基于模糊测试的漏洞发现 ——跨站脚本模糊测试毕业设计论文.doc

毕业设计（论文）题目名称：基于模糊测试的漏洞发现跨站脚本模糊测试院系名称：计算机学院班 级：网络072班学 号：200700824214学生姓名：李宗辉指导教师：李向东 2011年 06月 iii 论文编号：（200700824214） 基于模糊测试的漏洞发现跨站脚本模糊测试vulnerability discovery based on fuzz testingxss fuzz testing院系名称：计算机学院班 级：网络072班学 号：200700824214学生姓名：李宗辉指导教师：李向东 2011年 06月中文摘要跨站脚本漏洞是web应用程序中最常见的一种漏洞，广泛存在于web应用程序和服务器中，很多计算机病毒、蠕虫等都是利用了跨站脚本，其危害性甚大。怎样发掘web应用程序中跨站脚本漏洞，成了web应用程序开发人员关注的重要问题。本文以web应用程序跨站脚本为研究对象，研究web应用程序跨站脚本漏洞模糊测试技术。论文包括以下研究工作。 首先，分析跨站脚本漏洞成因，重点研究了html，javascript。触发跨站脚本的原因分为以下两种：通过闭合标签触发跨站脚本，通过标签属性传递值触发跨站脚本。跨站脚本分为两种类型：反射型跨站脚本和持久型跨站脚本。然后，使用源代码分析方法发掘跨站脚本。在分析跨站脚本成因时，提出了利用源代码挖掘跨站脚本的方法。用这种方法挖掘跨站脚本是最基础的一种挖掘方法，用分析源代码的方法寻找到若干跨站脚本漏洞。再者，重点分析了模糊测试原理，提出了模糊测试功能需求分析和框架设计，研究了实现模糊测试技术的核心算法。研究了模糊测试技术挖掘跨站脚本漏洞的方法技巧，总结了关键步骤，使用模糊器挖掘若干未知漏洞。最后应用模糊测试技术，发掘未知跨站脚本漏洞，并做收集记录添加在附录c中。本文研究意义为：能迅速挖掘跨站脚本漏洞，能有效测试web应用程序中的跨站脚本。这为继续研究模糊测试web应用程序提供了基础，为构建web应用程序模糊测试系统探索了思路。关键词： web应用程序； 跨站脚本； 模糊测试技术； 模糊器； webfuzzabstractcross-site scripting vulnerability is the most common web applications and servers vulnerability, which widely exists in the internet. many computer viruses and worms are based on cross-site scripts. and the cross-site scripts harm is very serious. so how to explore cross-site scripting vulnerabilities has been the web application developers important concern. the main work what i have done in this paper is the following research:first, what i have done is analyzing the causes of cross-site scripting vulnerability. for this, i mainly focus on the html, javascript knowledge. and as a result, i divide the reasons into the following two situations: triggered by closing tags, or triggered by passing tags property value. and also i find that cross-site scripting vulnerability can be divided into two types: reflected xss and stored xss. second, what i have done is using the source code analysis method to explore cross-site scripting vulnerabilities. when i analyze the causes of cross-site scripting vulnerability, i propose how to use source code method to explore cross-site scripting. it is the most basic method to explore xss by this way. i have