XSS(Cross Site Scripting)的全稱(chēng)是跨站腳本攻擊，之所以叫XSS，是想與Web中的另一個(gè)層疊樣式表CSS區(qū)分開(kāi)來(lái)。該攻擊主要是在網(wǎng)頁(yè)中嵌入JavaScript腳本代碼，當(dāng)用戶(hù)訪(fǎng)問(wèn)此網(wǎng)頁(yè)時(shí)，腳本就會(huì)在瀏覽器中執(zhí)行，從而達(dá)到攻擊的目的。在XSS攻擊中，一般有3個(gè)角色參與：攻擊者、目標(biāo)服務(wù)器、受害者的瀏覽器。由于有些服務(wù)器沒(méi)有對(duì)用戶(hù)的輸入進(jìn)行安全驗(yàn)證，攻擊者可以通過(guò)正常書(shū)寫(xiě)的方式并帶有部分的HTML惡意腳本代碼的方法來(lái)進(jìn)行攻擊，當(dāng)受害者的瀏覽器訪(fǎng)問(wèn)目標(biāo)服務(wù)器時(shí)，由于對(duì)目標(biāo)服務(wù)器的信任，這段惡意代碼的執(zhí)行不會(huì)受到什么阻礙，從而形成了XSS攻擊。

　　下面通過(guò)一個(gè)的實(shí)例來(lái)演示一下XSS具體情況。我們要使用到JavaScript的腳本如下：

<script>alert(document.cookie);</script>

　　這個(gè)語(yǔ)句的含義是以警告框的形式將用戶(hù)訪(fǎng)問(wèn)網(wǎng)站的Cookie輸出。如果攻擊者向一個(gè)網(wǎng)站輸入數(shù)據(jù)時(shí)，在正常數(shù)據(jù)后面帶上這一段代碼，那么那個(gè)網(wǎng)站的源碼將變成如下情況。

<html>

…

test<script>alert(document.cookie);</script>

…

</html>

　　熟悉 JavaScript 的朋友，這時(shí)候應(yīng)該已經(jīng)明白如果受害者訪(fǎng)問(wèn)這個(gè)網(wǎng)頁(yè)時(shí)會(huì)發(fā)生什么事情。當(dāng)他訪(fǎng)問(wèn)的時(shí)候，瀏覽器界面就會(huì)彈出用戶(hù)的Cookie信息。這里只是XSS的一個(gè)小演示，只要愿意，黑客可以向里面插入任意的代碼，甚至寫(xiě)一個(gè)js文件代碼，以引用的形式插入進(jìn)入網(wǎng)頁(yè)。下面介紹XSS的攻擊類(lèi)型。

　　1. 反射型XSS

　　反射型 XSS 又稱(chēng)非持久型 XSS。之所以稱(chēng)為反射型 XSS，是因?yàn)檫@種攻擊方式的注入代碼是從目標(biāo)服務(wù)器通過(guò)錯(cuò)誤信息、搜索結(jié)果等方式“反射”回來(lái)的。而稱(chēng)為非持久型XSS，則是因?yàn)檫@種攻擊方式是一次性的。攻擊者通過(guò)電子郵件等方式將包含注入腳本的惡意鏈接發(fā)送給受害者，當(dāng)受害者單擊該鏈接時(shí)，注入腳本被傳輸?shù)侥繕?biāo)服務(wù)器上，然后服務(wù)器將注入腳本“反射”到受害者的瀏覽器上，從而在該瀏覽器上執(zhí)行了這段腳本。例如，攻擊者將如下鏈接發(fā)送給受害者：

