Cross-Site Scripting: Poor Validation

ABSTRACT

依靠 HTML、XML 或其他類型編碼驗證用戶輸入可能會導致瀏覽器執行惡意代碼。

EXPLANATION

使用特定的編碼函數（例如 htmlspecialchars() 或 htmlentities()）能避免一部分 cross-site scripting 攻擊，但不能完全避免。根據數據出現的上下文，除 HTML 編碼的基本字符 <、>、& 和 " 以及 XML 編碼的字符 <、>、&、" 和 ' 之外（僅當已設置 ENT_QUOTES 時），其他字符可能具有元意。依靠此類編碼函數等同于用一個安全性較差的黑名單來防止 cross-site scripting 攻擊，并且可能允許攻擊者注入惡意代碼，并在瀏覽器中加以執行。由于不可能始終準確地確定靜態顯示數據的上下文，因此即便應用了編碼，HP Fortify 安全編碼規則包仍會報告 cross-site scripting 漏洞，并將其顯示為 Cross-Site Scripting:Poor Validation 問題。

Cross-site scripting (XSS) 漏洞會在以下情況中出現：

1. 數據通過一個不可信賴的數據源進入 Web 應用程序。對于 Reflected XSS，不可信賴的源大多數情況下為 Web 請求；而對于 Persistent（也稱為 Stored）XSS，該源通常為數據庫查詢的結果。

2. 在未檢驗包含數據的動態內容是否存在惡意代碼的情況下，便將其傳送給了 Web 用戶。

傳送到 Web 瀏覽器的惡意內容通常采用 JavaScript 代碼片段的形式，但也可能會包含一些 HTML、Flash 或者其他任意一種可以被瀏覽器執行的代碼。基于 XSS 的攻擊手段花樣百出，幾乎是無窮無盡的，但通常它們都會包含傳輸給攻擊者的私人數據（如 Cookie 或者其他會話信息）。在攻擊者的控制下，指引受害者進入惡意的網絡內容；或者利用易受攻擊的站點，對用戶的機器進行其他惡意操作。

例 1：下面的代碼片段可從 HTTP 請求中讀取 text 參數，對其進行 HTML 編碼，并將其顯示在腳本標簽之間的警報框中。


<?php
$var=$_GET['text'];
    ...
$var2=htmlspecialchars($var);
echo "<script>alert('$var2')</script>";
?>

如果 text 只包含標準的字母或數字文本，這個例子中的代碼就能正確運行。如果 text 具有單引號、圓括號和分號，則在代碼執行之后會結束 alert 文本框。

起初，這個例子似乎是不會輕易遭受攻擊的。畢竟，有誰會輸入導致惡意代碼的 URL，并且還在自己的電腦上運行呢？真正的危險在于攻擊者會創建惡意的 URL，然后采用電子郵件或者社會工程的欺騙手段誘使受害者訪問此 URL 的鏈接。當受害者單擊這個鏈接時，他們不知不覺地通過易受攻擊的網絡應用程序，將惡意內容帶到了自己的電腦中。這種對易受攻擊的 Web 應用程序進行盜取的機制通常被稱為反射式 XSS。

正如例子中所顯示的，XSS 漏洞是由于 HTTP 響應中包含了未經驗證的數據代碼而引起的。受害者遭受 XSS 攻擊的途徑有三種：

－如例 1 所述，系統從 HTTP 請求中直接讀取數據，并在 HTTP 響應中返回數據。當攻擊者誘使用戶為易受攻擊的 Web 應用程序提供危險內容，而這些危險內容隨后會反饋給用戶并在 Web 瀏覽器中執行，就會發生反射式 XSS 盜取。發送惡意內容最常用的方法是，把惡意內容作為一個參數包含在公開發表的 URL 中，或者通過電子郵件直接發送給受害者。以這種手段構造的 URL 構成了多種“網絡釣魚”(phishing) 陰謀的核心，攻擊者借此誘騙受害者訪問指向易受攻擊站點的 URL。站點將攻擊者的內容反饋給受害者以后，便會執行這些內容，接下來會把用戶計算機中的各種私密信息（比如包含會話信息的 cookie）傳送給攻擊者，或者執行其他惡意活動。

— 應用程序將危險數據存儲在數據庫或其他可信賴的數據存儲器中。這些危險數據隨后會被回寫到應用程序中，并包含在動態內容中。Persistent XSS 盜取發生在如下情況：攻擊者將危險內容注入到數據存儲器中，且該存儲器之后會被讀取并包含在動態內容中。從攻擊者的角度看，注入惡意內容的最佳位置莫過于一個面向許多用戶，尤其是相關用戶顯示的區域。相關用戶通常在應用程序中具備較高的特權，或相互之間交換敏感數據，這些數據對攻擊者來說有利用價值。如果某一個用戶執行了惡意內容，攻擊者就有可能以該用戶的名義執行某些需要特權的操作，或者獲得該用戶個人所有的敏感數據的訪問權限。

— 應用程序之外的數據源將危險數據儲存在一個數據庫或其他數據存儲器中，隨后這些危險數據被當作可信賴的數據回寫到應用程序中，并儲存在動態內容中。

REFERENCES

[1] Standards Mapping - OWASP Top 10 2007 - (OWASP 2007) A1 Cross Site Scripting (XSS)

[2] Standards Mapping - OWASP Top 10 2010 - (OWASP 2010) A2 Cross-Site Scripting (XSS)

[3] Standards Mapping - OWASP Top 10 2004 - (OWASP 2004) A4 Cross Site Scripting

[4] Standards Mapping - Security Technical Implementation Guide Version 3 - (STIG 3) APP3510 CAT I, APP3580 CAT I

[5] Standards Mapping - Security Technical Implementation Guide Version 3.4 - (STIG 3.4) APP3510 CAT I, APP3580 CAT I

[6] Standards Mapping - Web Application Security Consortium 24 + 2 - (WASC 24 + 2) Cross-site Scripting, Content Spoofing

[7] Standards Mapping - Common Weakness Enumeration - (CWE) CWE ID 82, CWE ID 83, CWE ID 87, CWE ID 692

[8] HTML 4.01 Specification W3

[9] Standards Mapping - SANS Top 25 2009 - (SANS 2009) Insecure Interaction - CWE ID 116

[10] Standards Mapping - Payment Card Industry Data Security Standard Version 1.2 - (PCI 1.2) Requirement 6.3.1.1, Requirement 6.5.1

[11] Standards Mapping - Payment Card Industry Data Security Standard Version 1.1 - (PCI 1.1) Requirement 6.5.4

[12] Standards Mapping - Payment Card Industry Data Security Standard Version 2.0 - (PCI 2.0) Requirement 6.5.7

[13] Standards Mapping - FIPS200 - (FISMA) SI

[14] Understanding Malicious Content Mitigation for Web Developers CERT

亚洲欧美在线