Cross-Site Scripting: Reflected

ABSTRACT

向 Web 瀏覽器發送非法數據會導致瀏覽器執行惡意代碼。

EXPLANATION

Cross-Site Scripting (XSS) 漏洞在以下情況下發生：

1. 數據通過一個不可信賴的數據源進入 Web 應用程序。對于 Reflected XSS，不可信賴的源通常為 Web 請求，而對于 Persisted（也稱為 Stored）XSS，該源通常為數據庫或其他后端數據存儲。

2. 在未檢驗包含數據的動態內容是否存在惡意代碼的情況下，便將其傳送給了 Web 用戶。

傳送到 Web 瀏覽器的惡意內容通常采用 JavaScript 代碼片段的形式，但也可能會包含一些 HTML、Flash 或者其他任意一種可以被瀏覽器執行的代碼。基于 XSS 的攻擊手段花樣百出，幾乎是無窮無盡的，但通常它們都會包含傳輸給攻擊者的私人數據（如 Cookie 或者其他會話信息）。在攻擊者的控制下，指引受害者進入惡意的網絡內容；或者利用易受攻擊的站點，對用戶的機器進行其他惡意操作。

例 1：下面的 ABAP 代碼片段可從 HTTP 請求中讀取雇員 ID eid，并將其顯示給用戶。


...
eid = request->get_form_field( 'eid' ).
...
response->append_cdata( 'Employee ID: ').
response->append_cdata( eid ).
...

如果 eid 只包含標準的字母或數字文本，這個例子中的代碼就能正確運行。如果 eid 里有包含元字符或源代碼中的值，那么 Web 瀏覽器就會像顯示 HTTP 響應那樣執行代碼。

起初，這個例子似乎是不會輕易遭受攻擊的。畢竟，有誰會輸入導致惡意代碼的 URL，并且還在自己的電腦上運行呢？真正的危險在于攻擊者會創建惡意的 URL，然后采用電子郵件或者社會工程的欺騙手段誘使受害者訪問此 URL 的鏈接。當受害者單擊這個鏈接時，他們不知不覺地通過易受攻擊的網絡應用程序，將惡意內容帶到了自己的電腦中。這種對易受攻擊的 Web 應用程序進行盜取的機制通常被稱為反射式 XSS。

例 2：下面的 ABAP 代碼片段會根據一個特定的雇員 ID 來查詢數據庫，并顯示出相應的雇員姓名。


...
DATA:BEGIN OF itab_employees,
eid   TYPE employees-itm,
name  TYPE employees-name,
END OF itab_employees,
itab LIKE TABLE OF itab_employees.
...
itab_employees-eid = '...'.
APPEND itab_employees TO itab.

SELECT *
FROM employees
INTO CORRESPONDING FIELDS OF TABLE itab_employees
FOR ALL ENTRIES IN itab
WHERE eid = itab-eid.
ENDSELECT.
...
response->append_cdata( 'Employee Name: ').
response->append_cdata( itab_employees-name ).
...

如同例 1，如果對 name 的值處理得當，該代碼就能正常地執行各種功能；如若處理不當，就會對代碼的盜取行為無能為力。同樣，這段代碼暴露出的危險較小，因為 name 的值是從數據庫中讀取的，而且顯然這些內容是由應用程序管理的。然而，如果 name 的值是由用戶提供的數據產生，數據庫就會成為惡意內容溝通的通道。如果不對數據庫中存儲的所有數據進行恰當的輸入驗證，那么攻擊者便能在用戶的 Web 瀏覽器中執行惡意命令。這種類型的 Persistent XSS（也稱為 Stored XSS）盜取極其陰險狡猾，因為數據存儲導致的間接性使得辨別威脅的難度增大，而且還提高了一個攻擊影響多個用戶的可能性。XSS 盜取會從訪問提供留言簿 (guestbook) 的網站開始。攻擊者會在這些留言簿的條目中嵌入 JavaScript，接下來所有訪問該留言簿的用戶都會執行這些惡意代碼。

