<span id="7ztzv"></span>
<sub id="7ztzv"></sub>


<span id="7ztzv"></span><form id="7ztzv"></form>


<span id="7ztzv"></span>
    

      

        <address id="7ztzv"></address>
            


					
            
						
            
													
							
            
							   Cross-Site Scripting: DOM
							
            
							
            ABSTRACT
            
							
            
							  向 Web 瀏覽器發送非法數據會導致瀏覽器執行惡意代碼。
							
            
							
            EXPLANATION
            
							
            
							  Cross-Site Scripting (XSS) 漏洞在以下情況下發生:

            1. 數據通過一個不可信賴的數據源進入 Web 應用程序。對于基于 DOM 的 XSS,將從 URL 參數或瀏覽器中的其他值讀取數據,并使用客戶端代碼將其重新寫入該頁面。對于 Reflected XSS,不可信賴的源通常為 Web 請求,而對于 Persisted(也稱為 Stored)XSS,該源通常為數據庫或其他后端數據存儲。


            2. 在未檢驗包含數據的動態內容是否存在惡意代碼的情況下,便將其傳送給了 Web 用戶。對于基于 DOM 的 XSS,任何時候當受害人的瀏覽器解析 HTML 頁面時,惡意代碼都將作為 DOM(文檔對象模型)創建的一部分執行。 

            傳送到 Web 瀏覽器的惡意內容通常采用 JavaScript 代碼片段的形式,但也可能會包含一些 HTML、Flash 或者其他任意一種可以被瀏覽器執行的代碼。基于 XSS 的攻擊手段花樣百出,幾乎是無窮無盡的,但通常它們都會包含傳輸給攻擊者的私人數據(如 Cookie 或者其他會話信息)。在攻擊者的控制下,指引受害者進入惡意的網絡內容;或者利用易受攻擊的站點,對用戶的機器進行其他惡意操作。

            例:下面的 JavaScript 代碼片段可從 HTTP 請求中讀取雇員 ID eid,并將其顯示給用戶。 


            <SCRIPT>
            var pos=document.URL.indexOf("eid=")+4;
            document.write(document.URL.substring(pos,document.URL.length));
            </SCRIPT>



            如果 eid 只包含標準的字母或數字文本,這個例子中的代碼就能正確運行。如果 eid 里有包含元字符或源代碼中的值,那么 Web 瀏覽器就會像顯示 HTTP 響應那樣執行代碼。

            起初,這個例子似乎是不會輕易遭受攻擊的。畢竟,有誰會輸入導致惡意代碼的 URL,并且還在自己的電腦上運行呢?真正的危險在于攻擊者會創建惡意的 URL,然后采用電子郵件或者社會工程的欺騙手段誘使受害者訪問此 URL 的鏈接。當受害者單擊這個鏈接時,他們不知不覺地通過易受攻擊的網絡應用程序,將惡意內容帶到了自己的電腦中。這種對易受攻擊的 Web 應用程序進行盜取的機制通常被稱為反射式 XSS。

            正如例子中所顯示的,XSS 漏洞是由于 HTTP 響應中包含了未驗證的數據代碼而引起的。受害者遭受 XSS 攻擊的途徑有三種:

            — 系統從 HTTP 請求中直接讀取數據,并在 HTTP 響應中返回數據。當攻擊者誘使用戶為易受攻擊的 Web 應用程序提供危險內容,而這些危險內容隨后會反饋給用戶并在 Web 瀏覽器中執行,就會發生反射式 XSS 盜取。發送惡意內容最常用的方法是,把惡意內容作為一個參數包含在公開發表的 URL 中,或者通過電子郵件直接發送給受害者。以這種手段構造的 URL 構成了多種“網絡釣魚”(phishing) 陰謀的核心,攻擊者借此誘騙受害者訪問指向易受攻擊站點的 URL。站點將攻擊者的內容反饋給受害者以后,便會執行這些內容,接下來會把用戶計算機中的各種私密信息(比如包含會話信息的 cookie)傳送給攻擊者,或者執行其他惡意活動。

