全社区要追赶还是存在一定距离的。目前大家的普遍共识是：XSS漏洞太复杂了，以至于目前还没有一个绝对有效，方便，快捷的方法来解决(事实上，从小小一个大家都不在意的搜索框就可以引起那么多XSS漏洞，XSS漏洞的复杂性真是可见一斑了)。

目前防止XSS漏洞主要有2种途径：输入过滤和输出过滤。

简单来说，输入过滤就是在数据存进数据库之前就把特殊的字符给转义了。这是个很方便简洁的方法，而且可以顺便把SQL注入也检验了。缺点是之前已经存在数据库中的恶意代码就无法处理了，而且现在很多企业喜欢把部分业务代码的外包出去，这也为整个系统的安全性架构带来很大的困难（天晓得外包出去的业务代码是不是每一个输入的地方都做了输入过滤啊）。

顾名思义，输出过滤就是在数据组织网页输出之前先对部分敏感字符进行转义。常用的需要转义的字符有：<,>,’,”,&,空格。输出转义的缺点是必须对每一个细节的输出都要过滤好。上面的例子中，平心而论，淘宝和当当的过滤还是做得非常好的，绝大多数的输出地方都把敏感的字符给转义了。但是就是遗漏下了个别的地方没有做过滤，这就为XSSAttacker带来了机会了。

后记：

1.我不敢把XSS Attacker定位为黑客，因为在我心中黑客应该是专注于技术，乐于交流，不会给社会造成危害的。

2.我发这篇文章的时候腾讯已经把QQ城市达人的漏洞给修补了。

3.我是个懒洋洋的人（虽然说得好听一点是不拘小节），所以我并没有对这篇文章做差错别字什么的，反正使用拼音输入法，有错别字就讲究着看吧。

4.欢迎在转载本篇文章，但请注明出处。

我的Email是: ted # vip.qq.com

上一页  [1] [2] [3]