Web网站安全头号大敌XSS漏洞解决最佳实践

2021年3月5日10:53:07 发表评论 154 views
引言

Web网站安全头号大敌XSS漏洞解决最佳实践

XSS 是目前最普遍的 Web 应用安全漏洞,它带来的危害是巨大的,是 Web 安全的头号大敌。
关键词
  • 跨站
  • 脚本(JavaScript、Java、 VBScript、ActiveX、 Flash 或者 HTML)
  • 注入
  • 执行
1. 什么是 XSS 漏洞?
XSS 攻击:跨站脚本攻击(Cross Site Scripting),为不和 前端层叠样式表(Cascading Style Sheets)CSS 混淆,故将跨站脚本攻击缩写为 XSS。
XSS(跨站脚本攻击)是指恶意攻击者往 Web 页面里插入恶意 Script 代码,当用户浏览该页时,嵌入其中 Web 里面的 Script 代码会被执行,从而达到恶意攻击用户的目的。类似于 sql 注入。是目前最普遍的 Web 应用安全漏洞,也是 Web 攻击中最常见的攻击方式之一。
XSS( 跨站脚本攻击)攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是 JavaScript,但实际上也可以包括 Java、 VBScript、ActiveX、 Flash 或者甚至是普通的 HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和 cookie 等各种内容。
2. XSS 漏洞攻击原理及攻击手段
HTML 是一种超文本标记语言,通过将一些字符特殊地对待来区别文本和标记,例如,小于符号(<)被看作是 HTML 标签的开始,之间的字符是页面的标题等等。
当动态页面中插入的内容含有这些特殊字符(如<)时,用户浏览器会将其误认为是插入了 HTML 标签,当这些 HTML 标签引入了一段 JavaScript 脚本时,这些脚本程序就将会在用户浏览器中执行。所以,当这些特殊字符不能被动态页面检查或检查出现失误时,就将会产生 XSS 漏洞。
常用的 XSS 攻击手段和目的有:

1、盗用 cookie,获取敏感信息。

2、利用植入 Flash,通过 crossdomain 权限设置进一步获取更高权限;或者利用 Java 等得到类似的操作。

3、利用 iframe、frame、XMLHttpRequest 或上述 Flash 等方式,以(被攻击)用户的身份执行一些管理动作,或执行一些一般的如发微博、加好友、发私信等操作。

