網絡上曾經有過關於跨站腳本攻擊與防御的文章,但是隨著攻擊技術的進步,以前的關於跨站腳本攻擊的看法與理論已經不能滿足現在的攻擊與防御的需要了,而且由於這種對於跨站腳本認識上的混亂,導致現在很多的程序包括現在的動網都存在著跨站腳本過濾不嚴的問題,希望本文能給寫程序的與研究程序的帶來一點思路。
還是首先看看跨站腳本漏洞的成因,所謂跨站腳本漏洞其實就是Html的注入問題,惡意用戶的輸入沒有經過嚴格的控制進入了數據庫最終顯示給來訪的用戶,導致可以在來訪用戶的浏覽器裡以浏覽用戶的身份執行HTml代碼,數據流程如下:
惡意用戶的Html輸入————>web程序————>進入數據庫————>web程序————>用戶浏覽器
這樣我們就可以清楚的看到Html代碼是如何進入受害者浏覽器的了,我們也就可以根據這個流程來討論跨站腳本的攻擊與防御了!
1 什麼是HTml輸入?
這裡給出一個HTml代碼的示例
<img src="http://www.loveshell.jpg" width=100 onerror=alert("載入圖片錯誤!")>
很多的程序最終都是將用戶的輸入轉換成這種形式的。可以看到<>是告訴浏覽器這是一個Html標記,img是這個Html標記的名稱,src是這個標記的第一個屬性,=後面是這個屬性的值,後面的width是第二個屬性,onerror是標記的事件屬性。大家可以看到,一個Html標記是包括很多元素的,並不是傳統意義上的只有輸入<>才會注入Html,事實上只要你的輸入處在Html標簽內,產生了新的元素或者屬性,就實現了跨站腳本攻擊!實際上大多數隱秘的跨站腳本攻擊是不需要<>的,因為現在的Ubb標簽已經讓你處在了Html標記之內,很有意思,不是麼?
2 哪裡才是罪惡的來源?
既然我們的目標是引入代碼在目標用戶的浏覽器內執行,那麼我們來看看哪些地方可以引入HTml代碼吧!如果用戶可以不受限制的引入<>,那麼很顯然他可以完全操縱一個Html標記,譬如<script>alert('xss')</script>這樣的形式,這對於追求安全的程序來說是絕對不允許的,所以首先要做轉換的就是<>,通過如下代碼:
過濾代碼:
replace(str,"<","<")
replace(str,">",">")
好了,用戶可能不能構造自己的HTml標記了,那麼利用已經存在的屬性如何呢?下面的代碼依然可以工作得很好:
<img src="javascript:alert(/xss/)" width=100>
因為很多的Html標記裡屬性都支持javascript:[code]的形式,很好,很多的程序意識到了這一點,可能做了如下的轉換:
過濾代碼
Dim re
Set re=new RegExp
re.IgnoreCase =True
re.Global=True
re.Pattern="javascript:"
Str = re.replace(Str,"javascript:")
re.Pattern="jscript:"
Str = re.replace(Str,"jscript:")
re.Pattern="vbscript:"
Str = re.replace(Str,"vbscript:")
set re=nothing
你看,只要發現以javascript等腳本屬性的形式都會被過濾掉,失去了:的腳本代碼是起不了作用的!這樣完美了麼?事實上Html屬性的值,注意是值而不是屬性本身是支持ASCii這種形式表示的,譬如上面的代碼可以換成這樣:
<img src="javascript:alert(/xss/)" width=100>
代碼又執行了,呵呵!看來你漏掉了點什麼哦,加上這個代碼吧!
replace(str,"&","&")
行了,&失去它原來的意義了,用戶不能以其他方式表示Html屬性值了哦!等等,這樣的過濾真可以相信麼?只要發現這種過濾的關鍵字機制,饒過就是簡單的問題了:
<img src="javas cript:alert(/xss/)" width=100>
沒有javascript關鍵字了哦!注意中間那個是tab鍵弄出來的!關鍵字被拆分了哦!這是個很麻煩的問題,很多人忘記了這些特殊的字符,呵呵!有人想到要過濾空格了,在過濾之前我們再看看其他的一些東西吧!也許我們現在所處的src屬性已經無法利用了,但是我們依然可以產生自己的屬性或者事件機制哦!依然是可以執行Html代碼的,首先說說事件機制吧:
<img src="#" onerror=alert(/xss/)>
這樣依然可以執行代碼的哦!明白問題出在哪了,不是麼?有的程序員仿佛明白了,注意我說的是仿佛,動網就是一個典型的例子,事件屬性不是要onerror麼?很多人開始用正則表達式了,發現關鍵的詞如onerror就會做轉換或者提示用戶不執行,是不是沒有機會了呢?
當然不是的,事件只是讓代碼運行的一種方法而不是所有的,可以定義事件了那麼也就可以實現自己弄出自己的屬性了,試試下面的:
<img src="#" style="Xss:expression(alert(/xss/));">
呵呵,還是執行了哦!在做關鍵字過濾之後有人發現是不是屬性之間分隔要用到空格,好,他們把空格堵死了(這樣認為的人很多,呵呵)!將空格轉成 是個很普遍的方法?是麼?甚至還可以讓別人無法關鍵字拆分,不要太自信了,試試下面的代碼看看如何:
<img src="#"/**/onerror=alert(/xss/) width=100>
嘿嘿,Good Work!這好象是利用了腳本裡注釋會被當作一個空白來表示造成的!那怎麼辦呢?上面提到的好象一直都是在進行被動的攻擊防御,為什麼不抓住他的本源出來呢?哪裡出了問題哪裡堵上!
3 本質
上面的問題好象本質上就是一個東西,那就是用戶超越了他所處的標簽,也就是數據和代碼的混淆,對付這種混淆的辦法就是限制監牢,讓用戶在一個安全的空間內活動,這通過上面的分析大家也可能已經知道,只要在過濾了<>這兩個人人都會去殺的字符之後就可以把用戶的輸入在輸出的時候放到""之間,現在的一般的程序都是這樣做的,譬如將會轉化成<img src="http://www.loveshell.net">這是個好的安全習慣,然後呢?就要讓用戶的輸入處在安全的領域裡了,這可以通過過濾用戶輸入裡""實現,但是不要忘記了,這個標簽本身也是不安全的,過濾掉空格和tab鍵就不用擔心關鍵字被拆分饒過了,然後就是用文章中提到的辦法過濾掉script關鍵字,最後就是防止用戶通過這樣的形式饒過檢查,轉換掉&吧!
4 困惑
在文章中開始提到的圖裡可以看到,數據的轉換和過濾是可以在3個地方進行轉換的,在接受數據的時候可以轉換下,在進入數據庫的時候可以轉換下,在輸出數據的時候也可以轉換下,但是困惑在哪裡呢?不得不面對一個問題就是許多時候程序員捨不得為安全做出那麼大的應用上的犧牲,安全是要有代價的,譬如現在郵箱的就不願意捨棄html標簽,因為需要支持多資多彩的頁面,所以他們側重於XSS的IDS檢測的性質,只要發現不安全的東西就會轉化,但是攻擊是無法預知的,漂亮的東西總是脆弱的,有限制,肯定就有人會饒過,呵呵。本文沒什麼技術含量,只是希望搞安全的腳本人員能更加的了解Xss,跨站,不是那麼簡單滴!