浅谈XSS漏洞攻击与防御

浅谈XSS漏洞攻击与防御

跨站脚本简称xss（cross-site scripting），利用方式主要是借助网站本身设计不严谨，导致执行用户提交的恶意js脚本，对网站自身造成危害。xss漏洞是web渗透测试中最常见而又使用最灵活的一个漏洞。它允许恶意用户将代码注入到网页上，其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。

XSS分类

XSS大致分为：反射型、存储型、DOM型（这三种为主流）

反射型xss

只是简单地把用户输入的数据”反射”给浏览器，攻击时需要用户配合点击，也叫”非持久型xss”。

存储型xss

会把用户输入的数据”存储”在服务器端，也叫”持久性xss”，常见留言板等可以提交展示用户输入内容的功能点。

DOM型xss

从是否存储可划分成反射型，可通过修改页面的DOM节点形成的xss漏洞。

注意：无论反射型还是存储型，都是需要与服务端交互的，即服务端将提交的内容反馈到了html源码内，导致触发xss，也就是说返回到html源码中可以看到触发xss的代码；而DOM型xss是不与服务端交互的，只与客户端上的js交互，也就是说提交的恶意代码，被放到了js中执行，然后显示出来。那么这种形式有一个问题，就是html源码里面不存在触发xss的代码，因为服务端返回的源码都是一样的，只不过源码里面包含了一段js，这段js再执行后生成了一段xss代码，可以在审查元素中查看到。

XSS危害

xss漏洞是发生在客户端，目的是让浏览器执行一段用户提交的恶意js代码，从而达到某种目的。从表面上看，xss漏洞的危害止步于客户端，且主要就是用来执行js获取用户信息（比如浏览器版本等等）。然而由于xss漏洞可能发生的地方很多，因此被利用的情况也不统一，以下列举了xss漏洞能够造成的一些危害（xss漏洞危害包含但不仅限于以下几种）。

1. cookie劫持（窃取cookie）
2. 后台增删改文章等操作（类似于csrf骗取用户点击，利用js模拟浏览器发包，借助xmlhttprequest类）
   钓鱼，利用xss构造出一个登录框，骗取用户账户密码。
3. Xss蠕虫（利用xss漏洞进行传播）
4. 修改网页代码
5. 利用网站重定向
6. 利用XSS窃取cookie

因为cookie能够代表用户的身份，所以盗取了cookie之后，就可以伪造用户去做一些事情了，这个产生的危害是非常可怕的。

cookie介绍

cookie分为内存cookie和硬盘cookie，内存cookie储存在浏览器内存中，关闭浏览器则消失。cookie由变量名与值组成，其属性里有标准的cookie变量，也有用户自定义的属性。

cookie格式：Set-Cookie:=[;=][;expiress=][;domain=][;path=][;secure][;httponly]

cookie各个参数详细内容：

• Set-cookie:http响应头，向客户端发送cookie。
• Name=value:每个cookie必须包含的内容。
• Expires=date:EXpires确定了cookie的有效终止日期，可选。如果缺省，则cookie不保存在硬盘中，只保存在浏览器内存中。
• Domain=domain-name:确定了哪些inernet域中的web服务器可读取浏览器储存的cookie，缺省为该web服务器域名。
• Path=path:定义了web服务器哪些路径下的页面可获取服务器发送的cookie。
• Secure:在cookie中标记该变量，表明只有为https通信协议时，浏览器才向服务器提交cookie。
• Httponly:禁止javascript读取,如果cookie中的一个参数带有httponly，则这个参数将不能被javascript获取；httponly可以防止xss会话劫持攻击。

防御 XSS

为防御 XSS，我们首先要知道 XSS 攻击的本质是不安全的
HTML 注入，可通过在 HTML、CSS、JS 或 HTTP 协议层次上进行防范。下面提供一些常用的防御策略：

输入检查
用户名、邮箱等表单验证（前台/服务器二次验证）
富文本使用白名单机制等

输出检查
HTML-Encoder
js-Encoder

HTTP 头部：HttpOnly
设置 cookie 时加入 HttpOnly 可使 js 脚本无法获取 cookie

HTTP 头部：CSP（Content Security Policy）
定义允许的资源加载地址，比如图片 / 视频 / JS 脚本等

HTTPS加密访问
有效防止 DOM XSS 攻击