Web 安全头号大敌 XSS 漏洞解决最佳实践
引言
XSS 是目前最普遍的 Web 应用安全漏洞,它带来的危害是巨大的,是 Web 安全的头号大敌。
关键词:
- 跨站
- 脚本(JavaScript、Java、 VBScript、ActiveX、 Flash 或者 HTML)
- 注入
- 执行
1. 什么是 XSS 漏洞?
XSS 攻击:跨站脚本攻击(Cross Site Scripting),为不和 前端层叠样式表(Cascading Style Sheets)CSS 混淆,故将跨站脚本攻击缩写为 XSS。
XSS(跨站脚本攻击)是指恶意攻击者往 Web 页面里插入恶意 Script 代码,当用户浏览该页时,嵌入其中 Web 里面的 Script 代码会被执行,从而达到恶意攻击用户的目的。类似于 sql 注入。是目前最普遍的 Web 应用安全漏洞,也是 Web 攻击中最常见的攻击方式之一。
XSS( 跨站脚本攻击)攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是 JavaScript,但实际上也可以包括 Java、 VBScript、ActiveX、 Flash 或者甚至是普通的 HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和 cookie 等各种内容。
2. XSS 漏洞攻击原理及攻击手段
HTML 是一种超文本标记语言,通过将一些字符特殊地对待来区别文本和标记,例如,小于符号(<)被看作是 HTML 标签的开始,之间的字符是页面的标题等等。
当动态页面中插入的内容含有这些特殊字符(如<)时,用户浏览器会将其误认为是插入了 HTML 标签,当这些 HTML 标签引入了一段 JavaScript 脚本时,这些脚本程序就将会在用户浏览器中执行。所以,当这些特殊字符不能被动态页面检查或检查出现失误时,就将会产生 XSS 漏洞。
常用的 XSS 攻击手段和目的有:
1、盗用 cookie,获取敏感信息。
2、利用植入 Flash,通过 crossdomain 权限设置进一步获取更高权限;或者利用 Java 等得到类似的操作。
3、利用 iframe、frame、XMLHttpRequest 或上述 Flash 等方式,以(被攻击)用户的身份执行一些管理动作,或执行一些一般的如发微博、加好友、发私信等操作。
4、利用可被攻击的域受到其他域信任的特点,以受信任来源的身份请求一些平时不允许的操作,如进行不当的投票活动。
5、在访问量极大的一些页面上的 XSS 可以攻击一些小型网站,实现 DDoS 攻击的效果。
最简单的 XSS 示例:
<script>alert('hello world')</script>
<script src='http://www.smart4j.cn/xxx.js'></script>
<input type="button" value="评论"></input>3. XSS 分类如下:
分类 | 主要特点 |
|---|---|
存储型 XSS | 经过后端服务处理,数据存储在数据库端 |
反射型 XSS | 经过后端服务处理,不存储数据库 |
DOM型 XSS | 不经过后端服务处理,不存储数据库 |
4. XSS 漏洞分析
4.1 存储型 XSS
通过网页注入的代码最终会存储在数据库或其他物理文件中,在某个页面中注入的代码会被浏览器成功执行,该类型的漏洞存在持久性的特点。
主要特点:
- 存储
- 持久性
图解成因分析:
4.2 反射型 XSS
一般是通过 url 的形式注入代码,注入的代码不在服务器端存储,但会在服务器端进行处理然后进行回显,在回显时浏览器会触发漏洞执行注入代码,该类型攻击具有临时性特点。
主要特点:
- 回显
- 临时性
图解成因分析
4.3 DOM 型 XSS
也是通过 url 的形式注入代码,注入的代码服务器端程序不存储、不处理,而是由浏览器进行处理,该类型攻击也具有临时性特点。主要特点:
- 不存储、不处理
- 浏览器
- 临时性
图解成因分析
5. 三种XSS漏洞对比
分类 | 一般表现形式 | 特点 |
|---|---|---|
存储型 XSS | 表现为包含表单的页面,post提交后数据存储在数据库,通过其他页面访问触发 | 存储、持久性 |
反射型XSS | 表现为包含参数的url地址,参数经后端程序程序处理后回显,通过访问 url 触发 | url参数、后端处理参数、临时性 |
DOM型XSS | 表现为包含参数的url地址,参数由页面中的JS代码处理,通过访问 url 触发 | url参数、JS处理参数、临时性 |
6. 植入 JS 代码攻击及危害分析
外在表现形式:
- 直接注入 JavaScript 代码
- 引用外部 JS 文件
基本实现原理:
- 通过 img 标签的 src 发送数据
- 构造表单诱导用户输入账密
- 构造隐藏的 form 表单自动提交
- 页面强制跳转
- 植入文字链接、图片链接
潜在危害:
- 获取管理员或者其他用户 Cookie,冒充用户身份登录
- 构造表单诱导用户输入账号、密码,获取账密
- 跳转到其他网站,网站流量被窃取
- 植入广告、外链等
- 通过隐藏友链提升其他网站百度权重(SEO 黑帽)
7. 植入 HTML 代码攻击及危害分析
外在表现形式:
- 构造 img 标签
- 构造 a 标签
- 构造 iframe
- 构造其他 HTML 标签
基本实现原理:
- 通过 img 标签的 src 发送数据
- 通过 img 的 onerror 触发脚本代码
