依靠 HTML、XML 或其他類型編碼驗證用戶輸入可能會導致瀏覽器執行惡意代碼。
使用特定的編碼函數能避免一部分 cross-site scripting 攻擊,但不能完全避免。根據數據出現的上下文,除 HTML 編碼的基本字符 <、>、& 和 " 以及 XML 編碼的字符 <、>、&、" 和 ' 之外,其他字符可能具有元意。依靠此類編碼函數等同于用一個安全性較差的黑名單來防止 cross-site scripting 攻擊,并且可能允許攻擊者注入惡意代碼,并在瀏覽器中加以執行。由于不可能始終準確地確定靜態顯示數據的上下文,因此即便進行了編碼,HP Fortify 安全編碼規則包仍會報告 cross-site scripting 漏洞,并將其顯示為 Cross-Site Scripting:Poor Validation 問題。
Cross-site scripting (XSS) 漏洞會在以下情況中出現:
1. 數據通過一個不可信賴的數據源進入 Web 應用程序。對于 Reflected XSS,不可信賴的源通常為 Web 請求,而對于 Persisted(也稱為 Stored)XSS,該源通常為數據庫或其他后端數據存儲。
2. 在未檢驗包含數據的動態內容是否存在惡意代碼的情況下,便將其傳送給了 Web 用戶。
傳送到 Web 瀏覽器的惡意內容通常采用 JavaScript 代碼片段的形式,但也可能會包含一些 HTML、Flash 或者其他任意一種可以被瀏覽器執行的代碼。基于 XSS 的攻擊手段花樣百出,幾乎是無窮無盡的,但通常它們都會包含傳輸給攻擊者的私人數據(如 Cookie 或者其他會話信息)。在攻擊者的控制下,指引受害者進入惡意的網絡內容;或者利用易受攻擊的站點,對用戶的機器進行其他惡意操作。
例 1:下面的代碼片段可從 HTTP 請求中讀取雇員 ID eid,對其進行 URL 編碼,并將其顯示給用戶。
...
-- Assume QUERY_STRING looks like EID=EmployeeID
eid := SUBSTR(OWA_UTIL.get_cgi_env('QUERY_STRING'), 5);
HTP.htmlOpen;
HTP.headOpen;
HTP.title ('Employee Information');
HTP.headClose;
HTP.bodyOpen;
HTP.br;
HTP.print('Employee ID:' || HTMLDB_UTIL.url_encode(eid) || '');
HTP.br;
HTP.bodyClose;
HTP.htmlClose;
...
eid 只包含標準的字母或數字文本,這個例子中的代碼就能正確運行。如果 eid 里有包含元字符或源代碼中的值,那么 Web 瀏覽器就會像顯示 HTTP 響應那樣執行代碼。
...
SELECT ename INTO name FROM emp WHERE id = eid;
HTP.htmlOpen;
HTP.headOpen;
HTP.title ('Employee Information');
HTP.headClose;
HTP.bodyOpen;
HTP.br;
HTP.print('Employee Name:' || HTMLDB_UTIL.url_encode(name) || '');
HTP.br;
HTP.bodyClose;
HTP.htmlClose;
...
name 的值處理得當,該代碼就能正常地執行各種功能;如若處理不當,就會對代碼的盜取行為無能為力。同樣,這段代碼暴露出的危險較小,因為 name 的值是從數據庫中讀取的,而且顯然這些內容是由應用程序管理的。然而,如果 name 的值是由用戶提供的數據產生,數據庫就會成為惡意內容溝通的通道。如果不對數據庫中存儲的所有數據進行恰當的輸入驗證,那么攻擊者便能在用戶的 Web 瀏覽器中執行惡意命令。這種類型的 Persistent XSS(也稱為 Stored XSS)盜取極其陰險狡猾,因為數據存儲導致的間接性使得辨別威脅的難度增大,而且還提高了一個攻擊影響多個用戶的可能性。XSS 盜取會從訪問提供留言簿 (guestbook) 的網站開始。攻擊者會在這些留言簿的條目中嵌入 JavaScript,接下來所有訪問該留言簿的用戶都會執行這些惡意代碼。[1] Standards Mapping - OWASP Top 10 2007 - (OWASP 2007) A1 Cross Site Scripting (XSS)
[2] Standards Mapping - OWASP Top 10 2010 - (OWASP 2010) A2 Cross-Site Scripting (XSS)
[3] Standards Mapping - OWASP Top 10 2004 - (OWASP 2004) A4 Cross Site Scripting
[4] Standards Mapping - Security Technical Implementation Guide Version 3 - (STIG 3) APP3510 CAT I, APP3580 CAT I
[5] Standards Mapping - Security Technical Implementation Guide Version 3.4 - (STIG 3.4) APP3510 CAT I, APP3580 CAT I
[6] Standards Mapping - Web Application Security Consortium 24 + 2 - (WASC 24 + 2) Cross-site Scripting, Content Spoofing
[7] Standards Mapping - Common Weakness Enumeration - (CWE) CWE ID 82, CWE ID 83, CWE ID 87, CWE ID 692
[8] HTML 4.01 Specification W3
[9] Standards Mapping - SANS Top 25 2009 - (SANS 2009) Insecure Interaction - CWE ID 116
[10] Standards Mapping - Payment Card Industry Data Security Standard Version 1.2 - (PCI 1.2) Requirement 6.3.1.1, Requirement 6.5.1
[11] Standards Mapping - Payment Card Industry Data Security Standard Version 1.1 - (PCI 1.1) Requirement 6.5.4
[12] Standards Mapping - Payment Card Industry Data Security Standard Version 2.0 - (PCI 2.0) Requirement 6.5.7
[13] Standards Mapping - FIPS200 - (FISMA) SI
[14] Understanding Malicious Content Mitigation for Web Developers CERT