當(dāng)前位置 : 首頁>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>黑客攻防>正文

跨站腳本攻擊的危害及cookie盜竊

http://www.yibo1263.com　2009-7-3 8:23:17 　來源:東北IT網(wǎng) 　編輯:葉子

由于使用了較短的URL把冗長(zhǎng)的URL隱藏了起來，這樣就更容易獲取人們（甚至一些老道的計(jì)算機(jī)用戶）的信任，從而單擊惡意鏈接，例如，對(duì)于下面這個(gè)容易露餡的HTML注入：

http://search.engine.com/search?p=

我們可以把它映射成一個(gè)單獨(dú)的URL，如下所示：

http://tinyurl.com/2optv9

目前，就算是警惕性很高的計(jì)算機(jī)用戶也很少有人知道類似的TinyURL的提供URL縮短服務(wù)的站點(diǎn)。這樣，我們可以通過不太流行的提供URL縮短技術(shù)的Web應(yīng)用程序獲取更多有經(jīng)驗(yàn)的計(jì)算機(jī)用戶的信任，從而使他們?nèi)ズ翢o疑慮的點(diǎn)擊我們的鏈接；此外，我們也可以創(chuàng)建自己的web頁面，并在其中放入下列內(nèi)容：

注意，document.location的字符串中的標(biāo)簽在上述JavaScript被執(zhí)行之前是作為HTML出現(xiàn)的。對(duì)于POST方式的HTML注入，您可以編寫下面的代碼：

〈html〉
〈body〉
〈!-- something distracting like a cute kitten --〉
〈img src=cuteKitten.jpg〉
〈!-- and some HTML injection --〉
〈form action="http://search.engine.com/search" method="POST"
name="evilForm"〉
〈input type="hidden" name="p" value="〈script〉a_lert(1)〈/script〉"〉
〈/form〉
〈script〉
document.evilForm.submit()
〈/script〉
〈/body〉
〈/html〉

現(xiàn)在，把上述代碼放到您自己的Web站點(diǎn)或者blog中——如果沒有的話，現(xiàn)在有許多免費(fèi)的Web站點(diǎn)以及blog托管站點(diǎn)可用。
一種不錯(cuò)的隱蔽技術(shù)是濫用IE的MIME類型不匹配問題。例如，創(chuàng)建一個(gè)文本文件，將其命名為cuteKitten.jpg，然后放入下列內(nèi)容：

〈iframe style="display:none"
src="http://search.engine.com/search?p=〈script〉a_lert(1)"〉〈/iframe〉
〈img src="someCuteKitten.jpg"〉

上載cuteKitten.jpg，例如放到http://somwhere.com/cuteKitten.jpg。當(dāng)用戶點(diǎn)擊該鏈接時(shí)，IE會(huì)認(rèn)出cuteKitten.jpg根本就不是一張圖像，所以它繼而將其作為HTML進(jìn)行解釋。這樣在顯示圖像someCuteKitten.jpg的時(shí)候?qū)嶋H上會(huì)在后臺(tái)利用一個(gè)注入的HTML代碼。

最后，攻擊者只要注冊(cè)一個(gè)聽起來很正規(guī)的域名并且將該html注入寄放在該域名中即可。例如，googlesecured.com就是一個(gè)看上去很真可信的域名。

八、促使用戶單擊注入的HTML代碼

利用“免費(fèi)色情圖片”以及“偉哥甩賣”來引誘別人已經(jīng)成為過去，現(xiàn)在，攻擊者通常會(huì)促使用戶去做一些普通大眾經(jīng)常做的事情，諸如單擊一個(gè)新聞鏈接、欣賞一副可愛的小貓的圖片等等，當(dāng)然使用的方法在前面我們已經(jīng)說過了。

例如，快到情人節(jié)了，大多數(shù)年輕人都希望給愛人一個(gè)驚喜。攻擊者就會(huì)考慮利用“閱讀本文以了解如何您的愛人一個(gè)與眾不同的情人節(jié)”之類的文字來誘惑用戶單擊鏈接。借助于XSS蠕蟲，如果人們看到這封郵件來自其好友的話，那么人們會(huì)毫不猶豫地點(diǎn)擊它。

然而，攻擊者放入的文字越多，越容易引起潛在受害者的疑慮�，F(xiàn)今，最有效的信件應(yīng)當(dāng)只發(fā)給潛在的受害者一個(gè)鏈接，而根本不附加任何文字。好奇是人類的本性，在這種強(qiáng)烈的本能的驅(qū)使下，點(diǎn)擊該鏈接將大有人在。

至此，攻擊手法的介紹已經(jīng)告一段落，下面開始簡(jiǎn)要介紹針對(duì)跨站腳本攻擊的防御措施。

九、防御跨站點(diǎn)腳本攻擊

為了防御XSS攻擊，開發(fā)人員必須謹(jǐn)慎處理由用戶提供的并且又反過來提供給用戶的那些數(shù)據(jù)。這里所說的“用戶提供的數(shù)據(jù)”應(yīng)該定義為所有從外部網(wǎng)絡(luò)連接發(fā)送給Web應(yīng)用程序的那些數(shù)據(jù)。

它可以是登錄時(shí)用HTML表單提交的用戶名，一個(gè)后臺(tái)的Ajax請(qǐng)求、一封電子郵件、乃至http報(bào)頭。要把所有這些數(shù)據(jù)都看作是從外部網(wǎng)絡(luò)連接進(jìn)入Web應(yīng)用程序的有潛在危險(xiǎn)的數(shù)據(jù)。

對(duì)于所有由用戶提供的隨后又通過HTTP應(yīng)答（諸如Web頁面以及AJAX響應(yīng)（HTTP響應(yīng)碼200）、頁面未找到錯(cuò)誤（HTTP響應(yīng)碼404）、服務(wù)器錯(cuò)誤(類似的HTTP 響應(yīng)碼502)、重定向(例如HTTP 響應(yīng)碼302，等等）回顯給用戶的那些數(shù)據(jù)，開發(fā)人員必須采取下列措施之一：

本新聞共4頁,當(dāng)前在第3頁 1 2 3 4

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

·杜絕Cookie傳送提高網(wǎng)站訪問速度

·三種禁用Cookie的方法讓上網(wǎng)更安全

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费