向 Web 瀏覽器發送非法數據會導致瀏覽器執行惡意代碼。
Cross-Site Scripting (XSS) 漏洞在以下情況下發生:
1. 數據通過一個不可信賴的數據源進入 Web 應用程序。對于 Reflected XSS,不可信賴的源通常為 Web 請求,而對于 Persisted(也稱為 Stored)XSS,該源通常為數據庫或其他后端數據存儲。
2. 在未檢驗包含數據的動態內容是否存在惡意代碼的情況下,便將其傳送給了 Web 用戶。
傳送到 Web 瀏覽器的惡意內容通常采用 JavaScript 代碼片段的形式,但也可能會包含一些 HTML、Flash 或者其他任意一種可以被瀏覽器執行的代碼。基于 XSS 的攻擊手段花樣百出,幾乎是無窮無盡的,但通常它們都會包含傳輸給攻擊者的私人數據(如 Cookie 或者其他會話信息)。在攻擊者的控制下,指引受害者進入惡意的網絡內容;或者利用易受攻擊的站點,對用戶的機器進行其他惡意操作。
例 1:下面的 ASP.NET Web 表單會在一個 HTTP 請求中讀取一個雇員 ID,并顯示給用戶。
<script runat="server">
...
EmployeeID.Text = Login.Text;
...
</script>
Login 和 EmployeeID 為表單控件,定義如下:
<form runat="server">
<asp:TextBox runat="server" id="Login"/>
...
<asp:Label runat="server" id="EmployeeID"/>
</form>
protected System.Web.UI.WebControls.TextBox Login;
protected System.Web.UI.WebControls.Label EmployeeID;
...
EmployeeID.Text = Login.Text;
Login 只包含標準的字母或數字文本,上面兩個示例中的代碼就能正確運行。如果 Login 有一個包含元字符或源代碼的值,那么 Web 瀏覽器就會像顯示 HTTP 響應那樣執行代碼。
<script runat="server">
...
string query = "select * from emp where id=" + eid;
sda = new SqlDataAdapter(query, conn);
DataTable dt = new DataTable();
sda.Fill(dt);
string name = dt.Rows[0]["Name"];
...
EmployeeName.Text = name;
</script>
EmployeeName 為表單控件,定義如下:
<form runat="server">
...
<asp:Label id="EmployeeName" runat="server">
...
</form>
protected System.Web.UI.WebControls.Label EmployeeName;
...
string query = "select * from emp where id=" + eid;
sda = new SqlDataAdapter(query, conn);
DataTable dt = new DataTable();
sda.Fill(dt);
string name = dt.Rows[0]["Name"];
...
EmployeeName.Text = name;
name 的值處理得當,這些示例代碼就能正常地執行功能;如若值處理不當,就會對代碼的盜取行為無能為力。同樣,這些代碼暴露出的危險較小,因為 name 的值是從數據庫中讀取的,而且顯然這些內容是由應用程序管理的。然而,如果 name 的值是由用戶提供的數據產生,數據庫就會成為惡意內容溝通的通道。如果不對數據庫中存儲的所有數據進行恰當的輸入驗證,那么攻擊者便能在用戶的 Web 瀏覽器中執行惡意命令。這種類型的 Persistent XSS(也稱為 Stored XSS)盜取極其陰險狡猾,因為數據存儲導致的間接性使得辨別威脅的難度增大,而且還提高了一個攻擊影響多個用戶的可能性。XSS 盜取會從訪問提供留言簿 (guestbook) 的網站開始。攻擊者會在這些留言簿的條目中嵌入 JavaScript,接下來所有訪問該留言簿的用戶都會執行這些惡意代碼。[1] Standards Mapping - OWASP Top 10 2007 - (OWASP 2007) A1 Cross Site Scripting (XSS)
[2] Standards Mapping - OWASP Top 10 2010 - (OWASP 2010) A2 Cross-Site Scripting (XSS)
[3] Standards Mapping - OWASP Top 10 2004 - (OWASP 2004) A4 Cross Site Scripting
[4] Anti-Cross Site Scripting Library MSDN
[5] Standards Mapping - Security Technical Implementation Guide Version 3 - (STIG 3) APP3510 CAT I, APP3580 CAT I
[6] Standards Mapping - Security Technical Implementation Guide Version 3.4 - (STIG 3.4) APP3510 CAT I, APP3580 CAT I
[7] Standards Mapping - Web Application Security Consortium 24 + 2 - (WASC 24 + 2) Cross-site Scripting
[8] Standards Mapping - Common Weakness Enumeration - (CWE) CWE ID 79, CWE ID 80
[9] HTML 4.01 Specification W3
[10] Standards Mapping - SANS Top 25 2009 - (SANS 2009) Insecure Interaction - CWE ID 079
[11] Standards Mapping - SANS Top 25 2010 - (SANS 2010) Insecure Interaction - CWE ID 079
[12] Standards Mapping - SANS Top 25 2011 - (SANS Top 25 2011) Insecure Interaction - CWE ID 079
[13] Standards Mapping - Payment Card Industry Data Security Standard Version 1.2 - (PCI 1.2) Requirement 6.3.1.1, Requirement 6.5.1
[14] Standards Mapping - Payment Card Industry Data Security Standard Version 1.1 - (PCI 1.1) Requirement 6.5.4
[15] Standards Mapping - Payment Card Industry Data Security Standard Version 2.0 - (PCI 2.0) Requirement 6.5.7
[16] Standards Mapping - FIPS200 - (FISMA) SI
[17] Understanding Malicious Content Mitigation for Web Developers CERT