详解跨站脚本攻击(2)

　　弹出Alert窗口示例

　　上述机制将如何为攻击者所利用呢?我们先列举一个直观的方法。通常，攻击者会应用社会工程学(Social Engineering)设法诱骗受害者点击由攻击者精心构造的链接，如发送一封标题为“免费听林肯公园北京现场演唱会”的邮件J。

　　攻击者构造的恶意链接如下：

　　http://www.vulnerableexample.com/welcome.cgi?name=

　　受害者一旦点击了恶意链接，会发送如下请求到www.vulnerableexample.site站点：

　　GET /welcome.cgi?name= HTTP/1.0

　　Host: www.vulnerableexample.com

　　...

　　站点将返回如下响应：

　　Hi

　　Welcome!

　　...

　　因为服务器端返回的HTML页面包含一段JavaScript代码，受害者浏览器会解释执行。这段代码被执行后，将被允许访问浏览器中属于www.vulnerableexample.com站点的cookie。此时，用户侧浏览器上会弹出一个alert窗口。

　　网站收集cookie示例

　　真实的攻击步骤中，这些cookie会被发送给攻击者。攻击者为此会搭建一个网站(我们称为www.attackerexample.com)，还会应用一个脚本负责接收盗取的cookie。攻击者会写一段恶意代码，用于实现访问攻击者站点、并能调用接收cookie的脚本。最终，攻击者可以从www.attackerexample.com站点获取到cookie。

　　构造的恶意链接如下：

　　http://www.vulnerableexample.com/welcome.cgi?name=

　　服务器响应内容显示为：

　　Hi

　　Welcome!

　　...

　　浏览器会加载服务器端返回页面，执行内嵌的JavaScript，并发送一个请求到www.attackerexample.com站点上的collect.cgi脚本，浏览器中保存的www.vulnerableexample.com站点的cookie值也会一起发送过去。攻击者获取到客户在www.vulnerable.site站点的cookie，还可以假冒受害者。

　　Q7：加密是否能有效防护XSS攻击?

　　通常大家会认为如果网站使用了HTTPS，提供更有保障的安全，可以幸免于XSS攻击。其实这是一种误解。HTTPS仅提供传输层的安全，在应用层仍然面临XSS的威胁。[2]

　　Q8：XSS漏洞是否可能引起非法执行命令?

　　如果浏览器设置安全性不够时，XSS漏洞允许插入JavaScript，也就意味着攻击者可能获取受限的客户端执行权限。如果攻击者进而利用浏览器的漏洞，就有可能在客户端非法执行命令。简言之，XSS漏洞有助于进一步利用浏览器漏洞。[2]

　　Q9：从网站开发者角度，如何防护XSS攻击?

　　来自应用安全国际组织OWASP的建议[3]，对XSS最佳的防护应该结合以下两种方法：验证所有输入数据，有效检测攻击;对所有输出数据进行适当的编码，以防止任何已成功注入的脚本在浏览器端运行。具体如下：

　　·输入验证：某个数据被接受为可被显示或存储之前，使用标准输入验证机制，验证所有输入数据的长度、类型、语法以及业务规则。

　　·强壮的输出编码：数据输出前，确保用户提交的数据已被正确进行entity编码，建议对所有字符进行编码而不仅局限于某个子集。

　　·明确指定输出的编码方式(如ISO 8859-1或 UTF 8)：不要允许攻击者为你的用户选择编码方式。

　　·注意黑名单验证方式的局限性：仅仅查找或替换一些字符(如"<" ">"或类似"script"的关键字)，很容易被XSS变种攻击绕过验证机制。

　　·警惕规范化错误：验证输入之前，必须进行解码及规范化以符合应用程序当前的内部表示方法。请确定应用程序对同一输入不做两次解码。

　　Q10：从网站用户角度，如何防护XSS攻击?

　　当你打开一封Email或附件、浏览论坛帖子时，可能恶意脚本会自动执行，因此，在做这些操作时一定要特别谨慎。建议在浏览器设置中关闭JavaScript。如果使用IE浏览器，将安全级别设置到“高”。具体可以参照浏览器安全的相关文章。[2]

　　这里需要再次提醒的是，XSS攻击其实伴随着社会工程学的成功应用，需要增强安全意识，只信任值得信任的站点或内容。

　　Q11：如果修补XSS漏洞对网站来说困难较大，不修补会怎样?

　　如果不能及时修补XSS漏洞，网站可能成为攻击者攻击第三方的媒介，公信度受损;网站用户成为受害者，敏感信息泄漏。现实中，确实存在某些无法修补漏洞的客观原因，如Web应用开发年代久远或者整改代码需要付出过于高昂的代价。这种情况下， 选择Web安全网关会是一种合理选择。正确应用这类安全工具，会极大缓解XSS攻击，降低安全风险。

　　Q12：下一代XSS会是怎样的?

　　随着AJAX(Asynchronous JavaScript and XML，异步JavaScript和XML)技术的普遍应用，XSS的攻击危害将被放大。使用AJAX的最大优点，就是可以不用更新整个页面来维护数据，Web应用可以更迅速地响应用户请求。AJAX会处理来自Web服务器及源自第三方的丰富信息，这对XSS攻击提供了良好的机会。AJAX应用架构会泄漏更多应用的细节，如函数和变量名称、函数参数及返回类型、数据类型及有效范围等。AJAX应用架构还有着较传统架构更多的应用输入，这就增加了可被攻击的点。