安全宝典：应该了解的跨站脚本十二问

goodluck

<div><font size="2">　　</font></div><div><font size="2">　　</font></div><div><font size="2">　　作为网站的业务管理者，在欣赏自己为客户提供的丰富业务和趣味性体验时，你是否曾经想过网站会成为攻击者攻击第三方的媒介，从而导致公信度大为受损?作为一个网站的访客，你是否曾经想过在访问这个自己再熟悉不过的网站时，你的私密信息已经被他人窃取?</font></div><p><font size="2">　　这些都与跨站脚本攻击有关。下面让我们详细了解这类攻击。</font></p><p><font size="2">　　<strong>Q1：什么是跨站脚本?</strong></font></p><p><font size="2">　　跨站脚本(Cross-site scripting，简称XSS)，是一种迫使Web站点回显可执行代码的攻击技术，而这些可执行代码由攻击者提供、最终为用户浏览器加载。不同于大多数攻击(一般只涉及攻击者和受害者)，XSS涉及到三方，即攻击者、客户端与网站。XSS的攻击目标是为了盗取客户端的cookie或者其他网站用于识别客户端身份的敏感信息。获取到合法用户的信息后，攻击者甚至可以假冒最终用户与网站进行交互。</font></p><p><font size="2">　　XSS漏洞成因是由于动态网页的Web应用对用户提交请求参数未做充分的检查过滤，允许用户在提交的数据中掺入HTML代码(最主要的是“>”、“&lt;”)，然后未加编码地输出到第三方用户的浏览器，这些攻击者恶意提交代码会被受害用户的浏览器解释执行。</font></p><p><font size="2">　　<strong>Q2：XSS缩写来源?</strong></font></p><p><font size="2">　　依照英文缩写习惯，简称跨站脚本为CSS。这样会引起它和另一个名词“层叠样式表”(Cascading Style Sheets，CSS)的混淆。此CSS非彼CSS。为了以示区别，一些安全人士就习惯将跨站脚本简称为XSS。[2]</font></p><p><font size="2">　　<strong>Q3：XSS存在哪些威胁?</strong></font></p><p><font size="2">　　攻击者可以利用XSS漏洞、借助存在漏洞的Web网站攻击其他浏览相关网页的用户，窃取用户浏览会话中诸如用户名和口令(可能包含在cookie里)的敏感信息、通过插入恶意代码对用户执行挂马攻击。XSS漏洞还可能被攻击者用于网页篡改，只是多数情况为了经济利益最大化，攻击者不会直接进行篡改。</font></p><p><font size="2">　<strong>　Q4：XSS漏洞的普及率有多高?</strong></font></p><p><font size="2">　　国际Web应用安全组织WASC(Web Application Security Consortium)最新数据[4]表明，采样分析了10297个网站，其中有31.47%站点存在XSS漏洞，且XSS在发现的漏洞中占到总数的41.41%，高居榜首。</font></p><p><font size="2">　　 </font></p><center><font size="2"><img alt="" src="http://tech.ccidnet.com/col/attachment/2009/4/1777423.jpg" width="500" height="238" /></font></center><p><font size="2"></font></p><p><font size="2">　　图1. 最为普及的Web应用安全漏洞[4]</font></p><p><font size="2">　　<strong>Q5：能否列举XSS实例?</strong></font></p><p><font size="2">　　2005年，一位叫Samy的MySpace用户自创了一种XSS蠕虫，24小时内，其网络空间朋友数目成功从73上升到1百万。[5]</font></p><p><font size="2">　　2006年，PayPal遭到XSS攻击，攻击者将PayPal站点的访问者重定向到一个新的页面，上面警告用户他们的帐号已经不再安全，需要重新设置，并提示输入PayPal的登录信息、用户社保信息及信用卡信息。[6]</font></p><p><font size="2">　　2008年5月，eBay承认其PayPal页面存在XSS漏洞，该漏洞会被攻击者用于盗取用户证书或cookie。[7]Q6：攻击者如何通过XSS攻击偷取cookie?</font></p><p><font size="2">　　在此，仅做举例说明，帮助读者理解XSS攻击的思路。本文中的例子来自[1]。</font></p><p><font size="2">　　首先，让我们假设：存在一个网站www.vulnerableexample.com。该网站上有一个脚本welcome.cgi，参数设定为name。此脚本会读取HTTP请求的部分，然后未做任何安全性验证，就将请求内容部分或全部回显到响应页面。</font></p><p><font size="2">　　通常，如果用户端发送以下请求：</font></p><p><font size="2">　　GET /welcome.cgi?name=Sammi HTTP/1.0</font></p><p><font size="2">　　Host: www.vulnerableexample.com</font></p><p><font size="2">　　服务器将会有如下响应：</font></p><p><font size="2">　　</font></p><p><font size="2">　　</font></p><p><font size="2">　　Hi Sammi</font></p><p><font size="2">　　<br />                Welcome!</font></p><p><font size="2">　　...</font></p><p><font size="2">　　</font></p><p><font size="2">　　弹出Alert窗口示例</font></p><p><font size="2">　　上述机制将如何为攻击者所利用呢?我们先列举一个直观的方法。通常，攻击者会应用社会工程学(Social Engineering)设法诱骗受害者点击由攻击者精心构造的链接，如发送一封标题为“免费听林肯公园北京现场演唱会”的邮件J。</font></p><p><font size="2">　　攻击者构造的恶意链接如下：</font></p><p><font size="2">　　http://www.v

星☆雨

联想：做人不顶帖，天下会怎么样？

说的不错

期待~~

楼主出门来财，儿孙满堂！

流星的美

汇仁肾宝：他顶我也顶

不属于

日出而作，日落而写作。

储云

最近比较倒霉

听听海

龙剑飞的如来神掌最后一式改 为万佛朝顶

上官

天公有大 美而无言

罗金

全国人民代表大会所有委员一致通过将你的精神写进 宪法让全国人民来一起围着你狂顶

NSX

不错，看看。

淡无盐

不错!

帮你项项吧

凌波微步

在线等在线等

卡多佐

安踏：我顶帖，我喜欢