            — 應用程序將危險數據存儲在數據庫或其他可信賴的數據存儲器中。這些危險數據隨后會被回寫到應用程序中,并包含在動態內容中。Persistent XSS 盜取發生在如下情況:攻擊者將危險內容注入到數據存儲器中,且該存儲器之后會被讀取并包含在動態內容中。從攻擊者的角度看,注入惡意內容的最佳位置莫過于一個面向許多用戶,尤其是相關用戶顯示的區域。相關用戶通常在應用程序中具備較高的特權,或相互之間交換敏感數據,這些數據對攻擊者來說有利用價值。如果某一個用戶執行了惡意內容,攻擊者就有可能以該用戶的名義執行某些需要特權的操作,或者獲得該用戶個人所有的敏感數據的訪問權限。

            — 應用程序之外的數據源將危險數據儲存在一個數據庫或其他數據存儲器中,隨后這些危險數據被當作可信賴的數據回寫到應用程序中,并儲存在動態內容中。
							
            
							 								
            REFERENCES
            
																								   
            [1] Standards Mapping - OWASP Top 10 2007 - (OWASP 2007) A1 Cross Site Scripting (XSS) 
            
																									   
            [2] Standards Mapping - OWASP Top 10 2010 - (OWASP 2010) A2 Cross-Site Scripting (XSS) 
            
																									   
            [3] Standards Mapping - OWASP Top 10 2004 - (OWASP 2004) A4 Cross Site Scripting 
            
																									   
            [4] Standards Mapping - Security Technical Implementation Guide Version 3 - (STIG 3) APP3510 CAT I, APP3580 CAT I 
            
																									   
            [5] Standards Mapping - Security Technical Implementation Guide Version 3.4 - (STIG 3.4) APP3510 CAT I, APP3580 CAT I 
            
																									   
            [6] Standards Mapping - Web Application Security Consortium 24 + 2 - (WASC 24 + 2) Cross-site Scripting 
            
																									   
            [7] Standards Mapping - Common Weakness Enumeration - (CWE) CWE ID 79, CWE ID 80 
            
																									   
            [8]  HTML 4.01 Specification W3
            
																									   
            [9] Standards Mapping - SANS Top 25 2009 - (SANS 2009) Insecure Interaction - CWE ID 079 
            
																									   
            [10] Standards Mapping - SANS Top 25 2010 - (SANS 2010) Insecure Interaction - CWE ID 079 
            
																									   
            [11] Standards Mapping - SANS Top 25 2011 - (SANS Top 25 2011) Insecure Interaction - CWE ID 079 
            
																									   
            [12] Standards Mapping - Payment Card Industry Data Security Standard Version 1.2 - (PCI 1.2) Requirement 6.3.1.1, Requirement 6.5.1 
            
																									   
            [13] Standards Mapping - Payment Card Industry Data Security Standard Version 1.1 - (PCI 1.1) Requirement 6.5.4 
            
																									   
            [14] Standards Mapping - Payment Card Industry Data Security Standard Version 2.0 - (PCI 2.0) Requirement 6.5.7 
            
																									   
            [15] Standards Mapping - FIPS200 - (FISMA) SI 
            
																									   
            [16]  Understanding Malicious Content Mitigation for Web Developers CERT
            
																														
            
							
            
							
            
							
            
							Copyright 2013 Fortify Software - All rights reserved.
							
            
							(Generated from version 2013.1.1.0008 of the Fortify Secure Coding Rulepacks)
							
            
							desc.dataflow.javascript.cross_site_scripting_dom
							
            
							
            
						
            

            <span id="7ztzv"></span>
            <sub id="7ztzv"></sub>
            

            <span id="7ztzv"></span><form id="7ztzv"></form>
            

            <span id="7ztzv"></span>
              

                

                  <address id="7ztzv"></address>
                      

亚洲欧美在线