`

跨站脚本攻击-----为什么要过滤危险字符串

 
阅读更多
不算前言的前言
好像已经很久没有写过安全方面的文章了,所谓安全圈子里面,大家也许认为玄猫消失了,不过,我想,作为骇客的玄猫也许从来没有出现过吧。没错的,我是玄猫,如果前两年你看过《黑客X档案》或者《黑客手册》这样的民间安全杂志,那么你也许见过这个名字。
或者,很抱歉的,你的站点有时会出现过“玄猫啊玄猫……”这样的提示框或者文字,那么我很遗憾,我写的漏洞利用工具被人滥用到你的网站上了,蓝色理想里的程序员、站长想必不少,我在这里也向你道个歉。

什么是跨站脚本攻击
OK,我们就进入正文吧。按照惯例,我先给出“跨站脚本攻击”的“官方定义”。
跨 站攻击,即Cross Site Script Execution(通常简写为XSS)是指攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用 户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。
在这个定义里面提到了三个要点:
第一、       What-为什么会产生跨站脚本攻击。
跨 站脚本攻击的产生是因为程序员在写程序时候的考虑不周,当然,也可能是根本没有考虑。安全方面有一句著名的话叫做,“永远也不要相信用户的输入”。看到这 里,作为普通用户的你,先别急着鄙视我对你的不信任,作为可用性专家的你,也别急着骂我不重视用户,作为程序员的你,要去用凉水洗把脸,精神一下了。
你在以前写程序时,有没有考虑,用户所输入的内容显示在网站上时,会不会有什么问题呢。
什么问题?先抛开我这里的主题跨站脚本攻击而言,你有没有发现,有时用户输入的内容,导致了你的页面变形?这时你除了说,Oh,这个用户真麻烦之外,是否还考虑,为什么会变形呢。
我们举个实例来说,你写了一个页面,用来显示用户输入的文章,这里显示用户部分的地方是这样的:
<div id="content"><%=sArticleContent'这里我们假设这个变量是从数据库里面取出的用户输入的文章内容%></div>
如 果用户输入的都是像我这篇文章一样的普通文字,那么自然是没有问题,啊,可是如果出现一个二把刀的用户,他一定想写一些html代码来装饰他的文章,而恰 恰他只写了<h1>,忘记了后面的闭合标签,那么会出现什么……哈哈,你的页面的后面部分全部被<h1>了,字体大的没法看。之 前你精心设计的页面全部乱成了一锅粥。
在这个实例里面,用户输入的只是普通的html字符,那么,他如果输入javascript字符呢,恩,如 果我是一个坏坏的喜欢搞恶作剧的用户,我也许会输入:<script>while(1==1){alert('这个站长是个笨蛋');}& lt;/script>。那么会发生什么?对!在这个页面被访问的时候,你无辜的访问者会发现,无论他怎么按“确定”,那个顽固的提示框都会喋喋不 休。
简单来说,这就是一次跨站脚本攻击了。
在这次攻击里面,我,这个坏坏的喜欢恶作剧的用户,利用你,这个永远相信用户输入的程序员忘记过滤我所输入的可能对其他访问者造成危害的代码内容这个缺陷,成功的进行了一次恶作剧—跨站脚本攻击。
第二、       Who-谁可以利用跨站脚本攻击。
关于“who”这个问题,我想在上面的内容里,你大致了解了,这里我再唠叨一下,不仅仅是喜欢恶作剧的用户可以用,甚至有时普通的用户,输入时不小心的也会导致你页面出现一些未期料的问题。
当然,我们最不希望的就是,有骇客利用这个漏洞了,至于他能够利用到什么程度,还请你往下面拉一点,看“跨站脚本攻击有什么危害”。
第三、       How much-跨站脚本攻击有什么危害。
所谓安全圈子里的某些“黑客”往往对跨站漏洞嗤之以鼻,认为那不过是在客户那里玩玩就算了,作为被称之为跨站王的某鱼同学(现在已然是Discuz公司的系统安全工程师了)的徒弟我来说,我认为这是非常幼稚的一种看法。