4、利用可被攻击的域受到其他域信任的特点,以受信任来源的身份请求一些平时不允许的操作,如进行不当的投票活动。

5、在访问量极大的一些页面上的 XSS 可以攻击一些小型网站,实现 DDoS 攻击的效果。

最简单的 XSS 示例
<script>alert('hello world')</script><script src='http://www.smart4j.cn/xxx.js'></script><input type="button" value="评论"></input>
3. XSS 分类如下:
分类
主要特点
存储型 XSS
经过后端服务处理,数据存储在数据库端
反射型 XSS
经过后端服务处理,不存储数据库
DOM型 XSS
不经过后端服务处理,不存储数据库
4. XSS 漏洞分析
4.1 存储型 XSS
通过网页注入的代码最终会存储在数据库或其他物理文件中,在某个页面中注入的代码会被浏览器成功执行,该类型的漏洞存在持久性的特点。
主要特点:
  • 存储
  • 持久性
图解成因分析:
Web网站安全头号大敌XSS漏洞解决最佳实践图片
4.2 反射型 XSS
一般是通过 url 的形式注入代码,注入的代码不在服务器端存储,但会在服务器端进行处理然后进行回显,在回显时浏览器会触发漏洞执行注入代码,该类型攻击具有临时性特点。
主要特点:
  • 回显
  • 临时性
图解成因分析
Web网站安全头号大敌XSS漏洞解决最佳实践图片
4.3 DOM 型 XSS
也是通过 url 的形式注入代码,注入的代码服务器端程序不存储、不处理,而是由浏览器进行处理,该类型攻击也具有临时性特点。主要特点:
  • 不存储、不处理
  • 浏览器
  • 临时性
图解成因分析
图片Web网站安全头号大敌XSS漏洞解决最佳实践
5. 三种XSS漏洞对比
分类
一般表现形式
特点
存储型 XSS
表现为包含表单的页面,post提交后数据存储在数据库,通过其他页面访问触发
存储、持久性
反射型XSS
表现为包含参数的url地址,参数经后端程序程序处理后回显,通过访问 url 触发
url参数、后端处理参数、临时性
DOM型XSS
表现为包含参数的url地址,参数由页面中的JS代码处理,通过访问 url 触发
url参数、JS处理参数、临时性
6. 植入 JS 代码攻击及危害分析
外在表现形式:
  • 直接注入 JavaScript 代码
  • 引用外部 JS 文件
基本实现原理:
  • 通过 img 标签的 src 发送数据
  • 构造表单诱导用户输入账密
  • 构造隐藏的 form 表单自动提交
  • 页面强制跳转
  • 植入文字链接、图片链接
潜在危害:
  • 获取管理员或者其他用户 Cookie,冒充用户身份登录
  • 构造表单诱导用户输入账号、密码,获取账密
  • 跳转到其他网站,网站流量被窃取
  • 植入广告、外链等
  • 通过隐藏友链提升其他网站百度权重(SEO 黑帽)
7. 植入 HTML 代码攻击及危害分析
外在表现形式:
  • 构造 img 标签
  • 构造 a 标签
  • 构造 iframe
  • 构造其他 HTML 标签
基本实现原理:
  • 通过 img 标签的 src 发送数据
  • 通过 img 的 onerror 触发脚本代码
  • 通过 a 标签被动触发脚本代码 href/onclick
  • 通过 iframe 引入第三方页面
  • 直接构造文字链接或图片链接
  • style 属性嵌入脚本代码  background-image:url("javascript:…");(浏览器已可防范)
潜在危害:
  • 获取管理员或者其他用户 Cookie,冒充用户身份登录
  • 构造表单诱导用户输入账号、密码,获取账密
  • 植入广告、外链等
  • 通过隐藏友链提升其他网站百度权重(SEO 黑帽)
8. XSS 简单预防策略
8.1 对 html 标签进行字符替换:
replaceAll("<script", "");...
存在问题:
    大小写问题
优化升级:
    正则表达式
存在问题:
    反替换<scr<scriptipt ——> <script
8.2 对 html 字符转义或是半角转全角字符:
{ "<", ">", "\""}
转义:
{ "&lt;", "&gt;", "&quot;"})
全角:
{ "<, ">", "\""}
新场景:
    页面中需要根据某个参数生成文字链接
存在问题:
    a 标签的 href 属性 javascript:
其他问题:

