软件安全性测试（连载3）

顾翔

发布于 2019-12-12 11:51:39

6120

发布于 2019-12-12 11:51:39

2 软件安全测试

2.1 XSS注入

XSS（Cross SiteScripting），由于与层叠样式表（CascadingStyle Sheets，CSS）的缩写混淆。因此一般缩写为XSS。XSS攻击通常指的是通过利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。攻击代码，在XSS中称作PayLoad。

1. XSS原理

比如有以下一段HTML代码。

<input type='text'value='$var' name='username' />

其中value的参数$var是由用户输入，通过以下jsp代码获得的。

<%
Stringname=request.getPrarmeter("username");
%>
<%=name%>

假设用户输入的$var参数为“<script>alert(/XSS/)</script>”，前端HTML代码为。

<input type='text'value='<script>alert(/XSS/)</script>' name='username' />

后端显示变为。

<script>alert(/XSS/)</script>

这样JavaScript程序被运行。虽然这段JavaScript注入代码（学名为PayLoad）非常简单，但是可以变为一段非常可怕的侵入代码，获取客户端包括操作系统内的所有信息。

2. XSS注入分类

XSS注入可以分为三类，“反射型XSS”“存储型XSS”和“DOM型 XSS”。

1）反射型XSS（Non-Persistent XSS）

反射型只是简单地把用户输入的数据反射给浏览器，黑客需要诱使用户点击链接。也叫“非持久型XSS” 上一节中的注入就属于反射型XSS。

2）存储型XSS（Persistent XSS）

存储型XSS把用户输入的数据“存储”在服务器端。这种XSS具有很强的稳定性。比如博客产品将博文标题与内容存储在MySQL数据库中，然后通过jsp程序将其显示在网页上。

<%
String title = rs.getTitle();
String content =rs.getContent();
%>
<P>
文章标题：<%= title %><br/>
文章内容：<%= content %><br/>
</P>

如果title或者content包含XSS PayLoad，这样页面就存在威胁了。

3）DOM型 XSS

在讲解DOM型 XSS前先简单介绍一下什么是DOM树。对于任何一个HTML网页都可以看作是从<html>标签到文本节点的一颗“树”，这颗“树”叫做DOM树。如8下面这段HTML代码的DOM树。

<html>
<head>
<title>文档标题</title>
</head>
<body>
<a href="#">我的链接</a>
<h1>我的标题</h1>
</body>
</html>

8 DOM树

DOM型 XSS注入在原有的HTML对应的DOM树中插入一个节点，然后在这个节点上注入XSS的PayLoad。请看如下代码。

<script>
function test(){
    var str=document.getElementById("text").value;
   document.getElementById("t").innerHTML ="<ahref='"+str+"'>testlink</a>"
}
<body>
<divid="t"></div>
<input type="text"id="text" value="" />
<inputtype="button" id="s" value="write"onclick="test()"/><br>
<textareaname="input" rows="10"cols="40">'onclick=alert(/XSS/) //
或者输入：  ' ><imgsrc=# onerror=alert(/XSS/) /><'
</textarea>  
</form>
</body>

JavaScript代码在id="t"的位置插入一个标签为<a>的DOM节点，标签<a>节点的href属性来源于id="text"的< input >属性的值。如果用户输入“'onclick=alert(/XSS/) //”，标签变为。

<a href=''onclick=alert(/XSS/)//'>testlink</a>

当点击testlink这个超链接，XSS PayLoad就被触发。或者如果用户输入“<ahref=''><img src=# onerror=alert(/XSS/) /><''>testlink</a>”，标签变为。

<a href=''><img src=#onerror=alert(/XSS/) /><''>testlink</a>

这个时候，不用点击testlink这个超链接，XSS PayLoad就被触发。

3. XSS会话挟持

如果将上面XSS PayLoad的alert(/XSS/)改为alert(document.cookie)，看看会发现什么情形。代码如下。

…
<%
response.addHeader("Set-Cookie","username=jerry;Expires=Thu,01-Jan-203000:00:01 GMT;path=/");
response.addHeader("Set-Cookie","password=123456;Expires=Thu,01-Jan-203000:00:01 GMT;path=/");
%>
…
window.onload=function load(){
    window.location.href="login11.jsp"}
…

在login11.jsp有如下代码。

<inputtype="button" value="显示Cookies"onclick="javascript:alert(document.cookie)">

当点击【显示Cookies】的后就会把“username=jerry；password=123456”给显示出来。程序通常会在Cookie中设置一些用户隐私信息，这些信息一旦泄露，是否有一定威胁的。那么有什么办法可以不让用户获得Cookie信息呢？这个时候“HTTPOnly”这个武器就出场了。HttpOnly cookie最初是由Microsoft Internet Explorer开发人员于2002年在Internet Explorer 6 SP1的版本中实现。HttpOnly是Set-Cookie HTTP响应头中包含的附加标志。生成cookie时使用HttpOnly标志有助于降低客户端脚本访问受保护cookie的风险（如果浏览器支持它）。把上面代码修改一下。

…
<%
response.addHeader("Set-Cookie","username=jerry;Expires=Thu,01-Jan-203000:00:01 GMT;path=/;HttpOnly");
response.addHeader("Set-Cookie","password=123456;Expires=Thu,01-Jan-203000:00:01 GMT;path=/;HttpOnly");
%>
…
window.onload=function load(){
    window.location.href="login11.jsp"}
…
<inputtype="button" value="显示Cookies"onclick="javascript:alert(document.cookie)">

在login11.jsp代码不变。这个时候当点击【显示Cookies】的后，username和password的cookie信息都不将被显示。HttpOnly在JavaScript、PHP、ASP、JSP脚本以及JBOSS、Tomcat、Apatch等WEB Service中均可以设置。比如在TomCattom中的/conf/ 目录下context.xml修改<Context useHttpOnly="true">即可将所有的Cookies设置HttpOnly。

4. XSS蠕虫

XSS蠕虫是一种危害最大的XSS注入PayLoad，通过AJAX技术使成千上万的网民中招，曾经在百度等各大网站上都发生过。如9所示。

9 XSS蠕虫效应

下面来简单介绍一下XSS蠕虫。微博系统的URL如下：http://www.mydomain.com。其中。

l http://www.mydomain.com/Listen.php：查看自己的微博。

l http://www.mydomain.com/forward.php?userid=7&articleid=23：编号为123的微博转发个编号为7的用户，其中123为微博号，7为用户号。

l http://www.mydomain.com?userinfo.php：查看自己的粉丝信息。

第一步：发表一个正常微博文章，记录文章的articleID, 假设为23

第二步：通过http://www.mydomain.com?userinfo.php获取所有userid，存在一个数组中。

第三步：在博文中添加下面代码。

<script>
function GetUserId(){
 …//通过AJAX获得UserId
    returnUserId;
}
function GetForWardUrl(){
    foreach user{
          var UserId = GetUserId();
          var ForWardUrl ="http://www.mydomain.com/forward.php?userid="+ UserId+"&articleid=23"
}}
function ListenUser(){
    varlistenUrl = "http://www.mydomain.com/Listen.php;
 …//通过AJAX或者其他方式查看
}
function ForWard(){
    varforWardUrl = GetForWardUrl();
 …//通过AJAX或者其他方式访问此URL转发微博
}
function attack(){
    ForWard();   //把本文章转发给用户
    ListenUser();        //查看自己的微博
}
attack();  //蠕虫发作
</script>

第四步：通过ListenUser()方法查看这篇博文，蠕虫发作。这五个函数调用图如10所示。