　　http://www.example.com/search.asp?input=。

　　當(dāng)受害者單擊這個(gè)鏈接的時(shí)候，注入的腳本被當(dāng)作搜索的關(guān)鍵詞發(fā)送到目標(biāo)服務(wù)器的search.asp頁(yè)面中，則在搜索結(jié)果的返回頁(yè)面中，這段腳本將被當(dāng)作搜索的關(guān)鍵詞而嵌入。這樣，當(dāng)用戶(hù)得到搜索結(jié)果頁(yè)面后，這段腳本也得到了執(zhí)行。這就是反射型XSS攻擊的原理，可以看到，攻擊者巧妙地通過(guò)反射型XSS的攻擊方式，達(dá)到了在受害者的瀏覽器上執(zhí)行腳本的目的。由于代碼注入的是一個(gè)動(dòng)態(tài)產(chǎn)生的頁(yè)面而不是永久的頁(yè)面，因此這種攻擊方式只在單擊鏈接的時(shí)候才產(chǎn)生作用，這也是它被稱(chēng)為非持久型XSS的原因。

　　2. 存儲(chǔ)型XSS

　　存儲(chǔ)型XSS又稱(chēng)持久型XSS，它和反射型XSS最大的不同就是，攻擊腳本將被永久地存放在目標(biāo)服務(wù)器的數(shù)據(jù)庫(kù)和文件中。這種攻擊多見(jiàn)于論壇，攻擊者在發(fā)帖的過(guò)程中，將惡意腳本連同正常信息一起注入到帖子的內(nèi)容之中。隨著帖子被論壇服務(wù)器存儲(chǔ)下來(lái)，惡意腳本也永久地被存放在論壇服務(wù)器的后端存儲(chǔ)器中。當(dāng)其他用戶(hù)瀏覽這個(gè)被注入了惡意腳本的帖子的時(shí)候，惡意腳本則會(huì)在他們的瀏覽器中得到執(zhí)行，從而受到攻擊?？梢钥吹?，存儲(chǔ)型XSS的攻擊方式能夠?qū)阂獯a永久地嵌入一個(gè)頁(yè)面當(dāng)中，所有訪(fǎng)問(wèn)這個(gè)頁(yè)面的用戶(hù)都將成為受害者。如果我們能夠謹(jǐn)慎對(duì)待不明鏈接，那么反射型XSS攻擊將沒(méi)有多大作為，而存儲(chǔ)型XSS則不同，由于它注入的往往是一些受信任的頁(yè)面，因此無(wú)論多么小心，都難免會(huì)受到攻擊?？梢哉f(shuō)，存儲(chǔ)型XSS更具有隱蔽性，帶來(lái)的危害也更大，除非服務(wù)器能完全阻止注入，否則任何人都很有可能受到攻擊。

　　3. DOM XSS

　　DOM XSS全稱(chēng)是DOM Based XSS(基于DOM的XSS)，其實(shí)這種XSS攻擊并不是以是否存儲(chǔ)在服務(wù)器中來(lái)劃分的。理論上，這種攻擊也屬于反射型XSS攻擊，但之所以不將它歸為反射型是因?yàn)樗哂刑厥獾牡胤?。這種類(lèi)型的攻擊不依賴(lài)于起初發(fā)送到服務(wù)器的惡意數(shù)據(jù)。這似乎與前面介紹的XSS有些出入，但是可以通過(guò)一個(gè)例子來(lái)解釋這種攻擊。

　　當(dāng)Javascript在瀏覽器執(zhí)行時(shí)，瀏覽器提供給Javascript代碼幾個(gè)DOM對(duì)象。文檔對(duì)象首先在這些對(duì)象之中，并且它代表著大多數(shù)瀏覽器呈現(xiàn)的頁(yè)面的屬性。這個(gè)文檔對(duì)象包含很多子對(duì)象，如 location、URL和referrer。這些對(duì)象根據(jù)瀏覽器的顯示填充瀏覽器。因此，document.URL和document.location是由頁(yè)面的URL按照瀏覽器的解析填充的。注意，這些對(duì)象不是提取自HTML的body，它們不會(huì)出現(xiàn)在數(shù)據(jù)頁(yè)面。文檔對(duì)象包含一個(gè)body對(duì)象，它代表對(duì)于HTML的解析。