正如例子中所顯示的，XSS 漏洞是由于 HTTP 響應中包含了未經驗證的數據代碼而引起的。受害者遭受 XSS 攻擊的途徑有三種：

－如例 1 所述，系統從 HTTP 請求中直接讀取數據，并在 HTTP 響應中返回數據。當攻擊者誘使用戶為易受攻擊的 Web 應用程序提供危險內容，而這些危險內容隨后會反饋給用戶并在 Web 瀏覽器中執行，就會發生反射式 XSS 盜取。發送惡意內容最常用的方法是，把惡意內容作為一個參數包含在公開發表的 URL 中，或者通過電子郵件直接發送給受害者。以這種手段構造的 URL 構成了多種“網絡釣魚”(phishing) 陰謀的核心，攻擊者借此誘騙受害者訪問指向易受攻擊站點的 URL。站點將攻擊者的內容反饋給受害者以后，便會執行這些內容，接下來會把用戶計算機中的各種私密信息（比如包含會話信息的 cookie）傳送給攻擊者，或者執行其他惡意活動。

－如例 2 所述，應用程序將危險數據儲存在一個數據庫或其他可信賴的數據存儲器中。這些危險數據隨后會被回寫到應用程序中，并包含在動態內容中。Persistent XSS 盜取發生在如下情況：攻擊者將危險內容注入到數據存儲器中，且該存儲器之后會被讀取并包含在動態內容中。從攻擊者的角度看，注入惡意內容的最佳位置莫過于一個面向許多用戶，尤其是相關用戶顯示的區域。相關用戶通常在應用程序中具備較高的特權，或相互之間交換敏感數據，這些數據對攻擊者來說有利用價值。如果某一個用戶執行了惡意內容，攻擊者就有可能以該用戶的名義執行某些需要特權的操作，或者獲得該用戶個人所有的敏感數據的訪問權限。

— 應用程序之外的數據源將危險數據儲存在一個數據庫或其他數據存儲器中，隨后這些危險數據被當作可信賴的數據回寫到應用程序中，并儲存在動態內容中。

REFERENCES

[1] Standards Mapping - OWASP Top 10 2007 - (OWASP 2007) A1 Cross Site Scripting (XSS)

[2] Standards Mapping - OWASP Top 10 2010 - (OWASP 2010) A2 Cross-Site Scripting (XSS)

[3] Standards Mapping - OWASP Top 10 2004 - (OWASP 2004) A4 Cross Site Scripting

[4] Standards Mapping - Security Technical Implementation Guide Version 3 - (STIG 3) APP3510 CAT I, APP3580 CAT I

[5] Standards Mapping - Security Technical Implementation Guide Version 3.4 - (STIG 3.4) APP3510 CAT I, APP3580 CAT I

[6] Standards Mapping - Web Application Security Consortium 24 + 2 - (WASC 24 + 2) Cross-site Scripting

[7] Standards Mapping - Common Weakness Enumeration - (CWE) CWE ID 79, CWE ID 80

[8] HTML 4.01 Specification W3

[9] Standards Mapping - SANS Top 25 2009 - (SANS 2009) Insecure Interaction - CWE ID 079

[10] Standards Mapping - SANS Top 25 2010 - (SANS 2010) Insecure Interaction - CWE ID 079

[11] Standards Mapping - SANS Top 25 2011 - (SANS Top 25 2011) Insecure Interaction - CWE ID 079

[12] Standards Mapping - Payment Card Industry Data Security Standard Version 1.2 - (PCI 1.2) Requirement 6.3.1.1, Requirement 6.5.1

[13] Standards Mapping - Payment Card Industry Data Security Standard Version 1.1 - (PCI 1.1) Requirement 6.5.4

[14] Standards Mapping - Payment Card Industry Data Security Standard Version 2.0 - (PCI 2.0) Requirement 6.5.7

[15] Standards Mapping - FIPS200 - (FISMA) SI

[16] Understanding Malicious Content Mitigation for Web Developers CERT

亚洲欧美在线