 描述
敌人利用web应用程序生成web内容,如链接在一个HTML页面,根据用户或不当验证数据提交的其他演员。XSS HTTP头攻击目标的HTTP头中隐藏的大多数用户,不得通过web应用程序进行验证。
攻击的可能性
典型的严重性
的关系
 此表显示了其他的攻击模式和高水平类别相关的这种攻击模式。这些关系被定义为ChildOf ParentOf,给类似的项目可能存在的洞察力在较高和较低的抽象级别。此外,关系如光束,PeerOf, CanAlsoBe定义显示类似的攻击模式,用户可能想要探索。
| 自然 |
类型 |
ID |
的名字 |
| ChildOf |
 详细的攻击模式-一个详细级别攻击模式CAPEC提供了一个低水平的细节,通常利用一个特定的技术和针对特定的技术,并表达一个完整的执行流程。详细的攻击模式比元更具体的攻击模式和标准的攻击模式,通常需要一个特定的保护机制来减轻实际攻击。详细的级别攻击模式通常会利用许多不同的标准水平攻击模式链接在一起来完成一个目标。 |
588年 |
基于dom的XSS |
| ChildOf |
详细的攻击模式-一个详细级别攻击模式CAPEC提供了一个低水平的细节,通常利用一个特定的技术和针对特定的技术,并表达一个完整的执行流程。详细的攻击模式比元更具体的攻击模式和标准的攻击模式,通常需要一个特定的保护机制来减轻实际攻击。详细的级别攻击模式通常会利用许多不同的标准水平攻击模式链接在一起来完成一个目标。 |
591年 |
反映XSS |
| ChildOf |
详细的攻击模式-一个详细级别攻击模式CAPEC提供了一个低水平的细节,通常利用一个特定的技术和针对特定的技术,并表达一个完整的执行流程。详细的攻击模式比元更具体的攻击模式和标准的攻击模式,通常需要一个特定的保护机制来减轻实际攻击。详细的级别攻击模式通常会利用许多不同的标准水平攻击模式链接在一起来完成一个目标。 |
592年 |
存储XSS |
此表显示了这种攻击模式的观点属于和顶级类别内的这一观点。
执行流程
探索
调查申请公开链接:使用浏览器或一个自动化工具,敌人之前所有公共网站的链接。他们记录所有入口点(输入),成为生成HTTP头(不仅GET / POST /饼干,而且内容类型,等等)。
| 技术 |
| 使用搜索工具跟踪和记录所有的链接和分析网页找到入口点。特别注意的任何链接,包括参数用于HTTP头。 |
| 寻找HTML meta标记,可以注射 |
| 使用一个代理工具来记录所有的链接访问web应用程序的手册中遍历。 |
| 网站使用浏览器手动探索和分析它是如何构建的。许多浏览器的插件可以促进分析或自动发现。 |
实验
XSS漏洞探测识别潜在入口点:
对手使用入口点聚集在“探索”阶段作为目标列表和注入各种常见脚本载荷可以确定一个入口点实际上代表一个脆弱和描述在多大程度上可以利用的漏洞。他们记录所有来自服务器的响应,包括修改的版本的脚本。
敌人也试图注入额外参数的HTTP请求是否反映在web页面或HTTP响应。
| 技术 |
| 手动注入各种脚本载荷每个确定入口点使用的公共脚本注入探针,观察系统行为来确定脚本被执行死刑。 |
| 使用一个自动注入攻击工具注入各种脚本载荷每个确定入口点使用的公共脚本注入探针,观察系统行为来确定脚本被执行死刑。 |
| 使用一个代理工具记录结果XSS探针的手工输入url。 |
工艺恶意XSS URL:一旦对手确定哪些参数是容易受到XSS,他们将工艺包含XSS攻击的恶意URL。敌人可以有许多目标,从窃取会话id,饼干,凭据和页面内容的受害者。
| 技术 |
| 改变一个URL参数用于HTTP报头包含恶意脚本标签。因为它是在头可能绕过验证。 |
| 从恶意脚本收集的信息发送到远程端点。 |
利用
让受害者点击网址:为了成功的攻击,受害者需要访问恶意URL。
| 技术 |
| 网络钓鱼电子邮件发送到包含恶意URL的受害者。这可以隐藏在一个超链接不显示完整的URL,这可能会引起怀疑。 |
| 把恶意URL放在一个公共论坛,很多受害者可能会意外地点击链接。 |
先决条件
技能要求
|
(等级:低) 实现重定向和使用更少的可靠来源,敌人可以简单地编辑HTTP头,被发送到客户机。 |
|
(级别:高) 开发一个客户端漏洞将恶意脚本注入浏览器的执行过程。 |
所需资源
| 对手必须有能力部署自定义恶意服务访问的目标客户和abbility同步或异步通信的客户端机器。敌人也必须控制远程站点的一些客户端和数据重定向。 |
后果
