安全测试之XSS跨站脚本攻击

一、跨站脚本攻击的概念

跨站脚本攻击(Cross Site Script为了区别于CSS简称为XSS)指的是恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意用户的特殊目的。

举个比较常见的网络上的一个例子，某个论坛或者页面上有个广告，网址是zhengpin.taobao.com，你点击进去，你看是购物网站，又是淘宝的，你就进去购买了，其实呢，他会redirect到另一个攻击者自己的网站，你在购买的时候，使用的是攻击者的接口进行付款，很可能就会被盗取个人信息及财产等。

二、寻找跨站漏洞

如果有代码的话比较好办，我们主要看代码里对用户输入的地方和变量有没有做长度和对”<”,”>”,”;”,”’”等字符是否做过滤。还有要注意的是对于标签的闭合，像测试QQ群跨站漏洞的时候，你在标题处输入，这样就可以弹出一个test的框。

三、XSS漏洞的后果

XSS漏洞可能造成的后果包括窃取用户会话，窃取敏感信息，重写Web页面，重定向用户到钓鱼网站等，尤为严重的是，XSS漏洞可能使得攻击者能够安装XSS代理，从而攻击者能够观察到该网站上所有用户的行为，并能操控用户访问其他的恶意网站。

四、XSS漏洞的常见解决措施

对于XSS漏洞，我们有两种常见的措施，第一种就是消除漏洞，简而言之就是在输出页面上不提供任何用户的输入信息；另外一种就是想办法来抵御这种漏洞，可以采用对所有用户的输入编码后再输出（可以用OWASP的ESAPI），也可以对所有用户输入进行“白名单”验证，另外，OWASP还提供了AntiSamy对HTML页面做优化以消除这个漏洞。

五、XSS的分类及测试方法

XSS分为三类：Stored XSS、Reflected XSS、Dom-Base XSS。

（1）Stored XSS，即存储式跨站攻击，存储式跨站攻击简单来说就是攻击者提交给网站的数据会提交并永久保存到服务器的数据库或者是文件系统等其他地方，之后不做任何编码操作就会显示在web页面上。这是最厉害的攻击方式。

例如1:在一个网站的一些留言板或者新闻等可以输入的地方，输入一下代码：

<script>alert(document.cookie)</script>

因为这个是留言板上或者评论等的内容，会被读取并且存储到服务器上，如果不作任何处理，当其他用户访问这个网页的时候，就会弹出一个关于cookie的警告信息。

例如2：在评论的时候输入<script type="text/javascript">alert("you are a foolish person")</script>，如果不进行处理，这个信息会被当做正常的留言存储到服务器，那个接下来每个访问这个页面的用户都会收到you are a foolish person的alert信息，会造成很大的影响。（可用于窃取密码，用户信息等）

（2）Reflected XSS，即反射跨站脚本攻击，这是最常见的攻击方式。所谓反射，就是等着服务器所给的返回。我们在进行测试时依据的就是在自己页面上的简单注入。在web客户端提交了数据后，服务端马上给这个请求生成返回结果页，如果结果中包含了未验证的客户端输入数据，那就表示会允许客户端脚本直接注入到页面里，也就出现了这样一个漏洞。简单举个例子，在搜索引擎里边，我们如果搜索了一个包含html代码的字符串，如果返回的字符串仍然没被编码，那么搜索的内容就不是整个html代码了，而是只想过这个html代码，那就是存在XSS漏洞了。

（3）Dom-Base XSS，即基于DOM的XSS攻击，它是修改页面DOM节点数据信息而形成的XSS跨站脚本攻击，该漏洞多见于客户端脚本，意思就是如果一个js访问需要参数的url，并且需要把信息作用于自己当前的页面，信息又未被编码，就会出现该漏洞。

例如：好多网站在网址后边带个参数（？XXX的），当看到这种情况时候，我们可以在参数后边加个，如果加了这个参数之后，这段script代码不被编码就输出，那就证明它具有这么一个漏洞。
例如：某网站的url中含有？，我们输入http://application.com/xxx.jsp?，如果这个脚本执行了，那么我们就说这是一个XSS漏洞。
（注：含有？只是其中的一个例子，并不是所有Dom-Base XSS都是这种形式）

六、完善的输入检查是预防XSS的重要措施

（摘自http://www.rising.com.cn/newsletter/news/2012-04-25/11387.html）

由于三种XSS跨站脚本攻击类型的漏洞成因可不相同，针对输入输出的检查一部分适用于反射型XSS与存储型XSS，而另外一些检查适用于基于DOM的XSS。

A. 防范反射型XSS和存储型XSS

输入检查在大多数的时候都是对可信字符的检查或输入数据格式的检查，如用户输入的注册账号信息中只允许包括字母、数字、下划线和汉字等，对于输入的一切非白名单内的字符均认为是非法输入。数据格式如输入的IP地址、电话号码、邮件地址、日期等数据都具有一定的格式规范，只有符合数据规范的输入信息才允许通过检查。

输出检查主要是针对数据展示过程中，应该对数据信息进行HTML编码处理，将可能存在导致XSS跨站脚本攻击的恶意字符进行编码，在不影响正常数据显示的前提条件下，过滤恶意字符。常见的可能造成XSS跨站脚本攻击的字符及其HTML编码如下：

“ &quot;‘ &apos;& &amp;< &lt;>  &gt;

除了常用的编码外，任何字符都可以使用其ASCII码进行HTML编码，如

% %* *

B. 防范基于DOM的XSS

从基于DOM的XSS的定义及其触发方式我们发现，当基于DOM的XSS跨站脚本攻击发生时，恶意数据的格式与传统的XSS跨站脚本攻击数据格式有一定的差异，甚至可以在不经过服务器端的处理和相应的情况下，直接对客户端实施攻击行为，因此上述我们应用于防范反射型XSS和存储型XSS的方法并不适用于防范基于DOM的XSS跨站脚本攻击。

针对基于DOM的XSS防范的输入检查方法，我们发现在客户端部署相应的安全检测代码的过滤效果要比在服务器端检测的效果更加明显。例如，我们可以通过如下客户端检测代码来保证用户输入的数据只包含字母、数字和空格，代码如下：

<script>var str = document.URL;str = str.substring(str.indexOf("username=")+9, str.length);str = unescape(str);var regex=/^([A-Za-z0-9+\s])*$/;if (regex.test(str)) document.write(str);</script>

同样，我们也可以通过在服务端实现类似上述数据检查的功能，如在服务器端检测URL参数是否为预定的参数username,并对username参数的内容进行检测，确认数据内容是否为只包含数字、字母和空格符，实现服务端的数据过滤。但是，由于客户端数据的可控性，这种服务端检测的效果要明显弱于客户端检测。

基于DOM的XSS输出检查与反射型XSS漏洞输出检查的方法相似，在将用户可控的DOM数据内容插入到文档之前，Web应用程序应对提交的数据进行HTML编码处理，将用户提交的数据中可能存在的各种危险字符和表达式进行过滤以安全的方式插入到文档中进行展现，如可以通过如下函数实现在客户端javascript中执行HTML编码处理。

function jsEncode(str){ var d = document.createElement('div'); d.appendChild(document.createTextNode(str)); return d.innerHTML;}