实验四 跨站脚本攻击

1、网络防护技术实验报告实验四 跨站脚本攻击(XSS)实验班级学号：网络1202班.201258080202 姓 名： 肖娜 实验日期： 2014年11月28日 任课教师： 向凌云 【实验目的】了解 XSS攻击的原理及分类了解 XSS漏洞的危害学习 XSS攻击的简单实现【实验原理】XSS(Cross Site Script)的全称是跨站脚本，其基本攻击原理是：用户提交的变量没有经过完整过滤Html字符或者根本就没有经过过滤就放到了数据库中，一个恶意用户提交的Html代码被其它浏览该网站的用户访问，通过这些Html代码也就间接控制了浏览者的浏览器，就可以做很多的事情，如：窃取敏感信息、引导访问者的浏

2、览器去访问恶意网站等。一、 XSS攻击的两种方式内跨站(来自自身的攻击)主要指的是利用程序自身的漏洞，构造跨站语句。外跨站(来自外部的攻击)主要指的自己构造XSS跨站漏洞网页或者寻找非目标机以外的有跨站漏洞的网页。例如：当我们要渗透一个站点，我们自己构造一个有跨站漏洞的网页，然后构造跨站语句，通过结合其它技术，如社会工程学等，欺骗目标服务器的管理员打开。二、 XSS攻击的危害(1) 针对性挂马这类网站一定是游戏网站，银行网站或者是关于QQ、taobao或者影响力相当大的网站，挂马(网页木马)的目的无非是盗号或者批量抓肉鸡。(2) 用户权限下操作这类网站一般有会员，而且这些会员有很多有意义的操作

3、或者有我们需要的内部个人资料，所以我们可以通过XSS对已登录访问者进行有权限操作。例如：盗取用户cookies，从而获取用户某些信息或者进行权限下的相关操作。(3) DoS攻击这同样需要一个访问量非常大的站点，我们可以通过访问此页的用户不间断的攻击其它站点，或者进行局域网扫描等等。(4) 实现特殊效果譬如在百度空间插入视频、插入版块；还有一些人在新浪博客实现了特殊效果等等。三、 XSS的检测<script>alert(/XSS/)</script>弹出提示框<img src="javascript:alert('XSS')"&g

4、t;弹出提示框<script>alert(document.cookie)</script>弹出用户COOKIES<iframe src=></iframe>在当前页插入另一站点【实验环境】Windows实验台【实验内容】了解跨站脚本，并知道如何发现跨站脚本及如何利用跨站脚本【实验步骤】(1) 打开Windows实验台，然后在IE浏览器中输入http:/localhost/xss-test.asp，此网页可以直接输出文本框中输入的内容。 图1 输入文字(2) 尝试输入任意字母、符号、数字，查看网页。 图2 输入数字(3) 检测能否XSS在输入栏中

5、分别输入：<script>alert(/201258080202肖娜/)</script> /弹出提示框 图3 弹出提示框1<img src="javascript:alert('201258080202肖娜')"> /弹出提示框 图4 弹出提示框2<script>alert(document.cookie)</script> /弹出用户COOKIES 图5 弹出用户COOKIES<iframe src=http:/localhost/xss-test.asp></iframe&g

6、t; /在当前页插入另一站点并查看效果。 图6 在当前页面插入另一站点的页面(4) 设计输入，使采用<iframe>标签内嵌的页面不显示，给出具体输入，并查看效果。输入：<iframe src=http:/localhost/xss-test.asp height=0 width=0></iframe>可以使内嵌页面不显示。 图7 不显示内嵌页面【实验思考】如何防御跨站脚本攻击？答：从网站开发者的角度来看：来自应用安全国际组织OWASP的建议，对XSS最佳的防护应该结合以下两种方法：验证所有输入数据，有效检测攻击;对所有输出数据进行适当的编码，以防止任何已成

7、功注入的脚本在浏览器端运行。具体如下：    1·输入验证：某个数据被接受为可被显示或存储之前，使用标准输入验证机制，验证所有输入数据的长度、类型、语法以及业务规则。    2·强壮的输出编码：数据输出前，确保用户提交的数据已被正确进行entity编码，建议对所有字符进行编码而不仅局限于某个子集。    3·明确指定输出的编码方式(如ISO 8859-1或 UTF 8)：不要允许攻击者为你的用户选择编码方式。    ·注意黑名单验证方式的局限性：仅仅查找或替换一些字符(如"<" ">"或类似"script"的关键字)，很容易被XSS变种攻击绕过验证机制。    4·警惕规范化错误：验证输入之前，必须进行解码及规范化以符合应用程序当前的内部表示方法。请确定应用程序对同一输入不做两次解码。从用