说 小了,跨站攻击可以简单的就使你的页面布局混乱不堪,而更严重的是,既然骇客可以写入html代码,那他简直可以干你想到的或者你想不到的任何事情了。譬 如……<iframe src="网页木马地址" width="0" height="0"></iframe>就可以非常容易的在你的网站上插入指向一个网页木马的隐藏的框架了(通常被称之为“挂 马”)。
作为网站管理员的你,如果简单的认为,跨站漏洞只可以对访问者造成侵害的话,那就错了。别忘记,在访问带有受到跨站攻击的网页时,你的身 份也是普通用户,一方面,如果你中了他放的木马,那么从你机子上就可以轻易的下载到ftp软件中的密码信息,另一方面,如果这个时候你已经登录了管理,那 么他是不是可以构造一个管理页面,并且以你的身份,让你不知不觉的操作呢,这是完全可能的,并且是经常出现的。
构建跨站脚本攻击
哈 哈,如果你是一个坏坏的用户,那么看到这里你一定很开心了,你认为自己将学会如何做一名骇客,不过我只能很遗憾的告诉你,想都不要想,呵呵,重复我经常说 的一句话,以下内容禁止心智不成熟的未成年人观看,其中涉及的内容仅作为教学和研究使用,严禁利用这里所讲授的知识进行不法侵害行为。
在这里我拿出以前做的几个案例笔记(全文大多数都发表在了《黑客X档案》中),在案例中进行分析说明,大家不要小看这些案例,这些案例中大多数都是网上有大量网站使用的知名程序,可想而知危险之大。
案例一:Discuz4.1.0论坛出现的WAP跨站漏洞
Discuz论坛允许使用手机访问论坛wap目录来访问论坛,用wap方式访问论坛时可以查看帖子和发送帖子、短消息等,但是其服务器端的处理过程并没有过滤wap方式发帖的标题,使得我们可以输入特殊构造的字符而引发跨站攻击。
作 为程序员的你认为用户在使用手机WAP方式访问论坛时候就不可能写入恶意代码从而不能攻击而不对WAP部分进行处理吗?那你就错了,实际上,有很多软件可 以模拟访问WAP,Opera就可以,在PC上使用某些特定的客户端软件(WinWAP、Opera)等,访问WAP网站,即可以输入跨站字符,这里可以 在标题中输入<script>alert('XSS')</script>,当PC用户访问论坛时,就会触发这些代码。
从这个案例中,你应当学到,不要认为客户端的限制就可以疏忽对用户输入的检测和过滤了,只要可以通过HTTP协议访问,那么无论客户端是什么,有什么限制,都是不安全的。
案例二:“飞骋”网站日记跨站漏洞。
首 先来看飞骋日记服务,一般来说对于像日记这种一个人写,N多人看的东东,我们要考虑的就是XSS跨站漏洞了。在下面的内容中,我们试着用代 码<script>alert(“玄猫啊玄猫,玄猫要高考咯”)</script>来测试能不能在页面上运行我们的 Javascript脚本。
我们打开一个写日记的页面,先测试内容能不能写跨站脚本,日记标题随便写,内容写 个<script>alert(“玄猫啊玄猫,玄猫要高考咯”)</script>,然后去看看,不难看到,我们写的 script被替换成了s cript,(图一)中间多了个空格,再来改变大小写试试,内容写<Script>alert(“玄猫啊玄猫,玄猫要高考 咯”)</script>,还是不行,看来要想个变通的方法了,我们找找还有哪些是可以输出的,对了,标题,可是有的朋友会有疑问,标题就让 写10个字,不够啊,我们再来把文件保存到本地,研究form的验证:232行有个<FORM id=frmAnnounce name=frmAnnounce onsubmit="return checkform();"的代码,不难看出,这个onsubmit触发的函数就是检查标题字数的代码,我们删掉onsubmit="return checkform();",然后把action补全,标题内填入<script>alert(“玄猫啊玄猫,玄猫要高考 咯”)</script>,内容随便写些东西,提交,在随后刷新出的页面里,优雅得弹出了我们的对话框,跨站成功。

