當(dāng)前位置:首頁文章首頁 IT學(xué)院 IT技術(shù)

關(guān)于跨站Script攻擊的介紹說明

作者:  來源:  發(fā)布時(shí)間:2011-6-9 15:08:28  點(diǎn)擊:

 本文將會(huì)給大家介紹到關(guān)于跨站Script攻擊的介紹說明和防范,希望對(duì)各位建站的朋友有所幫助。

  第一部分:跨站Script攻擊

  每當(dāng)我們想到黑客的時(shí)候,黑客往往是這樣一幅畫像:一個(gè)孤獨(dú)的人,悄悄進(jìn)入別人的服務(wù)器中,進(jìn)行破壞或者竊取別人的秘密資料。也許他會(huì)更改我們的主頁,甚者會(huì)竊取客戶的信用卡號(hào)和密碼。另外,黑客還會(huì)攻擊訪問我們網(wǎng)站的客戶。與此同時(shí),我們的服務(wù)器也成了他的幫兇。微軟稱這種攻擊為“跨站script”攻擊。而這種攻擊大多數(shù)都發(fā)生在網(wǎng)站動(dòng)態(tài)產(chǎn)生網(wǎng)頁的時(shí)侯,但黑客的目標(biāo)并不是你的網(wǎng)站,而是瀏覽網(wǎng)站的客戶。

  跨站script攻擊的說明

    在一本名為<<ADVISORY CA--2000-02>>的雜志中,CERT警告大家:如果服務(wù)器對(duì)客戶的輸入不進(jìn)行有效驗(yàn)證,黑客就會(huì)輸入一些惡意的HTML代碼,當(dāng)這些HTML代碼輸入是用于SCRIPT程序,他們就能利用它來進(jìn)行破壞,如插入一些令人厭惡的圖片或聲音等,同時(shí),也能干擾了客戶正確瀏覽網(wǎng)頁。

    我們知道,有些朋友曾經(jīng)被誘導(dǎo)到一些可疑的免費(fèi)網(wǎng)站,他們得到的僅僅是10到20個(gè)小的窗口,這些窗口常常伴隨著由Java 或 java script生成的失效安鈕,這被稱為鼠標(biāo)陷阱。關(guān)閉這些窗口是徒勞的,每當(dāng)我們關(guān)閉一個(gè)窗口,又會(huì)有10幾個(gè)窗口彈出。這種情況常常發(fā)生在管理員沒在的時(shí)侯發(fā)生。鼠標(biāo)事件是黑客利用跨站SCRIPT方法攻客戶的典型范例。

    惡意的標(biāo)簽和SCRIPT不單純的惡作劇,他們甚至可以竊取資料和搗毀系統(tǒng)。一個(gè)聰明的甚至是不夠聰明的黑客都能夠使用SCRIPT干擾或者改變服務(wù)器數(shù)據(jù)的輸入。利用SCRIPT代碼也能攻擊客戶系統(tǒng),讓你的硬盤盡損。而且你要知道,在你一邊使用服務(wù)器的時(shí)候,黑客的SCRIPT也正在你服務(wù)器里安全的地方運(yùn)行著的呀!如果客戶對(duì)你的服務(wù)器非常信認(rèn),同樣他們也會(huì)信任那些惡意的SCRIPT代碼。甚至這個(gè)代碼是以〈SCRIPT〉或者〈OBJECT〉的形式來自黑客的服務(wù)器。

    即使使用了防火墻(SSL)也不能防止跨站SCRIPT的攻擊。那是因?yàn)槿绻蓯阂釹CRIPT代碼的設(shè)備也使用了SSL,我們服務(wù)器的SSL是不能辨別出這些代碼來的。我們難道就這樣把客戶曾經(jīng)那么信任的網(wǎng)站拱手讓給黑客嗎?而且有這種破壞的存在,會(huì)讓你網(wǎng)站名譽(yù)盡損的。
  
  
  一、跨站SCRIPT攻擊示例:

    根據(jù)CERT的資料,動(dòng)態(tài)輸入大致有這幾種形式:URL參數(shù),表格元素,COOKISE以及數(shù)據(jù)請(qǐng)求。讓我們來分析一下,這個(gè)只有兩個(gè)頁面的網(wǎng)站,網(wǎng)站名為:

  MYNICESITE.COM。第一頁使用一張表格或COOKIE來獲取用戶名:

  <%@ Language=VBScript %>
  <% If Request.Cookies("userName") <> "" Then
  Dim strRedirectUrl
  strRedirectUrl = "page2.ASP?userName="
  strRedirectUrl = strRedirectUrl & Response.Cookies("userName")
  Response.Redirect(strRedirectUrl)
  Else %>
  <HTML>
  <HEAD>
  <TITLE>MyNiceSite.com Home Page</TITLE>
  </HEAD>
  <BODY>
  <H2>MyNiceSite.com</H2>
  <FORM method="post" action="page2.asp">
  Enter your MyNiceSite.com username:
  <INPUT type="text" name="userName">
  <INPUT type="submit" name="submit" value="submit">
  </FORM>
  </BODY>
  </HTML>
  <% End If %>
  
  第二頁返回用戶名以示歡迎:
  <%@ Language=VBScript %>
  <% Dim strUserName
  If Request.QueryString("userName")<> "" Then
  strUserName = Request.QueryString("userName")
  Else
  Response.Cookies("userName") = Request.Form("userName")
  strUserName = Request.Form("userName")
  End If %>
  <HTML>
  <HEAD></HEAD>
  <BODY>
  <H3 align="center">Hello: <%= strUserName %> </H3>
  </BODY>
  </HTML>