found a number of cross-site scripting vulnerabilities with analyzing the source code method. third, what i have done is studying web fuzz testing technique. i introduced the fuzz testing technology, which is the focus of this paper. i also analyzed the theory of the fuzz testing, then i suggested the requirement analysis and the framework of designing. i studied the core algorithms again. at last i summarized the step of exploring cross-site scripting with fuzz testing technology. fourth, i use the fuzz testing technology to explore the unknown cross-site scripting, and do collect in the appendix c. at the end of this paper i have found some unknown xss with the fuzzer.the significance of this research is that we can explore cross-site scripting and test web application fast and efficiently. it provides a foundation for building web applications, for constantly researching fuzz testing technology. key words: web application; cross-site scripting vulnerability; fuzzing testing technology; fuzzer; webfuzz 目 录中文摘要iabstractii目 录iii第1章 前言11.1 研究背景11.2 研究内容21.2.1 web应用程序漏洞21.2.2 模糊测试技术31.2.3 研究现状、存在问题及应用领域31.3 研究任务41.4 论文结构5第2章 跨站脚本分析62.1 跨站脚本概述62.2 跨站脚本成因62.2.1 超文本标记语言62.2.2 javascript82.2.3 跨站脚本产生的原因92.3跨站脚本的分类122.3.1 non-persistent（非持久型）122.3.2 persistent（持久型）122.4跨站攻击与跨站脚本的危害132.4.1 跨站攻击132.4.2 跨站脚本的利用模式132.5本章小结14第3章 web模糊测试技术153.1 http状态码和信息头153.2 模糊测试原理153.3 模糊器功能需求分析163.3.1 请求173.3.2 模糊变量183.3.3 响应183.4 模糊器框架设计183.5 模糊器设计核心函数193.5.1 生成请求193.5.2 sendrequest类203.5.3 接收响应213.6 本章总结22第4章 跨站脚本漏洞挖掘234.1 源代码分析方法挖掘xss234.1.1 正常状态记录234.1.2 返回信息源代码分析244.2 模糊测试方法挖掘xss254.2.1 正常状态记录264.2.2 使用fiddler工具264.2.3 ping目标主机ip地址284.2.4 在模糊器中输入信息294.2.5 开始测试314.2.6 验证准确性324.3 两种测试方法的比较334.4 本章总结33第5章 结 论345.1 模糊测试技术总结345.2 模糊测试发展前景35参考文献36致 谢37附 录38附录a 图目录38附录b 主要源程序39附录c 跨站脚本记录50 49中原工学院计算机学院毕业（设计）论文第1章 前言随着计算机通信技术的飞速发展，web应用程序得到了越来越多的应用。web应用程序的安全性成为了一个复杂性的课题。怎么进行web应用程序安全测试，怎么进行web应用程序漏洞挖掘，已经成为web应用程序开发者和web应用程序安全维护者关心的重要议题。本篇论文将用最新的web应用程序漏洞发掘技术模糊测试技术，对web应用程序中跨站脚本漏洞进行挖掘。1.1 研究背景2010年8月中国互联网络中心cnnic发布中国互联网发展现状报告。报告显示，中国网民规模持续增长，互联网应用深度不断提升，商务类应用成为新的增长点。