在这个案 例中,首先进行了最简单的测试内容的输入,即弹出一个对话框,而此时发现网站代码对script进行了过滤,这时再次尝试Script,如果程序员仅简单 的过滤了script时,则Script可能是可用的,但是最终发现还是不行,那么则转到标题处,显然标题处通过maxlength这个属性限制了文本框 所能输入的最长字节数,并且使用js脚本来检测了用户的输入,这些当然都不成为问题,我们只要将页面保存到本地,就可以修改了,删除maxlength属 性和验证的js代码后,再提交即可。
从这个案例中你应当学到:
1、       过滤危险字符时候考虑字符是否可以以大写变换的方式绕过验证
2、       Js脚本检测用户输入合法性是无效的。
3、       用户可能直接向服务器提交数据,并且这里我告诉你,所谓防止外部提交的代码是绝对无效的,那个方法是通过检测HTTP_REFFER的HTTP头来实现的,而其实这个HTTP头也是可以伪造的。
案例三:PhpArticle2密码输入错误记录跨站漏洞PhpArticle 是一款基于php+mysql的整站文章系统,页面清爽、速度快,并且功能比较完善,尤其是后台有个记录别人尝试登陆时输入的错误密码的功能……比较实 用……还可以偷窥别人都习惯用什么密码(一般人尝试密码的时候总是按照自己的习惯来尝试别人的密码),但是我突然想到,如果我们尝试在错误的用户名或者密 码中输入特殊字符呢……
进入后台登陆页面,然后用户名和密码分别写我们构造的用于测试的跨站代码。
“用户名”中填写:
<script>alert("XSS")</script>
“密码”中填写:
<script>alert("XSS")</script>
然后我们用管理员的密码去登陆后台,查看“管理日志->非法登陆记录”,这时弹出了第一个对话框,点击“确定”后又出现了第二个对话框,看来这两个地方是存在跨站漏洞的。
好的,既然确定了有跨站漏洞,我们来思考下应该怎么利用比较能达到收益最大化……这里要来一个提升网站用户权限的利用。
这里有必要先给不熟悉PhpArticle的朋友介绍下,在后台改管理员密码的地方是要求填写当前密码的,所以我们是无法利用的,其他操作我也暂时没有想出好的利用方法,现在我们要做的就是把我们自己注册的用户添加到系统的管理员组中,达到提升权限的目的。
当 我们可以在页面插入任意代码的时候,我们其实有许多选择,譬如插入javascript脚本内容,当限制提交字符数的时候我们可以插入 javascript脚本文件(<script src=""></script>这样),还可以插入iframe在页面中隐藏一个任意网页(骇客用来挂马),这里我们的思路是利用管 理员登陆的身份来提升权限,所以我们就模仿程序的用户管理页面,来仿造一个页面,并使用iframe的方法插入这里。
好了,先来看如何构造表单。
在构造表单之前我们要确定下这个表单是否允许外部提交,我们以管理员身份登陆后,打开会员编辑这个页面:http://www.xxx.cn/admin/user.php?action=mod&userid=38,然后将其另存到本地,然后修改form控件的action属性,打开后提交,程序提示修改成功,看来是允许外部提交的(其实也可以直接看代码的……嘿嘿,我不是懒嘛)。
因 为嫌PA的页面太不符合WEB标准,做自动提交的时候总是出现javascript错误,我们来自己构造一个表单,通过查看源代码,我们可以构造一个只有 几个必填字段的表单,然后在body标签后加属性onLoad,值为javascript:document.forms[0].submit(),即当 页面载入时自动提交表单。
这里我们还有一个要注意的地方,就是自己的userid,在构造表单的时候我们要用到这个值,怎么获得userid呢,我们需要登陆后在cookies里找pauserid的值。
在这个案例中,我们在构造跨站利用时候采取了一种十分“恶毒”的手段,就是插入一个iframe指向我们自己的网页,在这个网页中,我们完整的复制了原始代码中的表单部分,并将某些内容修改为我们需要进行的操作,最后再让这个表单自动提交。
如何防止跨站脚本攻击
我想通过上面的内容,你已经深切的领会到了,跨站脚本攻击的危害是非常大的,那么,如何防止这个漏洞呢。
最简单的办法,就是将用户输入的内容进行HTML转义,这样你不必考虑用户输入什么内容,内容中有哪些危险的字符需要过滤,例如在ASP中,我们可以使用Server.HtmlEnCode()来转义,php中可以使用htmlspecialchars()这个函数。
但 是,这种方法并不能称为最优解,这其实是一种消极的方法,因为用户输入的内容可能有危险,那么就将其全部转义。而比较好的方法就是通过正则表达式来进行替 换,当然,UBB代码也是起到这个作用的,程序员将HTML代码禁用,取而代之以约定的少量UBB来代替HTML,从而起到好的效果。
这里由于篇幅原因,我就不详细列出各UBB函数的详细内容了,这里我列出一些常见的和很少人了解的跨站方法,供你参考是否已经对这些方式进行了过滤。
复制内容到剪贴板
代码:
<IMG SRC="javascript:alert('XSS');">
<IMG SRC='vbscript:msgbox("XSS")'>
<IMG SRC=javascript:alert("XSS")>(采用HTML实体)
<IMG SRC=javascript:alert('XSS')>(使用utf8字符集)
<IMG SRC=&#x6A&#x61&#x76&#x61&#x73&#x63&#x72&#x69&#x70&#x74&#x3A&#x61&#x6C&#x65&#x72&#x74&#x28&#x27&#x58&#x53&#x53&#x27&#x29>
<IMG SRC="jav ascript:alert('XSS');">
<BODY BACKGROUND="javascript:alert('XSS')">
<DIV STYLE="background-image: url(javascript:alert('XSS'))">
<DIV STYLE="width: expression(alert('XSS'));">(注意,使用expression是十分灵活的,例如,如果你过滤了 expression,他还可以使用exp/**/resssion,你过滤了/**/,他还可以使用exp/*sometext*/ression)
<STYLE>@im\port'\ja\vasc\ript:alert("XSS")';</STYLE>
<OBJECT TYPE="text/x-scriptlet" DATA="http://ha.ckers.org/scriptlet.html"></OBJECT>
分享到:
评论
3 楼 di1984HIT 2014-07-17  
<script>
    alert("asdfasdfasdf");
</script>
2 楼 sonnyhaha 2014-06-19  
<script>
    alert("asdfasdfasdf");
</script>
1 楼 1211 2013-06-14  
<script>
    alert("asdfasdfasdf");
</script>

