《Web应用漏洞侦测与防御：揭秘鲜为人知的攻击手段和防御技术》——第 2 章 HTML 注入及跨站脚本攻击

本节书摘来自华章计算机《Web应用漏洞侦测与防御：揭秘鲜为人知的攻击手段和防御技术》一书中的第2章，作者：(美) 希马(Shema, M.)著， 更多章节内容可以访问云栖社区“华章计算机”公众号查看。

第 2 章 HTML 注入及跨站脚本攻击

大多数网络攻击都是采用跨站脚本（XSS）攻击。这种攻击在站点之间频繁发生，攻击者只需要了解HTML标签和一些肤浅的JavaScript知识，就能彻底击垮站点。跨站脚本攻击的历史和浏览器的历史一样久远，具体时间可以追溯到JavaScript仍被称为LiveScript之时，当时黑客攻击还被简单地描述为“恶意HTML”。本章中，我们将会探索为什么这种攻击仍然如此难以预防，还会介绍现代浏览器和HTML5规范怎样影响攻击者和防御者之间的较量。
还记得邀请苍蝇到它的客厅做客的蜘蛛吗？还记得帮助蝎子渡河的乌龟吗？这些故事都包含了猎手的天真和猎物的肮脏。Internet充斥着陷阱、阴暗的角落、恶意行为，使得随意地浏览网站成为了一种危险的行为。有些网站即便不存在明显的危险，至少也值得高度怀疑，因为它们对浏览器有潜在的敌意。提供盗版软件、免费色情视频、盗版音乐等内容的网站往往遍布病毒或恶意软件，等待着不安全浏览器对它进行访问。这些站点捕食不知情的访问者不足为怪。
恶意内容并不局限于这些边缘站点，也不会让人一眼就能看出来。它会出现在我们认为安全的网站，人们使用这些网站发送电子邮件、处理个人财务、阅读新闻、参与社交网络等。跨站脚本攻击这种典型的网络攻击是广泛且持续存在的顽疾。多亏反病毒信息和操作系统安全设置，使得大多数人对下载和运行不了解的程序非常警惕，而且在人们的电脑上也有足够的警告及保护来阻止带有病毒的可执行程序。
浏览器一直以JavaScript的形式执行代码，你并不清楚这些代码的具体内容，代码的执行也不需要经过你的同意，而且是发生在防病毒软件或其他电脑防御措施的作用范围之外。来自网站的HTML和JavaScript在其信任的沙盒中执行各类操作。浏览器可以显示你收件箱的下一条消息或者显示你银行账户的当前余额，浏览器甚至可以提取你的密码并发送到位于其他国家的服务器上，或者在后台执行转账。从浏览器的角度，所有这些动作都是正常的业务。
2005年10月，一名用户登录到MySpace并读取了某人的个人资料。浏览器执行了那个页面中的JavaScript代码，自动更新了用户自己的个人资料并声明Samy是他们的英雄。然后一个朋友查看了该用户的个人资料，并且在他自己的个人资料上确认Samy确实是“我的英雄”。然后另一个朋友，虽然他既没有听说过也没有见过Samy，访问了MySpace并添加了相同的声明。这种模式持续进行，并呈现爆炸性增长，时间长达24小时，Samy有了超过一百万的朋友，MySpace因流量问题而崩溃。Samy精心制作了一个跨站脚本（XSS），使用了约4000个字符的文本，引发了针对有数千台服务器的公司的拒绝服务攻击，该公司当时的估值大约5亿美元。这次攻击还使得Samy成为了跨站脚本攻击产生的巨大影响的象征（http: //blogoscoped. com/archive/2005-10-14-n81. html为Samy创建者的访谈录）。
你经常被提示向网站重新认证吗？你使用基于Web的电子邮件吗？你曾经在线查看银行账户吗？发送Twitter吗？加某人为好友吗？这些网站中的每一类操作都有XSS漏洞的实例。
HTML注入攻击的威力并不仅仅是惹恼用户（攻破网站对于网站运营商而言就不光是滋扰了），它还可以用于下载键盘记录程序，该程序可用来获取银行和在线游戏的证书。可用HTML注入来获取浏览器的cookie，从而可以在不知道被攻击者用户名和密码的情况下访问他的账户。HTML注入攻击是针对Web浏览器用户的简单但非常危险的攻击的基础。