其中网上支付、网络购物、网上银行增长最为强劲。企业借助互联网进行商务活动的价值日益凸显，企业利用互联网的积极性不断提高，企业在互联网上的投入也不断提高，包括建站、交易平台入驻、网络营销等。由此可见，网络已经成为发布信息，获得信息，资源下载，网络应用，电子消费，电子政务等等的重要平台，而建立在庞大、集成的网络基础上的多平台、网络化、充分集成的web应用程序已成为上述业务最流行的处理模式。但与此同时，承载着重要而丰富功能与用途的web应用和服务器也成为恶意用户与黑客等攻击者的主要目标。因此，如何确保web应用程序的安全已成为企业，政府，特别是金融系统、电子政务和电子购物系统所面临的主要挑战。为了防止政府系统、企业用户、广大个人用户成为web应用程序安全性问题的受害者，应该关注web应用程序和服务器的安全性问题。作为普通用户不应该利用web应用程序和服务器的安全性问题危害公众利益，作为技术人员应该维护web应用程序和服务器的安全性，作为开发人员应该将web应用程序和服务器的安全性放到重要位置。这对计算机通信技术的发展来说是很重要的。对web应用程序和服务器的安全性的关注，其中最重要的一个方面是对其进行安全性测试，发掘其中存在的安全漏洞。可以采取很多不同的方法进行安全性测试，从大的方面来说可以分为白盒测试和黑盒测试两个方面，web应用程序模糊测试技术是黑盒测试的一种，是自动化的黑盒测试技术。它是通过提供非预期的输入并监视异常结果来发现web应用程序故障的方法。1.2 研究内容本小节将讲述web应用程序和web应用程序漏洞的有关知识，然后介绍什么是web应用程序和服务器模糊测试技术，并介绍web应用程序和服务器模糊测试技术的研究现状、存在的问题和应用领域。1.2.1 web应用程序漏洞web应用程序（web application）是指用户界面驻留在web浏览器中的任何应用程序，包括内容管理系统（cms）、wiki百科、门户网站、电子公告板、论坛等。它基于web运行，是浏览器-服务器架构的典型产物。web应用程序漏洞特指由于开发者编码不慎、没有对用户的输入进行充分验证和过滤而引入的漏洞，它主要包括跨站脚本（xss）、sql 注入、远程文件包含（rfi）、跨站请求伪造（csrf）、目录遍历等。 致力于提高web应用程序安全性的开放社群owasp（open web application security project，开放web应用程序安全项目）在2010年4月19日公布的owasp十大互联网应用程序风险（owasp top 10 for 2010）依次是：a1: injection注入攻击a2: cross-site scripting (xss)跨站脚本a3: broken authentication and session management失效的身份认证和会话管理a4: insecure direct object references不安全的直接对象引用a5: cross-site request forgery (csrf)跨站请求伪造a6: security misconfiguration安全配置错误a7: insecure cryptographic storage不安全的加密存储a8: failure to restrict url access没有限制url访问a9: insufficient transport layer protection传输层保护不足a10: unvalidated redirects and forwards未验证的重定向和转发十大风险的名称有的来自于攻击的类型，有的来自于漏洞，而有的来自于所造成的影响。攻击者可以通过应用程序中许多不同的路径方法去危害你的业务或者企业组织。每种路径方法都代表了一种风险。不同的路径方法，所利用的web应用程序安全漏洞就有可能不同。如下图1-1就是利用不同web应用程序安全漏洞产生风险的过程图： 图1- 1 利用不同web应用程序安全漏洞产生风险过程图1.2.2 模糊测试技术模糊测试技术，又被称为fuzzing，它是通过提供非预期的输入并监视异常结果来发现web应用程序故障的方法。是一种广为使用的自动化的漏洞挖掘技术，它是一种特殊的动态测试方法。模糊测试技术可以被定义为通过提供非预期的输入并监视异常结果来发现软件故障的方法。模糊测试技术是近几年兴起的漏洞挖掘技术。最初用来测试操作系统及其上应用软件的健壮性，后来被应用于漏洞挖掘中。fuzzing技术是一种高度自动化的，高效的漏洞挖掘技术。web应用程序自动化的模糊测试是模糊测试技术的延伸，是一种特殊形式的网络协议模糊测试，特别关注于遵循http规范的包。是一种黑盒测试，在很大程度上是一种强制性的技术，把能够想到的所有的东西都抛给被测目标，然后监视结果。结合web应用程序安全性测试的特点以及自动化的模糊测试的特点，会看到自动化的模糊测试技术在发掘web应用程序上的方便性和有效性。