相关推荐

    PHP 字符串的过滤方法

    字符串过滤通常指的是去除或替换字符串中的不必要、非法或潜在危险的字符。这在诸如用户输入验证、URL编码、HTML清理等场景中非常有用,可以防止SQL注入、跨站脚本攻击(XSS)等安全问题。 PHP提供了多种内置函数来...

    xss特殊字符拦截与过滤

    标题《xss特殊字符拦截与过滤》以及描述《滤除content中的危险HTML代码,主要是脚本代码,滚动字幕代码以及脚本事件处理代码》提示我们这个文件内容是关于XSS(跨站脚本攻击)防护的编程实现。XSS攻击是指攻击者通过...

    IIS 过滤字符 防火墙

    在IIS中设置过滤字符防火墙是为了增强服务器的安全性,防止恶意用户利用特殊字符进行注入攻击,如SQL注入或跨站脚本攻击(XSS)。本文将深入探讨IIS过滤字符防火墙的工作原理、实现方式以及如何配置。 首先,过滤...

    web安全之XSS攻击及防御pdf

    跨站脚本攻击(Cross-Site Scripting,简称XSS)是一种常见的Web应用程序安全漏洞,其形成原因主要是由于Web应用程序对用户输入的数据过滤不充分或者处理不当,导致恶意脚本被注入到网页中。当其他用户访问这些包含恶意...

    字符过滤程序

    在IT行业中,字符过滤程序是一种常见的安全措施,主要用于防止恶意用户通过输入特殊字符来执行有害操作,例如SQL注入、跨站脚本攻击(XSS)等。本文将深入探讨ASP字符过滤程序,以及如何在实际应用中进行有效的字符...