- 通过 a 标签被动触发脚本代码 href/onclick
- 通过 iframe 引入第三方页面
- 直接构造文字链接或图片链接
- style 属性嵌入脚本代码 background-image:url("javascript:…");(浏览器已可防范)
潜在危害:
- 获取管理员或者其他用户 Cookie,冒充用户身份登录
- 构造表单诱导用户输入账号、密码,获取账密
- 植入广告、外链等
- 通过隐藏友链提升其他网站百度权重(SEO 黑帽)
8. XSS 简单预防策略
8.1 对 html 标签进行字符替换:
replaceAll("<script", "");
...存在问题:
大小写问题
优化升级:
正则表达式
其他问题:
反替换<scr<scriptipt ——> <script
8.2 对 html 字符转义或是半角转全角字符:
{ "<", ">", "\""}
转义:
{ "<", ">", """})
全角:
{ "<", ">", "\""}新场景:
页面中需要根据某个参数生成文字链接
存在问题:
a 标签的 href 属性 javascript:
其他问题:
针对 json 字符串的场景
如何公用的问题
9. XSS 漏洞预防策略最佳实践
9.1 输入环节
- 页面限制输入长度、特殊字符限制,后端代码限制输入长度、处理特殊字符
- Filter 过滤器统一处理(自定义处理规则、使用 Apache Text、使用 Owasp AntiSamy)
9.2 Cookie 防护
- cookie 设置 httponly,一般 servlet 容器默认 httponly 为 true
- resp.setHeader("SET-COOKIE", "JSESSIONID=" + request.getSession().getId()+ "; HttpOnly");
9.3 X-Frame-Options 响应头 (是否允许frame、iframe等标记)
- DENY 不允许、SAMEORIGIN 可在相同域名页面的 frame 中展示、ALLOW-FROM uri 可在指定页的 frame 中展示
- add_header X-Frame-Options SAMEORIGIN; //在nginx的 http 或 server 节点中配置即可
- 也可通过 Filter 设置 resp.setHeader("x-frame-options","SAMEORIGIN");
9.4 输出环节
- OWASP ESAPI for Java
- 显示时对字符进行转义处理,各种模板都有相关语法,注意标签的正确使用 示例如下:
thymeleaf
<span th:utext="${ result }"></span>---><span th:text="${ result }"></span>
<!-- utext 与 text 区别 -->JSP
<c:out value=" ${ content }" escapeXml="false" />---><c:out value=" ${ content }"/> <!-- escapeXml默认true -->9.5 DOM 型 XSS
- 避免 .innerHTML、.outerHTML、document.write() 的使用,应使用 .textContent、.setAttribute() 等。
- Vue/React 技术栈,避免使用 v-html/dangerouslySetInnerHTML
- 尤其注意 onclick、onerror、onload、onmouseover 、eval()、setTimeout()、setInterval() 以及 a 标签的 href
- 可使用 OWASP esapi4js : esapi.js
10. 后端服务编码实践
通过 https://start.spring.io/ 快速创建 springboot 应用:
解压并在 IDEA 导入刚刚创建的 xss-demo 项目
在 pom.xml 添加相关依赖:
<!--防止XSS攻击的antiSamy-->
<dependency>
<groupId>org.owasp.antisamy</groupId>
<artifactId>antisamy</artifactId>
<version>1.5.7</version>
</dependency>
<!--fastjson依赖-->
<dependency>
<groupId>com.alibaba</groupId>
<artifactId>fastjson</artifactId>
<version>1.2.62</version>
</dependency>修改 xss-demo 工程包结构如下:
XSSFilter 编码如下:
/**
* @program: xss-demo
* @author: Mr.Zhang
* @create: 2021-02-21 15:45
**/
public class XssFilter implements Filter {
@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
HttpServletRequest httpServletRequest = (HttpServletRequest) request;
HttpServletRequest req = (HttpServletRequest) request;