事实证明自动化的模糊测试技术能够发掘web应用程序中隐藏的用其他方法难以发掘的漏洞。1.2.3 研究现状、存在问题及应用领域研究现状：到目前为止，web应用程序的模糊测试技术取得了一定的进展，但是这项技术仍然在初级阶段，大部分工具仍然是相对较小的项目，由几个人组成的小组甚至一名程序员来维护，未来的模糊测试将会有许多革新和发展，模糊测试还会发展到新的阶段。这些年，模糊测试已经开始从学术研究向商业应用方向发展，有越来越多的开发人员开始接受模糊测试技术。使用模糊测试技术，研究人员已经开发了不少的应用于web应用程序漏洞的挖掘的模糊器，例如有spike代理，webscarab，spi模糊器，codenomicon http测试工具，bestormolu等等，这些都是优秀的基于模糊测试技术的具有发掘web应用程序和服务器漏洞功能的模糊器。存在的问题：但是这些工具大多是商业应用的测试工具，而本课文题在研究使用模糊测试技术发掘web应用程序和服务器漏洞时，所涉及的模糊器webfuzz是一款免费开源的专门针对web应用程序和服务器漏洞挖掘的工具。这款工具具有良好的可扩展性，它提供了一个可以而且应当被进一步创建的架构。其相关资料和源代码可以在网站中获得。应用领域：web应用程序和服务器的模糊测试器webfuzz可应用于网站开发的安全测试和web应用程序和服务器开发的安全测试。它用于发掘web应用程序和服务器中的目录遍历漏洞，缓冲区溢出漏洞，sql注入漏洞，xss脚本漏洞等。1.3 研究任务本文的研究任务主要包括：web应用程序跨站脚本分析、web应用程序漏洞挖掘模糊测试技术研究、跨站脚本重现研究、跨站脚本探索挖掘研究四个部分。研究任务表如下表1-1所示：表1-1研究任务表脚本漏洞分析webfuzz技术研究脚本漏洞重现脚本漏洞探索脚本漏洞介绍webfuzz介绍熟悉webfuzz探索未知漏洞脚本漏洞触发原理webfuzz原理重现漏洞对比不同的技术研究的技术路线如下图1-2： 图1- 2 拟采用的研究技术路线跨站脚本分析：首先学习跨站脚本定义，明确跨站脚本分类，分析跨站脚本触发原理。进而研究跨站脚本攻击向量的构造方法，以及变换形式。并在此基础上进一步理解和总结跨站脚本成因。web模糊测试技术分析：首先学习模糊测试技术的基本原理知识，在此基础上研究本文提出的web应用程序模糊器webfuzzer。分析本模糊器的工作原理，掌握本模糊器的使用方法。跨站脚本重现研究：不断总结发掘跨站脚本的方法，更深理解其触发原理。不断掌握模糊器webfuzzer的使用，构建发掘web应用程序跨站脚本的发掘环境，并会利用webfuzzer重现已知的漏洞。跨站脚本探索研究：不断总结web应用程序跨站脚本的形成原理，掌握web应用程序模糊器webfuzzer发掘跨站脚洞的工作原理，总结和其他发掘工具相比时的优势。利用webfuzzer探索发掘未知的跨站脚本。总结探索发现跨站脚本的过程，用合理的方法收集已发现的跨站脚本。1.4 论文结构本次论文的文章架构如下：第1章，前言部分，总体上介绍研究任务，说明项目内容，介绍相关背景等；第2章，跨站脚本分析部分，本章深入分析跨站脚本成因及其他与跨站脚本有关的知识；第3章，web模糊测试技术，本章深入探讨web模糊测试技术的原理，提出功能需求分析、和框架设计，深入分析模糊器设计的核心函数算法；第4章，利用学到的知识对跨站脚本挖掘，这里用了源代码分析的方法和模糊测试的方法；第5章对全文进行总结。第2章 跨站脚本分析来自owasp的2010年web应用程序面临的十大安全风险报告显示：跨站脚排名第二。而在以往的报告中，跨站脚本则一直稳居第一。由此可见跨站脚本在web应用程序中是很常见而且是危害很大的一类漏洞，本章重点介绍这一类web应用程序漏洞。从跨站脚本概述到成因，全面介绍跨站脚本。2.1 跨站脚本概述xss的全称是cross site scripting，意思是跨站脚本.这第一个单词是cross，但因为css是层叠样式表的缩写（cascading style sheets）的缩写，同时cross发音和x相似，所以为了避免混淆用x来代替缩写成xss。跨站点脚本（xss）是一个典型的web应用程序计算机安全漏洞。允许攻击者绕过客户端的安全机制，可以使恶意攻击者将客户端脚本注入到其他用户浏览的网页里。截止到2007年，赛门铁克公司所记录的安全记录中有80%为跨站脚本，它的影响范围可以从一个小小的滋扰到一个重大的安全风险。owasp公布的2004年和2007年十大网络安全漏洞中，跨站脚本都高居首位，最新公布的2010年十大安全风险也为第二位，跨站脚本一直以来都是最常见的安全漏洞。2.2 跨站脚本成因2.2.1 超文本标记语言a超文本标记语言概述要了解xss的触发原理就先得从html（超文本标记语言）开始。html（超文本标记语言）是描述网页的一种语言。不是一种编程语言，而是一种标记语言，是由一套标记标签组成的，html使用标记标签来描述网页。