跨站脚本攻击深入解析:跨站危害及cookie盗窃（3）

五、XSS蠕虫

一直在线的Web应用程序，诸如webmail、社交网络、聊天室、在线多人游戏、 * 或者一切需要用户交互以及需要在用户间相互发送某种形式信息的Web应用程序，都容易受到XSS蠕虫的攻击。XSS蠕虫充分地利用了Web应用程序的特性来自我传播。例如，Webmail应用中的XSS蠕虫利用了攻击者能够捕获受害者的联系人名单与发送电子邮件的事实。

当受害者点击了指向HTML注入的链接时，XSS就会被激活，由此触发脚本的执行。 脚本将搜索受害者的联系人名单，然后发送电子邮件到受害者的联系人名单中的每个联系人。每个联系人将收到一封来自有信誉的发件人（受害者）的电子邮件，该邮件会邀请联系人单击一些链接。一旦他单击了该链接，这个联系人就会变成了另一个受害者，然后他的联系人也会收到他的来信。

XSS蠕虫以极快的速度繁衍，能够在短期内感染许多用户，并引起大量的网络流量。对于传播其它攻击诸如钓鱼攻击等，非常有效。更为有趣的是，攻击者有时候会向Web应用程序添加隐藏的HTML 内容以便对浏览器发动多种攻击。如果用户运行的Web 浏览器不是最新的，攻击者就能够完全控制用户的机器。本例中，XSS用来传递某些其他弱点。

上面部分介绍了跨站脚本的危害，下面介绍攻击者是如何诱骗受害者的。

六、诱捕受害者

现在，我们已经知道如何寻找HTML注入点，以及如果攻击者能够使用户单击指向注入的HTML的链接的话，他能够做哪些事情。有时候，注入的HTML会在正常的用户交互过程中被激活。也就是说，有许多有效的方法。然而，通常情况下攻击者必须使用户单击了指向注入的HTML代码的链接才能激活攻击过程。本节简要讨论如何促使受害者去单击一个链接。

现在假设您就是攻击者。如果您发现可以在http://search.engine.com/search？p= 注入HTML，并且在http://evil.org/e.js处设计了一个恶意的脚本。 现在，你只要设法让人们点击下列链接就行了：

http://search.engine.com/search？p=

但是，究竟会有多少人会点击上述的链接呢？对电脑知识稍有了解的用户一眼就能看出点击上述链接肯定不会有好事。因此，攻击者需要给这个链接化化妆，然后引诱用户单击一些更诱人的东西。

七、隐蔽指向注入的HTML的链接

可以用不同的方法来隐蔽链接，例如通过anchor标签、使用URL缩短技术站点、博客以及为攻击者所控制的网站等。

第一个建议十分简单，大多数Web应用程序会自动在URL周围封装上锚标签以便于用户跟随链接。如果攻击者可以写入他自己的超链接，诸如在一个webmail应用程序中，那么攻击者就能够构造一个如下所示的链接：

http://goodsite.com/cuteKittens.jpg

这个链接会作为http://goodsite.com/cuteKittens.jpg出现，然而，当受害者点击这个链接时，将被带至注入的HTML（即实际上点击的是攻击者注入的HTML）。

用于缩短URL的Web应用程序，诸如TinyURL、YATUC、ipulink.com、get-shorty.com（以及所有实现get-shorty功能的网站）等等，都能把冗长的URL转换成简短的URL。这些站点都是通过将URL映射到一个较短的URL，而较短的URL又重定向到一个长URL来实现的。

由于使用了较短的URL把冗长的URL隐藏了起来，这样就更容易获取人们（甚至一些老道的计算机用户）的信任，从而单击恶意链接，例如，对于下面这个容易露馅的HTML注入：

http://search.engine.com/search？p=

我们可以把它映射成一个单独的URL，如下所示：

http://tinyurl.com/2optv9

目前，就算是警惕性很高的计算机用户也很少有人知道类似的TinyURL的提供URL缩短服务的站点。这样，我们可以通过不太流行的提供URL缩短技术的Web应用程序获取更多有经验的计算机用户的信任，从而使他们去毫无疑虑的点击我们的链接；此外，我们也可以创建自己的web页面，并在其中放入下列内容：

注意，document.location的字符串中的标签在上述JavaScript被执行之前是作为HTML出现的。对于POST方式的HTML注入，您可以编写下面的代码：

以下为引用的内容：

〈html〉

〈body〉

〈！-- something distracting like a cute kitten --〉

〈img src=http://www.chinaz.com/Prime/Blog/cuteKitten.jpg〉

〈！-- and some HTML injection --〉

〈form action=“http://search.engine.com/search” method=“POST”

name=“evilForm”〉

〈input type=“hidden” name=“p” value=“〈script〉a_lert（1）〈/script〉”〉

〈/form〉

〈script〉

document.evilForm.submit（）

〈/script〉

〈/body〉

〈/html〉

现在，把上述代码放到您自己的Web站点或者blog中——如果没有的话，现在有许多免费的Web站点以及blog托管站点可用。

一种不错的隐蔽技术是滥用IE的MIME类型不匹配问题。例如，创建一个文本文件，将其命名为http://www.chinaz.com/Prime/Blog/cuteKitten.jpg，然后放入下列内容：

〈iframe style=“display:none” src=“http://search.engine.com/search？p=〈script〉a_lert（1）”〉〈/iframe〉

〈img src=“somehttp://www.chinaz.com/Prime/Blog/cuteKitten.jpg”〉

上载http://www.chinaz.com/Prime/Blog/cuteKitten.jpg，例如放到http://somwhere.com/http://www.chinaz.com/Prime/Blog/cuteKitten.jpg。当用户点击该链接时，IE会认出http://www.chinaz.com/Prime/Blog/cuteKitten.jpg根本就不是一张图像，所以它继而将其作为HTML进行解释。这样在显示图像somehttp://www.chinaz.com/Prime/Blog/cuteKitten.jpg的时候实际上会在后台利用一个注入的HTML代码。

最后，攻击者只要注册一个听起来很正规的域名并且将该html注入寄放在该域名中即可。例如，googlesecured.com就是一个看上去很真可信的域名。