这个表指定不同的个体与攻击模式相关的后果。范围确定违反了安全属性,而影响了负面的技术影响,如果敌人成功的攻击。可能提供的信息如何可能的具体结果预计将看到列表中相对于其它后果。例如,可能有高可能性模式将被用来实现一定的影响,但较低的可能性,它将被利用来实现不同的影响。
| 范围 |
影响 |
可能性 |
|
保密
完整性
可用性 |
执行未经授权的命令 |
|
|
保密 |
读取数据 |
|
|
保密
访问控制
授权 |
获得特权 |
|
缓解措施
| 设计:使用浏览器技术,不允许客户端脚本。 |
| 设计:利用严格的类型、字符和编码执行 |
| 设计:服务器端开发人员不应该通过XHR代理内容或其他方式,如果一个http代理远程内容设置在服务器端,客户端浏览器无法识别数据来自的地方。 |
| 实现:确保所有内容交付给客户是消毒与一个可接受的内容规范。 |
| 实现:对所有远程执行输入验证的内容。 |
| 实现:对所有远程执行输出验证的内容。 |
| 实现:在浏览器中禁用脚本语言JavaScript等 |
| 实现:会话令牌为特定的主机 |
| 实现:修补软件。有很多对XSS攻击向量在客户端和服务器端。许多浏览器漏洞被固定在服务包,web服务器、和插入技术,保持当前处理XSS对策,缓解了这一补丁发布。 |
例子,实例
利用远程样式表设置HTTP头的XSS攻击。当对手能够指向远程样式表,任何样式表是可控的变量设置在客户端远程对手。像大多数XSS攻击,结果取决于使用的浏览器(ref - 97]。
< META HTTP-EQUIV =“链接”内容= " < http://ha.ckers.org/xss.css >;REL =样式表" > |
谷歌的404重定向脚本被发现容易受到这种攻击向量。 谷歌的404文件未找到页面阅读 *响应标头:“的content - type: text / html;charset =(编码)”。 *响应主体:< META http-equiv =“内容类型”(…)字符集=(编码)/ > 如果响应发送一个意想不到的编码类型,如utf - 7,然后没有执行完成载荷和任意XSS代码将运输标准的HTTP响应。(ref - 476] |
| XSS可以使用在各种各样的方面,因为它是脚本并执行在一个分布式,异步方式它可以创建自己的向量和机会。例如,对手可以使用XSS发动DDoS攻击通过一系列不同的电脑在不知情的情况下执行请求对一个主机上。 |
引用
|
[REF-1] g·霍格伦德和g·麦格劳。“利用软件:如何打破代码”。addison - wesley。2004 - 02。 |
|
|
|
|
 内容的历史
| 提交 |
| 提交日期 |
提交者 |
组织 |
| 2014-06-23
(版本2.6) |
CAPEC内容团队 |
manbetx客户端首页 |
|
| 修改 |
| 修改日期 |
修饰符 |
组织 |
| 2017-05-01
(版本2.10) |
CAPEC内容团队 |
manbetx客户端首页 |
| Attack_Prerequisites更新,描述总结,Related_Attack_Patterns Related_Weaknesses Resources_Required |
| 2020-07-30
(版本3.3) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Example_Instances Execution_Flow |
| 2020-12-17
(版本3.4) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新引用,Related_Attack_Patterns |
| 2022-02-22
(版本3.7) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Example_Instances、Execution_Flow Skills_Required |
| 2022-09-29
(版本3.8) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Example_Instances |
| 以前的条目名称 |
| 改变日期 |
以前的条目名称 |
| 2017-05-01
(版本2.10) |
嵌入脚本攻击(XSS)在HTTP头 |
|
|
描述
此表显示了其他的攻击模式和高水平类别相关的这种攻击模式。这些关系被定义为ChildOf ParentOf,给类似的项目可能存在的洞察力在较高和较低的抽象级别。此外,关系如光束,PeerOf, CanAlsoBe定义显示类似的攻击模式,用户可能想要探索。
内容的历史