html文档包含html标签和纯文本，是网页的文字形式。html文档由html元素定义， html元素是指从开始标签到结束标签的所有代码。html元素以开始标签开始以结束标签终止，元素内容是开始标签和结束标签之间的内容。b超文本标记语言标签html标签标记html文档和html元素，浏览器通过这些标签来识别文档和元素的显示格式。由开始标签和结束标签组成，开始标签是被尖括号包围的元素名，结束标签是被尖括号包围的斜杠和元素名。某写html元素没有结束标签。下面简单介绍一下常用的html标签。html文档标签：html文档是从标签开始的，结束标签为。 与 之间的文本描述网页。html文档头标签：html文档头标签用于定义文档的头部。文档的头部描述了文档的各种属性和信息，包括文档的标题、在 web 中的位置以及和其他文档的关系等。绝大多数文档头部包含的数据都不会真正作为内容显示给读者。html标题标签：html标题标签 元素可定义文档的标题。浏览器会以特殊的方式来使用标题，并且通常把它放置在浏览器窗口的标题栏或状态栏上。同样，当把文档加入用户的链接列表或者收藏夹或书签列表时，标题将成为该文档链接的默认名称。html的主体标签：html文档的主体是由标签进行定义的，和结束标签分别为。 与 之间的文本是可见的页面内容。网页中文章标题标签：网页中文章的标题是用标签 - 定义的。 定义最大的标题。 定义最小的标题。c超文本标记语言属性同时，html 标签可以拥有属性。属性提供了有关 html 元素的更多的信息。属性总是以名称/值对的形式出现。比如name=value属性总是在html元素的开始标签中定义。下面三个是标签属性举例。链接标签的属性href指定链接地址：this is a link标题标签中的属性align指定标题的对齐方式。主体标签中的属性bgcolor指定文档的背景颜色。定义属性时要注意：始终为属性值加引号，属性值应该始终被包括在引号内。双引号是最常用的，不过使用单引号也没有问题。在某些个别的情况下，比如属性值本身就含有双引号，那么您必须使用单引号。d超文本标记语言事件html 事件可以触发浏览器中的行为，比方说当用户点击某个 html 元素时启动一段 javascript。在现代浏览器中都内置有大量的事件处理器。这些处理器会监视特定的条件或用户行为，例如鼠标单击或浏览器窗口中完成加载某个图像。通过使用客户端的 javascript，可以将某些特定的事件处理器作为属性添加给特定的标签，并可以在事件发生时执行一个或多个 javascript 命令或函数。事件处理器的值是一个或一系列以分号隔开的 javascript 表达式、方法和函数调用，并用引号引起来。当事件发生时，浏览器会执行这些代码。例如，当您把鼠标移动到一个超链接时，会启动一个javascript 函数。支持 javascript 的浏览器支持 标签中的一个特殊的 mouse over事件处理器 - 被称为 onmouseover 来完成这项工作：。2.2.2 javascriptajavascript概述javascript是一种基于对象和事件驱动并具有相对安全性的客户端脚本语言。同时也是一种广泛用于客户端web开发的脚本语言，常用来给html网页添加动态功能，比如响应用户的各种操作。javascript 由数行可执行计算机代码组成。javascript 通常被直接嵌入 html 页面。javascript 是一种解释性语言，这就是说，代码执行不进行预编译。bjavascript功能javascript 为 html 设计师提供了一种编程工具。javascript 是一种只拥有极其简单的语法的脚本语言，可以将短小的代码片断放入html 页面当中。javascript 可以将动态的文本放入 html 页面，可以将 javascript 设置为当某事件发生时才会被执行，例如页面载入完成或者当用户点击某个 html 元素时。javascript 可以读写 html 元素。javascript 可以读取及改变 html 元素的内容。javascript 可被用来验证数据，在数据被提交到服务器之前，javascript 可被用来验证这些数据。javascript 可被用来检测访问者的浏览器，javascript 可被用来检测访问者的浏览器，并根据所检测到的浏览器，为这个浏览器载入相应的页面。javascript 可被用来创建 cookies，javascript 可被用来存储和取回位于访问者的计算机中的信息。cjavascript标签html的标签用于把javascript插入到html页面当中。如果需要把一段 javascript 插入 html 页面，需要使用 标签（同时使用 type 属性来定义脚本语言）。这样， 和 就可以告诉浏览器 javascript 从何处开始，到何处结束。