    JavaScript过滤SQL注入字符

    例如,一个简单的登录表单如果没有进行适当的验证,攻击者可以输入"username' OR '1'='1 --"这样的字符串,使所有用户的登录验证都能通过。 二、JavaScript前端过滤 虽然前端验证不能替代后端的安全措施,但可以在...

    web跨站点脚本攻击方式和测试方法.doc

    Web跨站点脚本(XSS)攻击是一种常见且危险的安全漏洞,主要针对Web应用程序。攻击者利用这种漏洞向网页注入恶意脚本,当用户访问受影响的页面时,这些脚本会在用户的浏览器中执行,从而可能导致敏感信息泄露、账户...

    php字符串过滤与替换小结

    字符串过滤通常用于清理输入或输出内容,以防止安全漏洞,例如跨站脚本攻击(XSS)。字符串替换则是将文本中的某些字符或字符串按照指定的规则替换成其他的字符或字符串。 从给定的文件内容中,我们可以提取以下PHP...

    php过滤危险html代码

    在Web开发中,为了防止XSS(跨站脚本攻击)和其他潜在的安全风险,经常需要对用户提交的数据进行过滤处理,确保不会执行恶意代码或者破坏页面布局。PHP提供了一系列内置函数来帮助开发者实现这一目标,但在某些场景...

    angular-cleanurl:Angular Web 安全 url 字符串过滤器

    这包括但不限于空格、特殊字符、非ASCII字符等,这些字符可能会导致URL无效或者引发安全风险,如跨站脚本攻击(XSS)。通过使用`cleanurl`,开发者可以确保用户输入的数据被适当地编码,以适应在Web应用中的URL使用。 ...

    web安全程序设计大作业漏洞复现及修复

    - **定义**:XSS(Cross-Site Scripting),即跨站脚本攻击,是一种网络安全漏洞,允许攻击者在受害者的浏览器中注入恶意脚本。这种攻击能够使攻击者在用户浏览器中执行任意JavaScript代码,进而进行各种恶意操作,...

    过滤HTML元素字符

    这主要涉及到对用户输入的数据进行清理和安全处理,以防止跨站脚本(XSS)攻击和其他潜在的安全威胁。本文将深入探讨如何过滤HTML元素字符,以及在Java中实现这一功能的方法。 首先,理解HTML过滤的必要性至关重要...

    asp.net 敏感关键字过滤

    在Web应用中,用户输入的数据可以直接被服务器处理,如果不进行适当过滤,可能会导致SQL注入、跨站脚本攻击(XSS)、命令注入等安全问题。例如,一个未过滤的搜索框可能会允许用户输入SQL语句,如果被直接执行,可能...

    布尔盲注python脚本.zip

    - 防止SQL注入的最佳实践是使用参数化查询或预编译语句,避免直接拼接SQL字符串。 - 对用户输入进行验证和过滤,限制无效或危险的字符。 - 使用最小权限原则,确保数据库连接账号只能访问必要的数据。 以上就是...

    TreeGrid.dll 和特殊字符过滤代码

    在处理用户输入时,为了防止SQL注入、跨站脚本(XSS)攻击或其他安全风险,开发者需要确保数据中不包含可能导致系统不稳定或安全漏洞的字符。例如,一些特殊字符如单引号 `'`、双引号 `"`、分号 `;` 和反斜杠 `\` 在...

    HTML代码过滤技术

    在互联网环境中,HTML(HyperText Markup Language)是构建网页的基础,但同时也可能被恶意用户利用来执行有害操作,如注入跨站脚本(XSS)、钓鱼攻击等。因此,对HTML代码进行过滤是确保网站安全和用户体验良好不可...

    php中过滤非法字符的具体实现

    当用户通过GET、POST、Cookie等请求方式输入数据时,这些数据可能会包含潜在的恶意代码,如SQL注入、跨站脚本攻击(XSS)等。为防止这些攻击,开发者需要采取各种过滤手段来清理输入数据。 首先,从给定的PHP代码中...

    Python sql注入 过滤字符串的非法字符实例

    # 循环遍历非法字符列表,并在原始字符串中替换这些字符为空字符串 for stuff in dirty_stuff: sql = sql.replace(stuff, "") return sql[:max_length] # 示例数据 username = "1234567890!@#!@#!@#$%======$...

Global site tag (gtag.js) - Google Analytics