    當(dāng)你正常常輸入文字時(shí),一切都很正常。如果你輸入Script代碼:<SCRIPT>alert('Hello.';</script>,java script警告標(biāo)簽就會(huì)彈出來:

    在你下一次訪問時(shí),這個(gè)警示標(biāo)簽同樣會(huì)出現(xiàn);這是因?yàn)檫@個(gè)Script代碼在你第一次訪問的時(shí)后就已經(jīng)留在cookie中了。這是一個(gè)簡(jiǎn)單的跨站攻擊的范例。

    如果你認(rèn)為這是一個(gè)特殊情況,你也不妨到網(wǎng)上別的地方看看,親自試一下。我曾經(jīng)對(duì)一些大型的政府網(wǎng)站、教育網(wǎng)站以及商業(yè)網(wǎng)站進(jìn)行過測(cè)試,他們當(dāng)中的確有部分出現(xiàn)了以上所說的情況,我甚至發(fā)現(xiàn)了我經(jīng)常使用信用卡的網(wǎng)站也居然對(duì)輸入不進(jìn)行任何過濾,想想真是可怕。

  二、 用E-Mail進(jìn)行跨站Script攻擊

    跨站script攻擊用在列表服務(wù)器,usenet服務(wù)器和郵件服務(wù)器來得特別容易。下面還是以MyNiceSite.com網(wǎng)站為例進(jìn)行說明。由于你經(jīng)常瀏覽這個(gè)網(wǎng)站,它的內(nèi)容也的確讓你愛不愛不釋手,因此在不知不覺中你就把瀏覽器的改成了總是信任這個(gè)動(dòng)態(tài)網(wǎng)站內(nèi)容的設(shè)置。

   MyNiceSite.com網(wǎng)站總是通過出售征訂它們Email信件的郵箱地址來獲得收入,這的確是一種不太好的辦法。于是我買了它的一份郵箱地址。并發(fā)了大量的郵件給你們。在信中我告訴你們盡快訪問這個(gè)網(wǎng) 站,并檢查你們帳戶使用的最新情況。為了讓你們感到方便,我在這信中也作了鏈接。我在這鏈接URL中的username參數(shù)中舔加了script代碼。有些客戶在不知不覺中就點(diǎn)擊了這個(gè)鏈接,也就是說上了我的當(dāng)(如圖),同時(shí)我也從中得到了好處:

    它是這樣工作的,當(dāng)你點(diǎn)擊這個(gè)鏈接的時(shí)后,在鏈接里的script代碼就會(huì)引導(dǎo)你所用瀏覽器去下載我的java script程序并執(zhí)行它。我的Script檢查到你使用的是IE瀏覽器后,就著手下載ActiceX控件 particularlyNasty.dll。因?yàn)橹澳阋呀?jīng)把這個(gè)網(wǎng)站的內(nèi)容認(rèn)為總是安全的,這樣,我的script代碼和Active 控件就能在你機(jī)器上自由自在的運(yùn)行了。

  三、 Activex攻擊說明

    在討論ActiveX時(shí),CERT和微軟都沒提到跨站script方法所帶來的的危險(xiǎn)。W3C在<<安全常見問題解答>>中對(duì)ActiveX的安全問題作了比較詳盡的說明。Java Applet 對(duì)系統(tǒng)的控制受到嚴(yán)格限制。SUN開發(fā)它時(shí)就規(guī)定,只有那些對(duì)系統(tǒng)的安全不構(gòu)成威脅的操作才被允許運(yùn)行。

    在另一方面,ActiveX對(duì)系統(tǒng)的操作就沒有嚴(yán)格地被限制。如果一但被下載,就可以象安裝的可執(zhí)行程序一樣做他們想干的事情。針對(duì)這一特點(diǎn)IE瀏覽器也作了某些限制,如對(duì)于那些不安全的站點(diǎn),在它的默認(rèn)設(shè)置中就會(huì)不允許你進(jìn)行下載或者會(huì)給你警告的提示。正在基于ActiveX進(jìn)行開發(fā)的公司,如VeriSign公司,它們對(duì)ActiveX控件都給編了號(hào)。當(dāng)你在下載控件的時(shí)后,IE瀏覽器會(huì)給你警告并顯示它的可信籟程度。由用戶決定是否相信這個(gè)控件。這樣一來系統(tǒng)的安全性就增加了。

    但是,對(duì)于那些沒有多少經(jīng)驗(yàn)的用戶來說,他們往往不自覺地對(duì)原來的設(shè)置進(jìn)行了修改,讓這些控件在沒有任何提示的情況下就下載了。另外,對(duì)一個(gè)新手來說,即使在有提示的情況下也會(huì)不加思索地下載那些沒作任何標(biāo)記的控件。在我們所舉的例子中,由于你對(duì)該站點(diǎn)的信任,改了瀏覽器的設(shè)置,這樣,ActiveX控件在不經(jīng)過任何提示的情況下就下載,并在你的機(jī)器上不知不覺地開始運(yùn)行。
  
  
  四、16進(jìn)制編碼的ActiveX Script 攻擊

相關(guān)軟件

文章評(píng)論

軟件按字母排列: A B C D E F G H I J K L M N O P Q R S T U V W X Y Z