网站运营
位置:首页>> 网站运营>> 跨站漏洞解析-小韩网站编程安全系列一

跨站漏洞解析-小韩网站编程安全系列一

作者:小韩 来源:蓝色经典 发布时间:2007-07-13 10:06:00 

标签:跨站,漏洞,安全

不算前言的前言

好像已经很久没有写过安全方面的文章了,所谓安全圈子里面,大家也许认为玄猫消失了,不过,我想,作为骇客的玄猫也许从来没有出现过吧。没错的,我是玄猫,如果前两年你看过《黑客X档案》或者《黑客手册》这样的民间安全杂志,那么你也许见过这个名字。
或者,很抱歉的,你的站点有时会出现过“玄猫啊玄猫……”这样的提示框或者文字,那么我很遗憾,我写的漏洞利用工具被人滥用到你的网站上了,蓝色理想里的程序员、站长想必不少,我在这里也向你道个歉。

什么是跨站脚本攻击

OK,我们就进入正文吧。按照惯例,我先给出“跨站脚本攻击”的“官方定义”。

跨站攻击,即Cross Site Script Execution(通常简写为XSS)是指攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。

在这个定义里面提到了三个要点:

第一、       What-为什么会产生跨站脚本攻击。

跨站脚本攻击的产生是因为程序员在写程序时候的考虑不周,当然,也可能是根本没有考虑。安全方面有一句著名的话叫做,“永远也不要相信用户的输入”。看到这里,作为普通用户的你,先别急着鄙视我对你的不信任,作为可用性专家的你,也别急着骂我不重视用户,作为程序员的你,要去用凉水洗把脸,精神一下了。

你在以前写程序时,有没有考虑,用户所输入的内容显示在网站上时,会不会有什么问题呢。
什么问题?先抛开我这里的主题跨站脚本攻击而言,你有没有发现,有时用户输入的内容,导致了你的页面变形?这时你除了说,Oh,这个用户真麻烦之外,是否还考虑,为什么会变形呢。

我们举个实例来说,你写了一个页面,用来显示用户输入的文章,这里显示用户部分的地方是这样的:

<div id="content"><%=sArticleContent'这里我们假设这个变量是从数据库里面取出的用户输入的文章内容%></div>

如果用户输入的都是像我这篇文章一样的普通文字,那么自然是没有问题,啊,可是如果出现一个二把刀的用户,他一定想写一些html代码来装饰他的文章,而恰恰他只写了<h1>,忘记了后面的闭合标签,那么会出现什么……哈哈,你的页面的后面部分全部被<h1>了,字体大的没法看。之前你精心设计的页面全部乱成了一锅粥。

在这个实例里面,用户输入的只是普通的html字符,那么,他如果输入javascript字符呢,恩,如果我是一个坏坏的喜欢搞恶作剧的用户,我也许会输入:<script>while(1==1){alert('这个站长是个笨蛋');}</script>。那么会发生什么?对!在这个页面被访问的时候,你无辜的访问者会发现,无论他怎么按“确定”,那个顽固的提示框都会喋喋不休。

简单来说,这就是一次跨站脚本攻击了。

在这次攻击里面,我,这个坏坏的喜欢恶作剧的用户,利用你,这个永远相信用户输入的程序员忘记过滤我所输入的可能对其他访问者造成危害的代码内容这个缺陷,成功的进行了一次恶作剧—跨站脚本攻击。

第二、       Who-谁可以利用跨站脚本攻击。

关于“who”这个问题,我想在上面的内容里,你大致了解了,这里我再唠叨一下,不仅仅是喜欢恶作剧的用户可以用,甚至有时普通的用户,输入时不小心的也会导致你页面出现一些未期料的问题。

当然,我们最不希望的就是,有骇客利用这个漏洞了,至于他能够利用到什么程度,还请你往下面拉一点,看“跨站脚本攻击有什么危害”。

第三、       How much-跨站脚本攻击有什么危害。

所谓安全圈子里的某些“黑客”往往对跨站漏洞嗤之以鼻,认为那不过是在客户那里玩玩就算了,作为被称之为跨站王的某鱼同学(现在已然是Discuz公司的系统安全工程师了)的徒弟我来说,我认为这是非常幼稚的一种看法。

说小了,跨站攻击可以简单的就使你的页面布局混乱不堪,而更严重的是,既然骇客可以写入html代码,那他简直可以 * 想到的或者你想不到的任何事情了。譬如……<iframe src="网页木马地址" width="0" height="0"></iframe>就可以非常容易的在你的网站上插入指向一个网页木马的隐藏的框架了(通常被称之为“挂马”)。

