测试Web应用程式是否存在跨站点脚本漏洞
2008-02-23 08:21:00来源:互联网 阅读 ()
到现在为止,对于跨站点脚本攻击具备很大的威胁这一点大家并无异议。假如您很精通 XSS 并且只想看看有什么好的测试方法可供借鉴,那么请直接跳到本文的测试部分。假如您对此一无所知,请按顺序认真阅读!假如某个怀有恶意的人(攻击者)能够强迫某个不知情的用户(受害者)运行攻击者选择的客户端脚本,那么便会发生跨站点脚本攻击。“跨站点脚本”这个词应该属于用词不当的情况,因为他不但和脚本有关,而且他甚至不一定是跨站点的。所以,他就是个在发现这种攻击时起的一个名字,并且一直沿用至今。从现在开始,我们将使用他常见的缩写名称 “XSS”。
XSS 攻击的过程涉及以下三方:
• 攻击者
• 受害者
• 存在漏洞的网站(攻击者能够使用他对受害者采取行动)
在这三方之中,只有受害者会实际运行攻击者的代码。网站仅仅是发起攻击的一个载体,一般不会受到影响。能够用多种方式发起 XSS 攻击。例如,攻击者可通过电子邮件、IM 或其他途径向受害者发送一个经过经心构造的恶意 URL。当受害者在 Web 浏览器中打开该 URL 的时侯,网站会显示一个页面并在受害者的电脑上执行脚本。
测试 XSS 漏洞
多年以来,我一直是一名全职的安全顾问,已做过无数次的这种测试了。我将好的测试计划归结为两个字:完全。对于您我来说,查找这些漏洞和能够有机会在 Bugtraq 或 Vulnwatch 上吹嘘一番没有任何关系;他只和如何出色完成负责的工作有关。假如这意味着对应用程式中任何的单个查询字符串参数、cookie 值 连同 POST 数据值进行检查,那么这只能表明我们的工作还不算太艰巨。
显然,一次完整的安全性检查所涉及的内容通常远远超出寻找 XSS 漏洞那样简单;他需要建立整体的威胁模型,测试溢出漏洞、信息泄漏、错误处理、SQL 注入、身份验证和授权错误。好在执行这样完全的工作时,各个领域之间都存在重叠。比如,在测试 XSS 漏洞时,经常会同时找出错误处理或信息泄漏问题。
我假设您属于某个负责对 Web 应用程式进行研发和测试的小组。在这个幸运的位置上,您能够混合使用黑盒和白盒方法。每种方法都有他自己的长处,结合使用时甚至能相互提供支持。
1.按顺序准备您的工具包
测试工作也能够是自动化的,但是我们在这里只讨论手动操作。手动测试的必备工具包括:
• Paros proxy ( http://www.parosproxy.org ),用于截获 HTTP 通信数据
• Fiddler ( http://www.fiddlertool.com/fiddler ),用于截获 HTTP 通信数据
• Burp proxy ( http://www.portswigger.net/proxy/ )
• TamperIE ( http://www.bayden.com/dl/TamperIESetup.exe ),用于修改 GET 和 POST
我们以上至少列出了三种 Web 代理软件。也能够寻找其他不同的类似产品,因为每种产品都有他自己的独到之处。下面,您需要在 Web 浏览器发出 HTTP 请求之前截获这些请求,并修改他们以注入 XSS 测试代码。上面任何这些工具都能够完成这项任务,某些工具还会显示返回的 HTML 源代码(假如您选择了截获服务器响应)。
截获客户端发出的 GET 和 POST 请求很重要。这样能够绕过任何的客户端 javascript 输入验证代码。我在这里要提醒任何 Web 研发人员 -- 客户端安全控制是靠不住的。应该总是在服务器端执行有效性验证。
2.确定站点及其功能 -- 和研发人员和 PM 交流
绘制一些简单的数据流图表,对站点上的页面及其功能进行描述。此时,能够安排一些和研发人员和项目经理的会议来建立威胁模型。在会议上尽可能对应用程式进行深入探讨。站点公开了 Web 服务吗?是否有身份验证表单?有留言板吗?有用户配置页面吗?确保列出了任何这些页面。
3.找出并列出任何由用户提供输入的点
对站点地图进行进一步细化。我通常会为此创建一个电子表格。对于每个页面,列出任何查询字符串参数、cookie 值、自定义 HTTP 标头、POST 数据值和以其他形式传递的用户输入。不要忘记搜索 Web 服务和类似的 SOAP 请求,并找出任何允许用户输入的字段。
分别列出每个输入参数,因为下面需要单独测试每个参数。这可能是最重要的一个步骤!假如阅读下面的电子表格,您会看到我已在示例站点中找出了一大堆这样的东西。如 forwardURL 和 lang 这样的查询字符串。如 name、password、msgBody、msgTitle 和这样的 POST 数据,甚至某些 Cookie 值。任何这些都是我们感兴趣的重要测试内容。
4.认真思考并列出测试用例
使用已得到的电子表格并列出各种用来测试 XSS 漏洞的方法。我们稍候将讨论各种方法,但是现在先让我们看看我的电子表格的屏幕截图,请注意,我列出了页面上允许的每个值连同每个值的任何测试类型。这种记录测试的方法仅是我自己的习惯,您能够使用自己的方法。我喜欢记录任何东西,以便我能知道已做了哪些工作和哪些工作没有做。
5.开始测试并注意输出结果
在查找漏洞的过程中,最重要的部分并不是您是否找到了漏洞。而是您是否真正知道究竟发生了哪些事情。对于 XSS,只需检查 HTML 输出并看看您输入的内容在什么地方。他在一个 HREF 标记中吗?是否在 IFRAME 标记中?他在 CLSID 标记中吗?在 IMG SRC 中吗?某些 Flash 内容的 PARAM NAME 是怎样的?
我会检查任何这些情况,假如您对所输入内容的目的十分了解,能够调整您的测试来找出问题。这意味着您可能需要添加一个额外的封闭括号“>”来让某个标记变得完整,或添加一个双引号来关闭标记内的一个元素。或,您可能需要使用 URL 或 HTML 来编码您的字符,例如将双引号变为 " 或 "。
6.嗯,并不那么容易,这个站点看来防范比较严密。现在该怎么办呢?
那么,也许您的简单测试用例 <script>alert(‘hi’)</script> 并不能产生期望中的警告对话框。仔细想想这个问题并在可能的情况下和研发人员进行交流。也许他们对输入中的尖括号、单引号或圆括号进行了过滤。也许他们会过滤“script”这个词。重新研究为何输入会产生这样的输出,并理解每个值(查询字符串、cookie、POST 数据)的作用。“pageId=10”这样的查询字符串值可能对输出没有影响,因此不值得花费时间测试他。有时,最好试着注入单个字符(例如尖括号、双引号标记或圆括号),看看应用程式是否过滤这些字符。然后,便能够知道您面对的过滤级别究竟如何。接着,能够调整测试方法,对这些字符进行编码并重试,或寻找其他注入办法。
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
上一篇: 虚拟主机IIS防范入侵常见问答
下一篇: 让Apache支持ASP.NET
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash