本文详细讲解了XSS攻击的分类,包括存储型、反射型和DOM型,重点阐述了各自的攻击步骤,并提供了预防措施,如输入过滤、纯前端渲染和转义技术的应用。还介绍了如何通过模板引擎、避免内联事件和正确编码来降低XSS风险。
目录
什么是XSS
Cross-Site Scripting (跨站脚本攻击)简称XSS,是-种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如Cookie、SessionID 等,进而危害数据安全。
为了和CSS区分,遥里把攻击的第一个字母改成了X,于是叫做XSS。
XSS的本质是:恶意代码未经过滤,与网站正常的代码混在一起;浏览器无法分辨哪些脚本是可信的,导致恶意脚本被执行。
而由于直接在用户的终端执行,恶意代码能够直接获取用户的信息,或者利用这些信息冒充用户向网站发起攻击者定义的请求。
在部分情况下,由于输入的限制,注入的恶意脚本比较短。但可以通过引入外部的脚本,并由浏览器执行,来完成比较复杂的攻击策略。
这里有一个问题:用户是通过哪种方法“注入”恶意脚本的呢?
不仅仅是业务.上的”用户的UGC内容”可以进行注入,包括URL上的参数等都可以是攻击的来源。在处理输入时,
以下内容都不可信:
- 来自用户的UGC信息
- 来自第三方的链接
- URL参数
- POST 参数
- Referer (可能来 自不可信的来源)
- Cookie (可能来自其他子域注入)
XSS分类
根据攻击的来源,XSS攻击可分为存储型、反射型和DOM型三种。
- 存储区:恶意代码存放的位置
- 插入点:由谁取得恶意代码,并插入网页上
存储型XSS
存储型XSS的攻击步骤:
- 攻击者将恶意代码提交到目标网站的数据库中。
- 用户打开目标网站时,网站服务端将恶意代码从数据库取出,拼接在HTML中返回给浏览器。
- 用户浏览器接收到响应后解析执行,混在其中的恶意代码也被执行。
- 恶意代码窃取用户数据并发送到攻击者的网站,或者冒充用户的行为,调用目标网站接口执行攻击者指定的操作
这种攻击常见于带有用户保存数据的网站功能,如论坛发帖、商品评论、用户私信等。
反射型XSS
反射型XSS的攻击步骤:
- 攻击者构造出特殊的URL,其中包含恶意代码。
- 用户打开带有恶意代码的URL时,网站服务端将恶意代码从URL中取出,拼接在HTML中返回给浏览器。
- 用户浏览器接收到响应后解析执行,混在其中的恶意代码也被执行。
- 恶意代码窃取用户数据并发送到攻击者的网站,或者冒充用户的行为,调用目标网站接口执行攻击者指定的操作。
反射型XSS跟存储型XSS的区别是:存储型XSS的恶意代码存在数据库里,反射型XSS的恶意代码存在URL.
反射型XSS漏洞常见于通过URL传递参数的功能,如网站搜索、跳转等。
由于需要用户主动打开恶意的URL才能生效,攻击者往往会结合多种手段诱导用户点击。
POST的内容也可以触发反射型XSS,只不过其触发条件比较苛刻(需 要构造表单提交页面,并引导用户点击),所以非常少见。
DOM型XSS
DOM型XSS的攻击步骤:
- 攻击者构造出特殊的URL,其中包含恶意代码。
- 用户打开带有恶意代码的URL。
- 用户浏览器接收到响应后解析执行,前端JavaScript取出URL中的恶意代码并执行。
- 恶意代码窃取用户数据并发送到攻击者的网站,或者冒充用户的行为,调用目标网站接口执行攻击者指定的操作。
DOM型XSS跟前两种XSS的区别: DOM型XSS攻击中,取出和执行恶意代码由浏览器端完成,属于前端JavaScript自身的安全漏洞,而其他两种XSS都属于服务端的安全漏洞。
XSS攻击的预防
通过前面的介绍可以得知,XSS 攻击有两大要素:
1.攻击者提交恶意代码。
2.浏览器执行恶意代码。
针对第一个要素 :我们是否能够在用户输入的过程,过滤掉用户输入的恶意代码呢?
输入过滤
在用户提交时,由前端过滤输入,然后提交到后端。这样做是否可行呢?
答案是不可行。一旦攻击者绕过前端过滤,直接构造请求,就可以提交恶意代码了。
那么,换一个过滤时机:后端在写入数据库前,对输入进行过滤,然后把”安全的”内容, 返回给前端。这样是否可行呢?