作为网站管理员的你,如果简单的认为,跨站漏洞只可以对访问者造成侵害的话,那就错了。别忘记,在访问带有受到跨站攻击的网页时,你的身份也是普通用户,一方面,如果你中了他放的木马,那么从你机子上就可以轻易的下载到ftp软件中的密码信息,另一方面,如果这个时候你已经登录了管理,那么他是不是可以构造一个管理页面,并且以你的身份,让你不知不觉的操作呢,这是完全可能的,并且是经常出现的。

0
投稿

猜你喜欢

  • 定义网站产品和网站运营某些类型的网站属于产品驱动型,另外一些网站则可能属于运营驱动型。邮箱属于典型的产品驱动型,比如现在越来越多的用户开始使
  • 我使用瑞星杀毒软件已经有一段时间,近日,打开计算机的时候发现右下角频频弹出瑞星的“声明”窗口,于是,对该事情进行了一个了解。在此,李欣荣就瑞
  • 核心提示:经过经过几年来的观察与实践,这个模型已经基本能够涵盖和解释大部分的社区网站结构,同时,所有的网站盈利模式也包含在其中。基础层:万丈
  • UCenter Home是Comsenz公司发布的一款SNS建站系统,目前最新版本是1.5。用户栏目功能是UCenter Home中用于丰富
  • 今天的互联网已经不同于以往,其中最主要的特点表现是网站众多。当然,这里还包括许多独立的博客。个人博客可以是生活里的琐事,也正是因为这种琐事,
  • 这两天M$出了个IE8beta1版~害得我的Google Reader里全是IE8的信息,可惜有用的信息太少了,在翻M$的网站时,倒是发现了
  • 本规则支持白名单排除式防盗链,搜索引擎友好不屏蔽,被盗链后的错误提示转向,支持各种文件类型,经作者亲验真的能用。近来小站遇到了盗链问题,至使
  • ServU plus2.0ServU plus2.0是Serv-U的一个插件,其主要功能就是捕捉Serv-U的事件,然后做适当的功能增强、扩
  • 阳光总在风雨后,成功好象永远是在失败中找到。这是四月的第一场雨。清澈的雨把株洲的天空洗的非常明媚,然后清爽的阳光大把大把地散落人间。然而这样
  • 由于众所周知的原因,微软的产品总能吸引黑客们的目光,IIS也不例外。IIS是什么?即因特网信息服务,作为当今流行的Web服务器之一,它提供了
  • 网上找了一些资料部署,出现不一样的问题,现在总结一下自己的部署流程。1、资源准备Dockerfile文件# "ported&quo
  • 在看到苹果公司宣布将以29美元的价格对其MacOS进行升级时笔者想起了这则广告。这听起来就比微软复杂的定价方案要好得多。而事实上29美元的升
  • 在第一部分( 搜索引擎中图像优化漫谈(一)),我们讨论了优化用于网站或是博客图片和图像的一些基本方法。按照SEO的要求,把重要的东西放在第一
  • Linux 常用命令pwd: print work directory 打印当前目录 显示出当前工作目录的绝对路径ps: process s
  • 据笔者了解,即将于11月7日13:00在江苏南京科技馆盛大召开的由主办江苏站长站和承办炎黄网络联合发起的“2009江苏站长年会暨江苏 (南京
  • StartLogic 公司为客户提供强有力的支持和极具竞争力的虚拟主机服务。 他们提供一系列的产品,包括共享虚拟主机(包括Windows、U
  • 做网站秘诀有很多高手总结的很好,不管那一种能引导站长成功影响部分人的人生价值观,才是真的成功。作者总结十种也是一种新的领悟。做网站其实心态相
  • 1、搭建telnet服务器2、搭建DHCP服务器3、搭建DNS服务器4、搭建sendmail服务器5、搭建FTP服务器6、搭建web服务器
  • 今天来介绍Godaddy如何进行OUTLOOK设置,首先设立你的电子邮件帐号。在微软outlook ,选择工具电子邮件帐户。关于电子邮件帐户
  • wordpress默认会把一些比较大的图片进行裁切压缩处理,自动生成缩略图。但是我这里并不需要该功能,为此在后台找了一下解决的办法:登陆wp
手机版 网站运营 asp之家 www.aspxhome.com