djavascript放置位置javascript放置的位置。你可以在文档中放置任何数量的脚本，因此你既可以把脚本放置到 body，又可以放置到 head 部分。当页面载入时，会执行位于body部分的javascript；当被调用时，位于head部分的javascript才会被执行，也就是将脚本内容或者成为函数写到head部分，在载入页面的时候会先将脚本内容载入，然后再在后面的执行过程中调用脚本内容，body部分的脚本内容会在载入页面的时候就执行；还有一种是访问外部脚本，可以把 .js 文件放到网站目录中通常存放脚本的子目录中，这样更容易管理和维护。ejavascript语句javascript语句。javascript 语句是发给浏览器的命令。这些命令的作用是告诉浏览器要做的事情。下面主要列举几种常用语句：声明（创建）javascript变量：在 javascript 中创建变量经常被称为“声明”变量。可以通过 var 语句来声明 javascript 变量。javascript消息框：可以在 javascript 中创建三种消息框：警告框、确认框、提示框。警告框：警告框经常用于确保用户可以得到某些信息。当警告框出现后，用户需要点击确定按钮才能继续进行操作。语法格式为：alert(文本)。确认框：确认框用于使用户可以验证或者接受某些信息。当确认框出现后，用户需要点击确定或者取消按钮才能继续进行操作。如果用户点击确认，那么返回值为 true。如果用户点击取消，那么返回值为 false。语法格式为：confirm(文本)。提示框：提示框经常用于提示用户在进入页面前输入某个值。当提示框出现后，用户需要输入某个值，然后点击确认或取消按钮才能继续操纵。如果用户点击确认，那么返回值为输入的值。如果用户点击取消，那么返回值为 null。语法格式为：prompt(文本,默认值)。 fjavascript事件javascript中的事件。javascript 使有能力创建动态页面。事件是可以被 javascript 侦测到的行为。网页中的每个元素都可以产生某些可以触发 javascript 函数的事件。比方说，可以在用户点击某按钮时产生一个 onclick 事件来触发某个函数。事件在 html 页面中定义。列举一些javascript事件如下：鼠标点击；页面或图像载入；鼠标悬浮于页面的某个热点之上；在表单中选取输入框；确认表单；键盘按键等。2.2.3 跨站脚本产生的原因跨站脚本产生的原因，是web应用程序过度信赖用户的输入，cgi程序没有对用户提交的变量中的html代码进行过滤和转换。cgi输入有两种形式，显示输入和隐式输入。其中显示输入明确要求用户输入数据，而隐式输入则本来并不要求用户输入数据，但是用户却可以通过输入数据来进行干涉。显示输入又可以分为两种，输入完成立刻输出结果；输入完成先存储在文本文件或数据库中，然后再输出结果，后者可能会让网站面目全非。从引起跨站脚本的触发原因分为以下两种。a闭合标签浏览的网页全部都是基于超文本标记语言html创建的html文档。xss的原理也就是往html文档中注入脚本，html指定了脚本标记。在没有过滤字符的情况下，只需要保持完整无错的脚本标记即可触发xss，假如在某个资料表单提交内容,表单提交内容就是某个标记属性所赋的值，可以构造闭合标记来构造完整无错的脚本标记。例如html文档中的一个超链接：it168安全频道就可以构造闭合标记：alert(xss);结果形成了alert(xss);。这样就产生了跨站脚本。综上所述，测试闭和表单赋值所在的标记，形成完整无错的脚本标记可触发xss。b 标签属性赋值有些时候是没有脚本标记的，这时可以利用其他标记，假如要在网页里显示一张图片，那么就要使用一个标记，示例如下：img标记并不是真正地把图片给加入到html文档把两者合二为一，而是通过src属性赋值。那么浏览器的任务就是解释这个img标记，访问src属性所赋的值中的url地址并输出图片。浏览器不会检测src属性所赋的值，这时可以利用javascript脚本语言的一个url伪协议，触发跨站脚本。url伪协议说明符为”javascript：”，这种协议说明符加上任意的javascript代码，当浏览器装载这样的url时，便会执行其中的代码。于是就得出了一个经典的xss示例：构造过程如下：首先寻找到没有验证和过滤客户端输入的输入图片处，然后用记事本写下如下代码：，然后修改创建的文件的格式为可以上传的图片的格式，这样便有可能触发跨站脚本，如下图2-1： 图2- 1跨站脚本触发图当然并不是所有标记的属性都能用，标记的属性在访问文件才触发的xss，离开标记的属性还有事件能帮助触发xss。只有达到某个条件才会引发事件，正巧img标记有一个可以利用的onerror()事件，当img标记内含有一个onerror()事件而正好图片没有正常输出便会触发这个事件，而事件中可以加入任意的脚本代码，其中的代码也会执行.