String path = req.getServletPath();
//注解配置的是urlPatterns="/*"(过滤所有请求),所以这里对不需要过滤的静态资源url,作忽略处理(大家可以依照具体需求配置)
String[] exclusionsUrls = {".js", ".gif", ".jpg", ".png", ".css", ".ico"};
for (String str : exclusionsUrls) {
if (path.contains(str)) {
chain.doFilter(request, response);
return;
}
}
chain.doFilter(new XssRequestWrapper(httpServletRequest), response);
}
}XssRequestWrapper 包装类编码如下:
/**
* @program: xss-demo
* @author: Mr.Zhang
* @create: 2021-02-21 15:46
**/
@Slf4j
public class XssRequestWrapper extends HttpServletRequestWrapper {
public XssRequestWrapper(HttpServletRequest request) {
super(request);
}
/**
* 获取策略文件,直接使用jar中自带的ebay策略文件
*/
private static InputStream inputStream = XssRequestWrapper.class.getClassLoader()
.getResourceAsStream("antisamy-ebay.xml");
private static Policy policy = null;
static {
try {
// 使用静态代码块处理策略对象的创建
policy = Policy.getInstance(inputStream);
} catch (PolicyException e) {
e.printStackTrace();
}
}
/**
* 使用AntiSamy进行过滤数据
* @param html
* @return
*/
private String xssClean(String html) {
String cleanHTML = "";
try {
AntiSamy antiSamy = new AntiSamy();
CleanResults scan = antiSamy.scan(html, policy);
cleanHTML = scan.getCleanHTML();
} catch (ScanException e) {
e.printStackTrace();
} catch (PolicyException e) {
e.printStackTrace();
}
return cleanHTML;
}
/**
* 重写处理请求参数的方法
* @param name
* @return
*/
@Override
public String[] getParameterValues(String name) {
String[] values = super.getParameterValues(name);
// 判断参数有值,如果没有值,直接返回
if (values == null) {
return null;
}
// 遍历参数数组,使用AntiSamy进行过滤
int len = values.length;
String[] newValues = new String[len];
for (int i = 0; i < len; i++) {
// 过滤前的数据
log.info("使用AntiSamy进行过滤清理,过滤清理之前的数据:{}", values[i]);
// 进行过滤
newValues[i] = xssClean(values[i]);
// 过滤后的数据
log.info("使用AntiSamy进行过滤清理,过滤清理之后的数据:{}", newValues[i]);
}
//返回过滤后的结果
return newValues;
}
/**
* 重写处理json数据的方法
* @return
* @throws IOException
*/
@Override
public ServletInputStream getInputStream() throws IOException {
// 读取流
BufferedReader reader = new BufferedReader(
new InputStreamReader(super.getInputStream(), "UTF-8"));
// 获取json格式的数据
StringBuilder sb = new StringBuilder();
String inputStr;
while ((inputStr = reader.readLine()) != null) {
sb.append(inputStr);
}
// 把json转为map
Map map = JSON.parseObject(sb.toString(), Map.class);
// 过滤前
log.info("json过滤前:{}", sb.toString());
// 对map中的value值进行AntiSamy的过滤
map.keySet().forEach(k -> {
