第二部分：跨站Script攻擊的防犯

一、如何避免服務(wù)器受到跨站Script的攻擊

值得慶幸的是，防止跨站Script攻擊的技術(shù)正趨于完善。目前可采取這幾種方式來(lái)防止跨站Script的攻擊：

1.對(duì)動(dòng)態(tài)生成的頁(yè)面的字符進(jìn)行編碼

2.對(duì)輸入進(jìn)行過(guò)濾和限制

3.使用HTML和URL編碼

1.對(duì)動(dòng)態(tài)生成的頁(yè)面的字符進(jìn)行編碼

你們首先要采用的就是對(duì)動(dòng)態(tài)生成頁(yè)面的字符進(jìn)行編碼，你必須這樣做，不然黑客很有可能更改你的字符設(shè)置而輕易地通過(guò)你的防線。如果我們的網(wǎng)站是個(gè)英語(yǔ)網(wǎng)站，這樣只要我們把字符編碼設(shè)成拉丁字符ISO-8859-1就行了，具體情況如下：

<META http-equiv="Content-Type" content="text/html;charset=ISO-8859-1">

2.過(guò)濾和限制所有輸入的數(shù)據(jù)

這是防止跨站Script的攻擊的第二種方法，在進(jìn)行登錄的時(shí)侯，不要讓那些特殊的字符也輸入進(jìn)去。因此我們可在ONSUBMIT方法中加入JAVASCRIPT程序來(lái)完成這個(gè)功能。在本例中我們限制最多只能輸入15個(gè)字符。這樣可以阻止那些較長(zhǎng)的script的輸入。

在<<Knowledge Base Article QA252985>>這本書中微軟提供了一個(gè)簡(jiǎn)短的Javascript程序來(lái)完成對(duì)輸入數(shù)據(jù)的過(guò)濾。我們也根據(jù)具體情況引進(jìn)了這段代碼用于我們的例子中，如：

function checkForm() {

document.forms[0].userName.value = _

RemoveBad(document.forms[0].userName.value);

return true;

}

// MICROSOFT'S CODE

function RemoveBad(strTemp) {

strTemp = strTemp.replace(/\</\>/\"/\'/\%/\;/\(/\)/\&/\+/\-/g,"");

return strTemp;

}

用這個(gè)辦法，可以過(guò)濾在輸入中含有的這些字符：

% < > [ ] { } ; & + - " '( )

3.使用HTML和URL編碼

盡管使用上面所說(shuō)的過(guò)濾和限制輸入的辦法是一種非常重要用防御手段，但它對(duì)我的這種采用郵件方式的攻擊還是無(wú)能為力。因?yàn)槲野裊RL的參數(shù)直接放在郵件中。針對(duì)這種情況我們不得不采取一種更有力的安全措施。如果我們用的ASP，解決起來(lái)相對(duì)說(shuō)來(lái)要容易得多。只要對(duì)動(dòng)態(tài)生成的網(wǎng)頁(yè)總進(jìn)行HTML和URL編碼就行了。針對(duì)我們例子中的情況，在第一輸入頁(yè)中我們對(duì)redirect URL作了如下改動(dòng)：

strRedirectUrl = strRedirectUrl & _

server.URLEncode(Response.Cookies("userName"))


在執(zhí)行頁(yè)中我們加入：

strUserName =server.HTMLEncode(Request.QueryString("userName"))

和

strUserName =server.HTMLEncode(Request.Form("userName"))

微軟推薦對(duì)所有動(dòng)態(tài)頁(yè)面的輸入和輸出都應(yīng)進(jìn)行編碼。甚至在對(duì)數(shù)據(jù)庫(kù)數(shù)據(jù)的存入和取出也應(yīng)如此。這樣你就能在很大程度上避免跨站script的攻擊。


要做到這些還要在Page1.asp中加入：


<%@ Language=VBScript %>


<% If Request.Cookies("userName") <> "" Then


'redirect if detect the cookie

Dim strRedirectUrl

strRedirectUrl = "page2.asp?userName="

strRedirectUrl = strRedirectUrl & _

server.URLEncode(Request.Cookies("userName"))

Response.Redirect(strRedirectUrl)


Else %>

<HTML>

<HEAD>

<META http-equiv="Content-Type"content="text/html; charset=ISO-8859-1">

<TITLE>MyNiceSite.com Home Page</TITLE>

</HEAD>

<SCRIPT LANGUAGE="javascript">

<!--

function checkForm() {

document.forms[0].userName.value =

RemoveBad(document.forms[0].userName.value);

return true;

}


//******************************************************

//Programmer: NOT ORIGINAL CODE - COMES FROM MICROSOFT

//Code Source: Microsoft Knowledge Base Article Q25z985

//Description: Removes bad characters.

//******************************************************


function RemoveBad(strTemp) {

strTemp =strTemp.replace(/\</\>/\"/\'/\%/\;/\(/\)/\&/\+/\-/g, "");

return strTemp;

}

//-->

</SCRIPT>

<BODY>

<BR>

<H2>MyNiceSite.com</H2>

<BR>

<FORM method="post"action="page2.asp" onsubmit="return checkForm();">

Enter your MyNiceSite.com username:

<INPUT type="text"name="userName" width="10" maxwidth="10">

<INPUT type="submit"name="submit" value="submit">

</FORM>

</BODY>

</HTML>

<% end if %>

Page2.asp中加如：


<%@ Language=VBScript %>

<% Dim strUserName

If Request.QueryString("userName")<>"" Then

strUserName =server.HTMLEncode(Request.QueryString("userName"))