现在又得到了另外一个经典的xss示例：这种情况下触发漏洞的过程如下：首先在记事本文本中输入上面的代码，然后将文件名修改为可以上传的图片格式，这是在加载图片的时候，不能找到正确的图片url，于是触发事件onerror，从而触发的弹框xss漏洞。c 跨站脚本成因总结由此可见，触发一个xss漏洞就是利用web应用程序中程序员的失误，通过客户端影响web服务器的输出，即修改web服务器传送给客户端的html，而要达到触发一个xss跨站脚本的目的，就必须从用户的输入入手，将输入值插入到服务器返回给的html文档中，这个输入值是包含html语言或者javascript语言或者其他脚本语言的合法的值，这个输入值没有被gui程序检验和过滤。构造出完整无错的脚本标记。构造的过程可能是：直接构造出完整无错的脚本标记，或者通过访问文件的标记属性和触发事件来构造。 需要补充一点的是，web应用程序在开发过程中，是应该采用一定的安全策略的。那就是当javascript的使用者同时开启多个浏览器视窗时，在有些时候，网页里面的片段程式码被允许从另一个网页取出，所以某些恶意网站可以用这个方法来尝试窃取机密信息。这应当是被禁止的，为了解决这个问题，浏览器采用了允许来自相同网域名称系统和使用相同协定的网页之间进行互动，而不允许不相同网域域名系统和使用不相同协定的网页之间进行互动，这样就使得恶意网站无法借由javascript在另一个浏览器窃取机密资料。这就是使用“同源策略”保护受害者免受恶意的危害。然而有些网站不能正确实现同源策略或者说同源策略本身也存在弱点，攻击者就可以利用这些去发现可以巧妙的注入恶意指令码到其他网页的方法，从而可以得到更高的特权，窃取机密的网页内容、会谈的cookie、以及许多其他的物件。2.3跨站脚本的分类上面一小节已经详细阐述了跨站脚本的成因，下面将阐述一下跨站脚本的分类。跨站脚本的实质是注入的问题，现在并没有一个单一的，标准的分类方法。但是许多专家将跨站脚本分为至少两大类：non-persistent（非持久型）和persistent（持久型）。2.3.1 non-persistent（非持久型）这种跨站脚本又被称为反射型跨站脚本。如果web客户端提供的数据立即被服务器端脚本所使用，生成并返回给用客户端结果页面，而服务器端脚本在使用这些数据之前没有正确的审查这些数据。就有可能导致客户端代码注入到返回的结果页面中。如web客户端提供的http查询参数或者提供的html表单未被正确的审核却被立即使用时。一个典型的例子是一个网站的搜索引擎：搜索一个字符串，搜索的字符串又被原封不动地重新显示在结果页中逐字说明是什么搜索。如果搜索引擎没有对搜索的字符串进行正确的审核，就有可能导致一个非持久型的跨站脚本。本文将重点研究此种类型的漏洞。 针对此类漏洞，攻击者可以构造具威胁性的攻击代码，并骗取受害用户点击生成的链接，从而危害到用户的安全。2.3.2 persistent（持久型）持久型跨站脚本又被称为存储型跨站脚本，它是一个跨站脚本更具破坏力的变体：攻击者提供的数据被保存在服务器中，然后在其他用户常规的浏览过程中，持久地显示在返回给用户的正常的网页结果中。这种类型的跨站脚本的执行过程和非持久型的执行过程类似，但是它的危害更加严重，因为攻击者的脚本自动提交，而不需要引诱目标受害人点击攻击者的第三方网站。而且，攻击者利用持久型跨站脚本时，只需要进行一次脚本注入就能引发多次攻击事件。跨站脚本蠕虫便是利用这类漏洞编写的。尤其是在社交网站的情况下，代码将进一步设计并自行在账户上宣传，营造出一个客户端的蠕虫病毒类型。2.4跨站攻击与跨站脚本的危害2.4.1 跨站攻击跨站攻击，即cross site script execution(通常简写为xss)是指攻击者利用网站程序对用户输入过滤不足，输入可以显示在页面上对其他用户造成影响的html代码，从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。利用跨站脚本进行跨站攻击，一般会有以下几种危害：a 获取其他用户cookie中的敏感数据b 屏蔽页面特定信息c 伪造页面信息d 拒绝服务攻击e 突破外网内网不同安全设置f 和其他漏洞结合，修改系统设置，查看文件系统，执行系统命令等g其他2.4.2 跨站脚本的利用模式针对每一类漏洞不同的特点，攻击者利用上述几类跨站点脚本漏洞时会有特定的利用模式。下面将分别叙述。非持久型跨站脚本的典型利用模式如下：aalice经常浏览bob所有的某个网站。alice使用自己的用户名和口令进行登录，并储存了敏感信息（如：银行账户信息）；bmallory发现bob的站点中存在反射型跨站脚本；cmallory构造一个利用f此漏洞的恶意url，并将其冒充为来自bob的邮件发送给alice；galice在登录到bob的站点后，打开了mallory提供的url；h嵌入到url中的恶意脚本会在alice的浏览器中执行；而对alice而言，这段脚本就像直接来自bob的服务器一样。