map.put(k, xssClean(map.get(k).toString()));
});
// 过滤后
String json = JSON.toJSONString(map);
log.info("json过滤后:{}", json);
// 把json数据转为流的格式进行返回
ByteArrayInputStream bais = new ByteArrayInputStream(json.getBytes());
return new ServletInputStream() {
@Override
public boolean isFinished() {
return false;
}
@Override
public boolean isReady() {
return false;
}
@Override
public void setReadListener(ReadListener listener) { }
@Override
public int read() throws IOException {
return bais.read();
}
};
}
}AntiSamyConfig 配置过滤器类编码如下:
/**
* @program: xss-demo
* @author: Mr.Zhang
* @create: 2021-02-21 15:58
**/
@Configuration
public class AntiSamyConfig {
/**
* 配置xss过滤器
* @return
*/
@Bean
public FilterRegistrationBean create() {
FilterRegistrationBean filterRegistrationBean = new FilterRegistrationBean(new XssFilter());
filterRegistrationBean.addUrlPatterns("/*");
filterRegistrationBean.setOrder(1);
return filterRegistrationBean;
}
}User 实体类:
/**
* @program: xss-demo
* @author: Mr.Zhang
* @create: 2021-02-21 15:42
**/
@Data
public class User {
private int id;
private String name;
private int age;
}UserController 测试控制器类编码如下:
/**
* @program: xss-demo
* @author: Mr.Zhang
* @create: 2021-02-21 15:43
**/
@Slf4j
@RestController
@RequestMapping("user")
public class UserController {
/**
* 表单
* @param user
* @return
*/
@PostMapping("save")
public String save(User user) {
log.info("name={}, age={}", user.getName(), user.getAge());
return JSON.toJSONString(user);
}
/**
* json数据格式请求体
* @param user
* @return
*/
@PostMapping("json")
public String saveJson(@RequestBody User user) {
log.info("user={}", user.toString());
return JSON.toJSONString(user);
}
}application.properties 配置文件为空,运行启动类后默认端口号8080。
Postman 模拟表单数据请求及响应效果如下:
后端程序控制台日志打印如下:
Postman 模拟 json 数据请求及响应效果如下:
后端程序控制台日志打印如下:
以上两个情况,请求参数中隐藏的 xss 攻击代码被过滤器过滤后再进入 Contrlloer 层处理。
11. 能不能根本上解决问题,即浏览器自动禁止外部注入恶意脚本?
开启 CSP (内容安全策略 Content Security Policy)方法:设置 HTTP 的 头部字段
resp.setHeader("Content-Security-Policy","default-src http: https:");设置网页的<meta>标签
<meta http-equiv="Content-Security-Policy" content="form-action 'self';">CSP 常见可选策略设置如下:
策略 | 含义 |
|---|---|
default-src http: https: ; | 只能通过外联的方式引用 js 和 css |
default-src 'self' http://smart4j.cn/; | 只能在指定的域下加载文件(包含 img) |
form-action 'self''; | form 表单的只能在指定域提交 |
script-src 'self'; | 只限制 js 文件在同域加载文件 |
report-uri /report; | 向指定uri发送违规报告(不支持 meta 方式) |