常见的弱点枚举

跨站点脚本(XSS)攻击发生时:

1. 不可信的数据进入一个web应用程序,通常从web请求。
2. web应用程序动态生成一个web页面,其中包含这个不可信的数据。
3. 在页面生成过程中,应用程序不包含内容,防止数据被web浏览器执行,如JavaScript、HTML标记,HTML属性,鼠标事件,Flash, ActiveX等等。
4. 受害者通过web浏览器访问生成的web页面,其中包含恶意脚本注入使用不可信的数据。
5. 因为脚本来自web服务器发送的web页面,受害者的web浏览器执行恶意脚本上下文的web服务器的域。
6. 这实际上违反了web浏览器的同源策略的意图,即脚本在一个领域不应该能够访问资源或运行代码在一个不同的领域。

有三个主要类型的XSS:

• 类型1:反映XSS(或非持久性)——直接从HTTP请求和服务器读取数据反映了它在HTTP响应。反映XSS攻击发生时,攻击者会导致受害者提供危险的内容一个脆弱的web应用程序,然后再反射回受害人和执行的web浏览器。最常见的机制提供恶意内容是包括作为一个参数在一个URL公示或邮件直接受害者。URL构造以这种方式构成许多钓鱼计划的核心,即攻击者说服受害者访问URL,指的是一个脆弱的网站。网站反映了攻击者的内容后回受害者,受害者的浏览器执行的内容。
• 类型2:存储XSS(或长期)——应用程序将危险的数据存储在一个数据库,信息论坛,访客日志或其他可信的数据存储。在稍后的时间,随后危险数据读回应用程序,包括在动态内容。从攻击者的角度来看,最优注入恶意内容的地方是在一个区域显示许多用户或用户特别有趣。有趣的用户通常有高特权应用程序或与敏感数据,攻击者是有价值的。如果其中一个用户执行恶意内容,攻击者能够代表用户执行特权操作或访问敏感数据属于用户。例如,攻击者可能注入XSS日志消息,这可能无法正确处理当管理员日志的看法。
• 0型:基于dom的XSS——基于dom的XSS,客户机执行注入XSS页面;其他类型的服务器执行注射。基于dom的XSS一般包括服务器控制,信任脚本发送到客户端,如Javascript执行健康检查在用户提交表单。如果server-supplied脚本进程用户提供的数据,然后注入web页面(如动态HTML),然后基于dom的XSS是可能的。

一旦注入恶意脚本,攻击者可以执行各种恶意活动。攻击者可以转移私人信息,比如饼干,可能包括会话信息,攻击者从受害者的机器。攻击者可以恶意请求发送到一个网站代表受害者,这可能是特别危险的网站如果受害人有管理员权限来管理该网站。钓鱼攻击可以用来模拟可信网站和诱骗受害人进入一个密码,允许攻击者妥协受害者的账户在那个网站。最后,脚本可以利用web浏览器本身的脆弱性可能接管受害者的机器,有时被称为“驾车窃听。”

在许多情况下,可以启动攻击受害者不知不觉。即使小心用户,攻击者经常使用各种方法来编码的恶意攻击,比如URL编码或者Unicode,所以请求看起来不那么可疑。

该清单显示了给定的弱点可以可能的地区出现。这些可能是为特定命名的语言,操作系统,架构、模式、技术、或一个类这样的平台。列出的平台是随着频率的出现疲态实例。

语言

技术

示例1

这段代码在网页上显示欢迎消息基于HTTP GET username参数。这个例子包含了反映XSS(1型)的场景。

因为参数可以任意页面的url可能修改所以$用户名包含脚本语法,等

这导致一种无害的警告对话框出现。最初这似乎不可能的漏洞。毕竟,为什么会有人输入一个URL,导致恶意代码运行在自己的电脑吗?真正的危险是,攻击者将创建恶意URL,然后使用电子邮件或社会工程技巧来吸引受害者访问的URL链接。受害者点击链接时,无意中反映了恶意的内容通过脆弱的web应用程序回自己的电脑。

更实际的是,攻击者可以嵌入一个虚假的登录框在页面上,欺骗用户到用户的密码发送给攻击者:

如果用户点击这个链接那么受欢迎。php将生成以下HTML并将其发送到用户的浏览器:

URL的信赖域可能错误地向用户保证,可以按照链接。然而,一个精明的用户可能会发现可疑的文本附加到URL。攻击者可能会进一步混淆的URL(以下示例的链接是可读性分解成多行):

同样的攻击字符串也可以混淆:

这两种攻击的链接将导致虚假的登录框出现在页面上,用户更有可能忽略无法解释的文本url的末尾。

示例2

这个示例还显示一个反映XSS(1型)的场景。

以下JSP代码段读取一个雇员ID,开斋节,从一个HTTP请求并将其显示给用户。

下面的ASP。净代码段读取一个雇员ID号从一个HTTP请求并将其显示给用户。

这个例子中的代码运行正确,如果雇员ID变量只包含字母数字文本标准。如果它有价值,包括元字符或源代码,那么代码将执行的web浏览器,因为它显示了HTTP响应。

示例3

这个例子包括一个存储XSS(2型)的场景。

以下JSP代码片段查询数据库与给定ID和一个员工打印相应的员工的名字。

下面的ASP。净查询数据库的代码段与给定的雇员ID和一个员工打印的名字对应的ID。

这段代码会显得更少的危险,因为名字是读取数据库的价值,显然是由应用程序管理的内容。然而,如果名字来源于用户提供的数据的价值,那么数据库可以为恶意内容的一个渠道。没有适当的输入验证所有数据存储在数据库中,攻击者可以在用户的web浏览器中执行恶意命令。

示例4

下面的例子在web应用程序中包含两个单独的页面,一个致力于创建用户帐户,另一个用于清单目前活跃用户登录。它还显示存储XSS(2型)的场景。

CreateUser.php

代码小心避免SQL注入攻击(cwe - 89),但并不能阻止有效的HTML被存储在数据库中。这可以被利用后,ListUsers。php检索信息:

ListUsers.php

攻击者可以将他们的名字设置为任意的HTML,然后显示所有活跃用户页面的访问者。这个HTML可以,例如,是一个窃取密码登录信息。

示例5

考虑一个应用程序,这个应用程序提供了一个简单的留言板,保存在HTML格式和消息附加文件。当一个新用户到达房间,它使一个公告:

攻击者可能会执行一个HTML注入(2型XSS)攻击通过设置cookie值:

原始消息的内容文件看起来像:

为每个人访问消息页面,浏览器将执行该脚本,生成一个弹出窗口,说“砍”。更多的恶意攻击是可能的;看到这个条目。