<HTML>

<TITLE>Welcome!</TITLE>

Hi

<SCRIPT>

var pos=document.URL.indexof("name=")+5;

document.write(document.URL.substring(pos,document.URL.length));

</SCRIPT>

<BR>

Welcome to our system

</HTML>

　　以上是HTML里面解析URL和執(zhí)行一些客戶(hù)端邏輯的代碼。然后，在發(fā)送請(qǐng)求的后面加上如下的指令：

　　http://www.example.com/welcome.html?name=abc。

　　當(dāng)受害者訪(fǎng)問(wèn)到該網(wǎng)站時(shí)，瀏覽器會(huì)解析這個(gè) HTML 為 DOM，DOM 包含一個(gè)對(duì)象叫document，document里面有一個(gè)URL屬性，這個(gè)屬性里填充著當(dāng)前頁(yè)面的URL。當(dāng)解析器到達(dá)javascript代碼，它會(huì)執(zhí)行它并且修改HTML頁(yè)面。倘若代碼中引用了document.URL，那么，這部分字符串將會(huì)在解析時(shí)嵌入到 HTML 中，然后立即解析，同時(shí)，Javascript 代碼會(huì)找到(alert(document.cookie))并且在同一個(gè)頁(yè)面執(zhí)行它，這就產(chǎn)生了XSS的條件。

　　4. 檢測(cè)

　　可以看出，XSS攻擊是與SQL注入類(lèi)似的代碼注入類(lèi)漏洞。并且在JavaScript靈活運(yùn)用的今天，對(duì)于XSS的檢測(cè)與預(yù)防必不可少。下面簡(jiǎn)單介紹一下XSS的預(yù)防措施。

　　(1)輸入檢測(cè)對(duì)用戶(hù)輸入的數(shù)據(jù)進(jìn)行檢測(cè)。對(duì)于這些代碼注入類(lèi)的漏洞原則上是不相信用戶(hù)輸入的數(shù)據(jù)的。所以，我們要對(duì)用戶(hù)輸入的數(shù)據(jù)進(jìn)行一定程度的過(guò)濾，將輸入數(shù)據(jù)中的特殊字符與關(guān)鍵詞都過(guò)濾掉，并且對(duì)輸入的長(zhǎng)度進(jìn)行一定的限制。只要開(kāi)發(fā)的人員嚴(yán)格檢查每個(gè)輸入點(diǎn)，對(duì)每個(gè)輸入點(diǎn)的數(shù)據(jù)進(jìn)行檢測(cè)和XSS過(guò)濾，是可以阻止XSS攻擊的。(2)輸出編碼造成XSS的還有一個(gè)原因是應(yīng)用程序直接將用戶(hù)輸入的數(shù)據(jù)嵌入HTML頁(yè)面中。如果我們對(duì)用戶(hù)輸入的數(shù)據(jù)進(jìn)行編碼，之后在嵌入頁(yè)面中，那么HTML頁(yè)面會(huì)將輸入的數(shù)據(jù)當(dāng)作是普通的數(shù)據(jù)進(jìn)行處理。(3)Cookie安全利用XSS攻擊可以輕易獲取到用戶(hù)的Cookie信息，那么需要對(duì)用戶(hù)的Cookie進(jìn)行一定的處理。首先應(yīng)盡可能減少Cookie中敏感信息的存儲(chǔ)，并且盡量對(duì)Cookie使用散列算法多次散列存放。

　　更多關(guān)于“網(wǎng)絡(luò)安全培訓(xùn)”的問(wèn)題，歡迎咨詢(xún)千鋒教育在線(xiàn)名師。千鋒教育多年辦學(xué)，課程大綱緊跟企業(yè)需求，更科學(xué)更嚴(yán)謹(jǐn)，每年培養(yǎng)泛IT人才近2萬(wàn)人。不論你是零基礎(chǔ)還是想提升，都可以找到適合的班型，千鋒教育隨時(shí)歡迎你來(lái)試聽(tīng)。