qileilove

blog已经转移至github,大家请访问 http://qaseven.github.io/

Web安全测试之XSS

XSS 全称(Cross Site Scripting) 跨站脚本攻击, 是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的.  比如获取用户的Cookie,导航到恶意网站,携带木马等。
  作为测试人员,需要了解XSS的原理,攻击场景,如何修复。 才能有效的防止XSS的发生。
  XSS 是如何发生的呢
  假如有下面一个textbox
  <input type="text" name="address1" value="value1from">
  value1from是来自用户的输入,如果用户不是输入value1from,而是输入 "/><script>alert(document.cookie)</script><!- 那么就会变成
  <input type="text" name="address1" value=""/><script>alert(document.cookie)</script><!- ">
  嵌入的JavaScript代码将会被执行
  或者用户输入的是  "onfocus="alert(document.cookie)      那么就会变成
  <input type="text" name="address1" value="" onfocus="alert(document.cookie)">
  事件被触发的时候嵌入的JavaScript代码将会被执行
  攻击的威力,取决于用户输入了什么样的脚本
  当然用户提交的数据还可以通过QueryString(放在URL中)和Cookie发送给服务器. 例如下图
  HTML Encode
  XSS之所以会发生, 是因为用户输入的数据变成了代码。 所以我们需要对用户输入的数据进行HTML Encode处理。 将其中的"中括号", “单引号”,“引号” 之类的特殊字符进行编码。
  在C#中已经提供了现成的方法,只要调用HttpUtility.HtmlEncode("string <scritp>") 就可以了。  (需要引用System.Web程序集)
  Fiddler中也提供了很方便的工具, 点击Toolbar上的"TextWizard" 按钮
  XSS 攻击场景
  1. Dom-Based XSS 漏洞 攻击过程如下
  Tom 发现了Victim.com中的一个页面有XSS漏洞,
  例如: http://victim.com/search.asp?term=apple
  服务器中Search.asp 页面的代码大概如下
 在网页中的Textbox或者其他能输入数据的地方,输入这些测试脚本, 看能不能弹出对话框,能弹出的话说明存在XSS漏洞
  在URL中查看有那些变量通过URL把值传给Web服务器, 把这些变量的值退换成我们的测试的脚本。  然后看我们的脚本是否能执行
  方法三:  自动化测试XSS漏洞
  现在已经有很多XSS扫描工具了。 实现XSS自动化测试非常简单,只需要用HttpWebRequest类。 把包含xss 测试脚本。发送给Web服务器。 然后查看HttpWebResponse中,我们的XSS测试脚本是否已经注入进去了。
  HTML Encode 和URL Encode的区别
  刚开始我老是把这两个东西搞混淆, 其实这是两个不同的东西。
  HTML编码前面已经介绍过了,关于URL 编码是为了符合url的规范。因为在标准的url规范中中文和很多的字符是不允许出现在url中的。
  例如在baidu中搜索"测试汉字"。 URL会变成
  http://www.baidu.com/s?wd=%B2%E2%CA%D4%BA%BA%D7%D6&rsv_bp=0&rsv_spt=3&inputT=7477
  所谓URL编码就是: 把所有非字母数字字符都将被替换成百分号(%)后跟两位十六进制数,空格则编码为加号(+)
  在C#中已经提供了现成的方法,只要调用HttpUtility.UrlEncode("string <scritp>") 就可以了。  (需要引用System.Web程序集)
  Fiddler中也提供了很方便的工具, 点击Toolbar上的"TextWizard" 按钮
  浏览器中的XSS过滤器
  为了防止发生XSS, 很多浏览器厂商都在浏览器中加入安全机制来过滤XSS。 例如IE8,IE9,Firefox, Chrome. 都有针对XSS的安全机制。 浏览器会阻止XSS。 例如下图
  如果需要做测试, 最好使用IE7。
  ASP.NET中的XSS安全机制
  ASP.NET中有防范XSS的机制,对提交的表单会自动检查是否存在XSS,当用户试图输入XSS代码的时候,ASP.NET会抛出一个错误如下图
  很多程序员对安全没有概念, 甚至不知道有XSS的存在。 ASP.NET在这一点上做到默认安全。 这样的话就算是没有安全意识的程序员也能写出一个”较安全的网站“。
  如果想禁止这个安全特性, 可以通过 <%@  Page  validateRequest=“false"  %>

posted on 2014-03-11 10:52 顺其自然EVO 阅读(684) 评论(0)  编辑  收藏 所属分类: 安全性测试


只有注册用户登录后才能发表评论。


网站导航:
 
<2014年3月>
2324252627281
2345678
9101112131415
16171819202122
23242526272829
303112345

导航

统计

常用链接

留言簿(55)

随笔分类

随笔档案

文章分类

文章档案

搜索

最新评论

阅读排行榜

评论排行榜