Else

Response.Cookies("userName") =Request.Form("userName")

strUserName = server.HTMLEncode(Request.Form("userName"))

End If %>

<HTML>

<HEAD>

<META http-equiv="Content-Type" content="text/html;charset=ISO-8859-1">

</HEAD>

<BODY>

<H3 align="center">Hello: <%= strUserName %></H3>

</BODY>

</HTML>

現(xiàn)在由于這種攻擊遭到有效的防制。那于那些惡意的標(biāo)簽和Script被編碼，他們就被以文字的形式顯現(xiàn)了出來(lái)，如下圖：


我們也可增加一個(gè)IIS組件用于過(guò)濾所有從動(dòng)態(tài)輸入中的特殊字符。對(duì)于那些已經(jīng)做好的網(wǎng)站，采用這種辦法來(lái)防止跨站script的攻擊來(lái)得非常容易。我們的這個(gè)控件能攔截來(lái)自ASP頁(yè)面的REQUEST目標(biāo)，可對(duì)表格，cookie,請(qǐng)求字串和程序的內(nèi)容進(jìn)行檢測(cè)：

我們也可以通過(guò)編寫log文件的方法把統(tǒng)計(jì)數(shù)據(jù)加入這個(gè)組件中。每當(dāng)一個(gè)客戶輸入一個(gè)非法字符時(shí)，這個(gè)組件會(huì)記下它的IP地址和時(shí)間。詳情請(qǐng)見Doug Dean的<<Roll your Own IIS Application on ASPToday>>一文。

我們只需采取一些簡(jiǎn)單的步聚就能有效地阻止跨站script的攻擊。除了以上所說(shuō)的三種方法外，微軟和CERT還強(qiáng)烈推薦使用一種他們稱之為“sanity check”的方法。例如，假設(shè)有個(gè)輸入窗口只允許輸入數(shù)字，我們就給它做個(gè)限定，只允許0-9數(shù)字的輸入。微軟和CERT所采用的這種對(duì)輸入的字符進(jìn)行限定的辦法要比單獨(dú)的采用過(guò)濾特殊字符要好得多。采用了這些措施后你就能讓那些參觀你網(wǎng)站的客戶在訪問(wèn)你網(wǎng)站時(shí)受到保護(hù)。

二、免受黑客攻擊我們?yōu)g覽器方法：

當(dāng)你在網(wǎng)上漫游的時(shí)侯，怎樣來(lái)避免受到攻擊呢？微軟和CERT建議不要在網(wǎng)上胡碰亂撞。針對(duì)這種情況，PC雜志一個(gè)欄目的名叫John Dvorack作者作了一個(gè)饒有興趣的回答。他認(rèn)為這是微軟公司一起有預(yù)謀的行為：就是用來(lái)恐嚇網(wǎng)上沖浪的人到那些安全的站點(diǎn)去瀏覽，如美國(guó)在線和MSN.com網(wǎng)站。

在我們所舉的例子中，即使你不在網(wǎng)上胡亂游蕩，也不能避免在網(wǎng)上遭到黑客的襲擊。具有諷刺意義的是，大多數(shù)的危險(xiǎn)都來(lái)自于我們最信任的網(wǎng)站。如果要讓網(wǎng)站一定不出問(wèn)題，你只好不下載任何動(dòng)態(tài)內(nèi)容或者任何cookie。預(yù)知詳情請(qǐng)參閱瀏覽器的相關(guān)資料。

微軟也警告你們應(yīng)把瀏覽器的Active Script設(shè)置成嚴(yán)格限制的狀態(tài)并把Email也設(shè)成嚴(yán)格限制的接收模式。在點(diǎn)擊郵件中的鏈接時(shí)，一定要小心。如需進(jìn)一步了解情況請(qǐng)參閱一本名叫<<Microsoft's Knowledge Base Article Q253117>>的書。為了以防萬(wàn)一，你最好是多一點(diǎn)上網(wǎng)經(jīng)驗(yàn)，并且時(shí)刻要小心謹(jǐn)慎。

結(jié)論

如果你是以前的UNIX程序開發(fā)人員，你也許不會(huì)知道跨站script意謂著什么。你知道許多站點(diǎn)的管理人員登錄的用戶名和密碼分別為root,root.同樣許多數(shù)據(jù)庫(kù)管理員的名稱和密碼分別為sa,password。你也知道Webzine(如Phrack 和 Alt2600)，依據(jù)他們所提供的方法能讓你一步步地知道某臺(tái)服務(wù)器的弱點(diǎn)。在這種硬件上，你也知道許多網(wǎng)站的數(shù)據(jù)庫(kù)服務(wù)器和web服務(wù)器都沒有進(jìn)行自我保護(hù)。一但遭遇黑客，機(jī)器就得癱瘓。

盡管我們很容易采取防止系統(tǒng)受到黑客的攻擊的措施，但我們的系統(tǒng)是一直暴露在黑客面前的。我們完全有理由相信下一年還會(huì)出現(xiàn)一些新的安全漏洞。在CERT公司John Howard先生指導(dǎo)下完成的一篇論文中曾提到：“跟據(jù)目前的研究顯示，每個(gè)在英特網(wǎng)上具有域名的網(wǎng)站平均一年被黑客至少攻擊一次�！�

對(duì)服務(wù)器來(lái)說(shuō)那怕只是一次這種攻擊也是不能承受的。跨站Script攻擊是黑客可采用的另一種方法。但我們只要進(jìn)行以上所說(shuō)的一些簡(jiǎn)單的處理就能防止這種形式攻擊的發(fā)生。（出處：熱點(diǎn)網(wǎng)絡(luò)）