此脚本会窃取alice的敏感信息，然后在alice完全不知情的情况下将这些信息发送到mallory的站点或信箱中。持久型跨站脚本的典型利用模式如下：abob拥有一个web站点，这站点允许用户发布信息，同时浏览已发布的信息；bmallory注意到bob的站点中存在存储型跨站脚本；cmallory发布一个热点信息，诱导其它用户点击阅读；d大量用户在浏览此信息时，其会话cookies或者其它证书在不知不觉中被mallory盗走；emallory以其它用户的身份登录站点，继续发布恶意信息。2.5本章小结本章跨站脚本分析介绍了跨站脚的相关理论知识，尤其是从漏洞产生的根源深入分析了跨站脚本的成因，然后又分别介绍了跨站脚本的分类和跨站脚本的危害。其中跨站脚本产生的原因是深入理解模糊测试技术的一个重要的基础。第3章 web模糊测试技术模糊测试技术是国际上最近兴起的漏洞挖掘技术，以其自身的方便性和有效性迅速得到了广大技术人员的青睐，web模糊测试技术是一种自动化的黑盒测试技术，在web应用程序安全测试过程中和web应用程序漏洞挖掘过程中的重要作用得到了越来越多的人的重视。3.1 http状态码和信息头当一个web服务器响应一个请求时，它包含一个三位数字码以确定请求的状态。状态码的完整列表可以在rfc2616超文本传输协议http/1.1 的第十部分找到。这些状态码可以提供线索以确定哪些模糊请求需要进一步加以研究。例如，internet服务器错误的状态码500可能会提示前面的模糊请求导致了服务器的错误。同样，未授权错误的状态码401则提示一个被请求的页是存在的，但是是受密码保护的。已经提到html状态码是一个非常重要的信息，因为它们对初始请求的成功或失败提供了一种快捷的可视化的指示。因此，webfuzz解析原始响应以识别状态码，然后该状态码被单独显示在一个表中以详细描述所有的响应。使用此信息，用户可以迅速的识别出应当被进一步详细研究的那些响应。 http协议定义了许多头信息，而每个头信息则有一些可以接受的值。本课题中研究的有如下一些： accept头信息：指定了可以在响应中使用的媒体类型。 accept-language：允许用户指定可以在响应中使用的自然语言的类型。 user-agent：定义了发出请求的客户端（web浏览器）。 host头信息：该头信息定义了为被请求的web页提供服务的主机和端口。 connection头信息：允许客户端指定连接所需要的不同选项。 cookies：可以在计算机的本地硬盘或者内存中被保存一段指定的时间，当前任务完成之后它们将被抛弃。 这些头信息都可以被作为模糊化测试的变量。3.2 模糊测试原理fuzzing，模糊测试技术是指，通过模糊器，产生大量半有效数据，将其作为输入内容发送给应用程序，并观察在运行过程中是否有可能发生诸如崩溃、信息泄露、延迟等各种错误，从而判定该应用程序中是否存在漏洞的技术；其通用工作流程如图3-1所示。图3- 1 模糊器通用工作流程图在一定意义上，可以将fuzzing技术视为一种测试的内容均为负面情形的软件质量测试技术。fuzzing技术在大多数情况下用于发现安全漏洞，从而增强应用程序的可靠性。3.3 模糊器功能需求分析web应用程序模糊测试是一种特殊形式的网络协议模糊测试，网络协议模糊测试将任意的网络包进行变异，而web应用模糊测试则特别关注于遵循http规范的包。将应用所学的知识，开发一个图形化的web应用模糊器webfuzz，下面来介绍一下该应用程序的功能需求。3.3.1 请求对一个web应用进行模糊测试，需要有一种方式来向它发送请求，通常情况下，使用一个web浏览器同web服务器进行通信，它知道如何利用http进行通信，并且能够将所有杂乱的细节信息组装成一个http请求，当使用模糊器进行测试的时候，需要这些信息，来改变请求的所有方面，因此需要将原始请求暴露给终端用户，并允许对其中的任何部分进行模糊化。该请求包括以下字段：主机，端口，超时，请求头，其中将请求的所有组成部分保持在一个段可写的文本字段中，从而从终端控制请求的各个方面。各字段介绍如下：a. 主机目标机器的名字和ip地址是所需要的一个字段。对一个web应用进行模糊测试，需要知道webfuzz向何处发送请求。这不是一个可以进行模糊测试的字段。b. 端口：尽管web应用在默认情况下运行在tcp端口80，然而它们也可以方便的运行在其它任意的tcp端口。实际上，通常将web应用设计为提供一个基于web的管理控制台，以使其运行在一个可选的端口而不干扰主要的web服务器。同主机名一样，端口字段也是告诉webfuzz向何处发送请求，同时，它也不是一个可以进行模糊测试的字段。c. 超时由于的目的是发送非标准的web请求，因此，目标应用程序通常不会以一种及时的方式来作出响应。因此，包含了一个用户定义的、以毫秒计的超时值。当记录一个请求的响应超时时，这种记录