跨站式脚本总结

 

危害 
盗取各类用户帐号，如机器登录帐号、用户网银帐号、各类管理员帐号 
控制企业数据，包括读取、篡改、添加、删除企业敏感数据的能力 
盗窃企业重要的具有商业价值的资料 
非法转账 
强制发送电子邮件 
网站挂马 
控制受害者机器向其它网站发起攻击 

防范 
必须明确：一切输入都是有害的，不要信任一切输入的数据。 
缓和XSS问题的首要法则是确定哪个输入是有效的，并且拒绝所有别的无效输入。 
替换危险字符，如："&", "<", ">", """，"’", "/", "?"，";", ":", "%", "<SPACE>", "=", "+"。各种语言替换的程度不尽相同，但是基本上能抵御住一般的XSS攻击。 

python的cgi.escape函数： 

以下是引用片段： def escape(s, quote=None):       ’’’Replace special characters "&", "<" and ">" to HTML-safe sequences.       If the optional flag quote is true, the quotation mark character (")       is also translated.’’’       s = s.replace("&", "&") # Must be done first!       s = s.replace("<", "<")       s = s.replace(">", ">")       if quote:           s = s.replace(’"’, """)   return s

ASP中的Server.HTMLEncode： 

以下是引用片段： <%= Server.HTMLEncode("The paragraph tag: <P>") %>   ASP.NET的Server.HtmlEncode及Server.UrlEncode：   String TestString = "This is a <Test String>.";   String EncodedString = Server.HtmlEncode(TestString);   Server.UrlEncode(Request.Url.ToString());

PHP的htmlspecialchars方法： 

以下是引用片段： <?php   $new = htmlspecialchars("<a href=’test’>Test</a>", ENT_QUOTES);   echo $new; // <a href=’test’>Test</a>   ?>

JAVA中的java.net.URLEncode.encode： 

String mytext = java.net.URLEncoder.encode("中国", "utf-8"); 
有些网站使用过滤javascript关键字的办法来防止XSS，其实是很不明智的，因为XSS有时候根本就不需要javascript关键字或者对javascript关键字进行格式变化来躲过过滤。 
为所有的标记属性加上双引号。应该说这也不是万全之策，只是在转义了双引号的前提下的一道安全保障。比如： 
不加双引号时，onclick被执行了： 

以下是引用片段： <a href=http://www.xxx.com/detail.asp?id=2008 onclick=’javascrpt:alert(’haha’)’>

加上了双引号，onclick不会被执行： 

以下是引用片段： <a href="http://www.xxx.com/detail.asp?id=2008 onclick=’javascrpt:alert(’haha’)’">

将数据插入到innerText属性中，脚本将不会被执行。如果是innerHTML属性，则必须确保输入是安全的。如ASP.NET中： 

以下是引用片段： <%@ Page Language="C#" AutoEventWireup="true"%>   <html>   <body>       <span id="Welcome1" runat="server"> </span>       <span id="Welcome2" runat="server"> </span>   </body>   </html>   <script runat="server">   private void Page_Load(Object Src, EventArgs e)   {       // Using InnerText renders the content safe–no need to HtmlEncode       Welcome1.InnerText = "haha";       // Using InnerHtml requires the use of HtmlEncode to make it safe       Welcome2.InnerHtml = "Hello, " + Server.HtmlEncode("haha");   }   </Script>

使用IE6.0SP1的cookie选项HttpOnly，注意，HttpOnly只能阻止恶意脚本读取cookie，并不能阻止XSS攻击。比如在ASP.NET中： 

HttpCookie cookie = new HttpCookie("Name", "ZhangChangrong"); 
cookie.Path = "/; HttpOnly"; 
Response.Cookies.Add(cookie); 
使用IE的<IFrame>的Security属性，设置为restricted后，frame中的脚本将不能执行(仅限于IE)。如： 

以下是引用片段： <iframe security="restricted" src="http://www.somesite.com/somepage.htm"></frame>

ASP.NET中的ValidateRequest配置选项。默认情况下，这个功能是开启的，这个功能将会检查用户是否试图在cookie、查询字符串以及HTML表格中设置HTML或脚本。如果请求包含这种潜在的危险输入，就会抛出一个HttpRequestValidationException异常。我在尝试试探当当网的XSS漏洞时发现这个异常信息，可以说当当网使用了ValidateRequest这个选项，或者从另一方面说，也许是无意中启用了这一选项，同时，将错误信息抛出给用户是非常不安全的。 

给一个页面设置ValidateRequest选项： 

以下是引用片段： <%@ Page Language="C#" ValidateRequest="false" %>

在Machine.config中设置全局ValidateRequest选项，注意，如果在Web.config中重新设置，不会覆盖Machine.config中的这一设置： 

以下是引用片段： <system.web>       <pages buffer="true" validateRequest="true" />   </system.web>

让我们来目睹当当网给我们带来的这一盛况： 

在一些必须使用到HTML标签的地方，比如公告栏，可以使用其他格式的标示代替，比如论坛中广泛使用的BBCode，用[i]...["i]来表示斜体。 
然而，对于一些允许用户输入特定HTML的地方，强烈建议使用正则表达式进行匹配。比如： 

以下是引用片段： if (/^(?:["s"w"?"!","."’""]*|(?:"<"/"?(?:i|b|p|br|em|pre)">))*$/i)   {         #Cool, it’s valid input   }

发现问题 
查找所有包含用户输入的入口。 
跟踪流入应用程序的每一个数据。 
确定数据是否与输出有关系。 
如果与输出有关，它是不是原始数据，是不是经过处理的？ 

上一页  [1] [2] [3] [4]