我们举一个例子,一个正常的用户输入了5 < 7这个内容,在写入数据库前,被转义,变成了5 < 7。
问题是:在提交阶段,我们并不确定内容要输出到哪里。
这里的“并不确定内容要输出到哪里”有两层含义:
1. 用户的输入内容可能同时提供给前端和客户端,而一旦经过了escapeHTML(), 客户端显示的内容就变成了乱码(5<7)。
2. 在前端中,不同的位置所需的编码也不同。
- 当5 <7作为HTML拼接页面时,可以正常显示:
<div title=" comment">5 < 7</div>- 当5 < 7通过 Ajax 返回,然后赋值给JavaScript的变量时,前端得到的字符串就是转义后的字符。这个内容不能直接用于Vue等模板的展示,也不能直接用于内容长度计算。不能用于标题、alert 等。
所以,输入侧过滤能够在某些情况下解决特定的XSS问题,但会引入很大的不确定性和乱码问题。在防范XSS攻击时应避免此类方法。
当然,对于明确的输入类型,例如数字、URL、 电话号码、邮件地址等等内容,进行输入过滤还是必要的。
既然输入过滤并非完全可靠,我们就要通过"防止浏览器执行恶意代码”来防范XSS。这部分分为两类:
- 防止HTML中出现注入。
- 防止JavaScript执行时,执行恶意代码。
预防存储型和反射型XSS攻击
存储型和反射型XSS都是在服务端取出恶意代码后,插入到响应HTML里的,攻击者刻意编写的“数据’被内嵌到“代码”中,被浏览器所执行。
预防这两种漏洞,有两种常见做法:
- 改成纯前端渲染,把代码和数据分隔开。
- 对HTML做充分转义。
纯前端渲染
纯前端渲染的过程:
- 浏览器先加载一个静态HTML,此HTML中不包含任何跟业务相关的数据。
- 然后浏览器执行HTML中的JavaScript。
- JavaScript 通过Ajax加载业务数据,调用DOM API 更新到页面中
在纯前端渲染中,我们会明确的告诉浏览器:下面要设置的内容是文本(. innerText), 还是属性
(.setAttribute),还是样式(.style) 等等。浏览器不会被轻易的被欺骗,执行预期外的代码了。
但纯前端渲染还需注意避免DOM型XSS漏洞(例如onload事件和href 中的javascript:xxx等, 请参考下文"预防DOM型XSS攻击"部分)。
在很多内部、管理系统中,采用纯前端渲染是非常合适的。但对于性能要求高,或有SEO需求的页面,我们仍然要面对拼接HTML的问题。
转义HTML
如果拼接HTML是必要的,就需要采用合适的转义库,对HTML模板各处插入点进行充分的转义。
常用的模板引擎,如doT.js、ejs、 FreeMarker 等,对于HTML转义通常只有一个规则,就是把&<> " ' / 7这几个字符转义掉,确实能起到一定的XSS防护作用,但并不完善:
| XSS安全漏洞 | 简单转义是否有防护作用 |
| HTML标签文字内容 | 有 |
| HTML属性值 | 有 |
| CSS内联样式 | 无 |
| 内联JavaScript | 无 |
| 内联JSON | 无 |
| 跳转链接 | 无 |
所以要完善 XSS 防护措施,我们要使用更完善更细致的转义策略。
例如Java工程里,常用的转义库为org.owasp .encoder。以下代码引用自org.owasp.encoder的官方说明。
<!-- HTML 标签内文字内容-->
<div><%= Encode . forHtml ( UNTRUSTED) 8></div>
<!-- HTML标签属性值-->
<input value="<%= Encode.forHtml (UNTRUSTED) %>” />
<!-- CSS属性值-->
<div style="width:<%= Encode.forCssStr ing (UNTRUSTED)%>">
<!-- css URL -->
<div style="background:<%= Encode . forCssUrl (UNTRUSTED)%>">
<!-- JavaScript内联代码块-- >
<script>
var msg = "<%= Encode. forJavaScript (UNTRUSTED)%>";
alert (msg);
</script>
<!-- JavaScript 内联代码块内嵌JSON -->
<script>
var,
_INITIAL_ STATE
= JSON. parse('<%= Encoder . forJavaScript(data.to_ json)%>');
</script>
<!-- HTML标签内联监听器--
<button
onclick="alert('<%= Encode . forJavaScript (UNTRUSTED)%>' );">
click me
</button>XSS攻击的总结
我们回到最开始提出的问题,相信同学们已经有了答案:
- XSS防范是后端RD的责任,后端RD应该在所有用户提交数据的接口,对敏感字符进行转义,才能进行下一步操作
- 不正确。因为
- 防范存储型和反射型XSS是后端RD的责任。而DOM型XSS攻击不发生在后端,是前端RD的责任
- 转义应该在输出HTML时进行,而不是在提交用户输入时
2. 所有要插入到页面上的数据,都要通过一个敏感字符过滤函数的转义,过滤掉通用的敏感字符后,就可以插入到页面中。
- 不正确。
- 不同的上下文,如HTML属性、HTML 文字内容、HTML 注释、跳转链接、内联JavaScript字符串、内联CSS样式表等,所需要的转义规则不一致。
- 业务RD需要选取合适的转义库,并针对不同的上下文调用不同的转义规则。
整体的XSS防范是非常复杂和繁琐的,我们不仅需要在全部需要转义的位置,对数据进行对应的转义。而且要防止多余和错误的转义,避免正常的用户输入出现乱码。
虽然很难通过技术手段完全避免XSS,但我们可以总结
以下原则减少漏洞的产生:
利用模板引擎:
开启模板引擎自带的HTML转义功能。例如:
- 在ejs中,尽量使用<%= data %>而不是<%- data %>;
- 在doT.js中,尽量使用{{! data }而不是{{= data } ;
- 在FreeMarker中,确保引擎版本高于2.3.24,并且选择正确的freemarker.core.outputFormat。
避色内联重件
尽量不要使用 onLoad=”onLoad(‘{{data}}’)“ 、onClick= "go('{{action}}')" 这种拼接内联事件的写法。在 JavaScript中通过 .addEventListener() 事件绑定会更加安全
避免拼接HTML
前端采用拼接HTML的方法比较危险,如果框架允许,使用createElement、setAttribute 之类的方法实现。或者采用比较成熟的渲染框架,如Vue/React等。
时刻保持警惕
在插入位置为DOM属性、链接等位置时,要打起精神,严加防范。
增加攻击难度,降低攻击后果
通过CSP、输入长度配置、接口安全措施等方法,增加攻击的难度,降低攻击的后果。
主动检测和发现
可使用XSS攻击字符串和自动扫描工具寻找潜在的XSS漏洞。
扫一扫
6736
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