    针对 json 字符串的场景

    如何公用的问题

9. XSS 漏洞预防策略最佳实践
9.1 输入环节
  • 页面限制输入长度、特殊字符限制,后端代码限制输入长度、处理特殊字符
  • Filter 过滤器统一处理(自定义处理规则、使用 Apache Text、使用 Owasp AntiSamy)
9.2 Cookie 防护
  • cookie 设置 httponly,一般 servlet 容器默认 httponly 为 true
  • resp.setHeader("SET-COOKIE", "JSESSIONID=" + request.getSession().getId()+ "; HttpOnly");
9.3 X-Frame-Options 响应头 (是否允许frame、iframe等标记)
  • DENY 不允许、SAMEORIGIN 可在相同域名页面的 frame 中展示、ALLOW-FROM uri 可在指定页的 frame 中展示
  • add_header X-Frame-Options SAMEORIGIN; //在nginx的 http 或 server 节点中配置即可
  • 也可通过 Filter 设置  resp.setHeader("x-frame-options","SAMEORIGIN");
9.4 输出环节
  • OWASP ESAPI for Java
  • 显示时对字符进行转义处理,各种模板都有相关语法,注意标签的正确使用示例如下:
thymeleaf
<span th:utext="${ result }"></span>---><span th:text="${ result }"></span>
<!-- utext 与 text 区别 -->
JSP
<c:out value=" ${ content }"  escapeXml="false" />---><c:out value=" ${ content }"/> <!-- escapeXml默认true -->
9.5 DOM 型 XSS
  • 避免 .innerHTML、.outerHTML、document.write() 的使用,应使用 .textContent、.setAttribute() 等。
  • Vue/React 技术栈,避免使用 v-html/dangerouslySetInnerHTML
  • 尤其注意 onclick、onerror、onload、onmouseover 、eval()、setTimeout()、setInterval() 以及 a 标签的 href
  • 可使用 OWASP  esapi4js : esapi.js
10. 后端服务编码实践
通过 https://start.spring.io/ 快速创建 springboot 应用:
Web网站安全头号大敌XSS漏洞解决最佳实践
Web网站安全头号大敌XSS漏洞解决最佳实践
Web网站安全头号大敌XSS漏洞解决最佳实践
解压并在 IDEA 导入刚刚创建的 xss-demo 项目
在 pom.xml 添加相关依赖:
<!--防止XSS攻击的antiSamy-->
<dependency>
     <groupId>org.owasp.antisamy</groupId>
     <artifactId>antisamy</artifactId>
     <version>1.5.7</version>
</dependency><!--fastjson依赖-->
<dependency>
    <groupId>com.alibaba</groupId>
    <artifactId>fastjson</artifactId>
    <version>1.2.62</version>
</dependency>
修改 xss-demo 工程包结构如下:
图片Web网站安全头号大敌XSS漏洞解决最佳实践
XSSFilter 编码如下:
/** * @program: xss-demo * @author: Mr.Zhang * @create: 2021-02-21 15:45 **/public class XssFilter implements Filter { @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { HttpServletRequest httpServletRequest = (HttpServletRequest) request; HttpServletRequest req = (HttpServletRequest) request; String path = req.getServletPath(); //注解配置的是urlPatterns="/*"(过滤所有请求),所以这里对不需要过滤的静态资源url,作忽略处理(大家可以依照具体需求配置) String[] exclusionsUrls = {".js", ".gif", ".jpg", ".png", ".css", ".ico"}; for (String str : exclusionsUrls) { if (path.contains(str)) { chain.doFilter(request, response); return; } } chain.doFilter(new XssRequestWrapper(httpServletRequest), response); }}
XssRequestWrapper 包装类编码如下:
/** * @program: xss-demo * @author: Mr.Zhang * @create: 2021-02-21 15:46 **/@Slf4jpublic class XssRequestWrapper extends HttpServletRequestWrapper { public XssRequestWrapper(HttpServletRequest request) { super(request); }
/** * 获取策略文件,直接使用jar中自带的ebay策略文件 */ private static InputStream inputStream = XssRequestWrapper.class.getClassLoader() .getResourceAsStream("antisamy-ebay.xml"); private static Policy policy = null;
static { try { // 使用静态代码块处理策略对象的创建 policy = Policy.getInstance(inputStream); } catch (PolicyException e) { e.printStackTrace(); } }
/** * 使用AntiSamy进行过滤数据 * @param html * @return */ private String xssClean(String html) { String cleanHTML = ""; try { AntiSamy antiSamy = new AntiSamy(); CleanResults scan = antiSamy.scan(html, policy); cleanHTML = scan.getCleanHTML(); } catch (ScanException e) { e.printStackTrace(); } catch (PolicyException e) { e.printStackTrace(); } return cleanHTML; }
/** * 重写处理请求参数的方法 * @param name * @return */ @Override public String[] getParameterValues(String name) { String[] values = super.getParameterValues(name);
// 判断参数有值,如果没有值,直接返回 if (values == null) { return null; }
// 遍历参数数组,使用AntiSamy进行过滤 int len = values.length; String[] newValues = new String[len]; for (int i = 0; i < len; i++) { // 过滤前的数据 log.info("使用AntiSamy进行过滤清理,过滤清理之前的数据:{}", values[i]); // 进行过滤 newValues[i] = xssClean(values[i]); // 过滤后的数据 log.info("使用AntiSamy进行过滤清理,过滤清理之后的数据:{}", newValues[i]); }
//返回过滤后的结果 return newValues; }
/** * 重写处理json数据的方法 * @return * @throws IOException */ @Override public ServletInputStream getInputStream() throws IOException { // 读取流 BufferedReader reader = new BufferedReader( new InputStreamReader(super.getInputStream(), "UTF-8"));
// 获取json格式的数据 StringBuilder sb = new StringBuilder(); String inputStr; while ((inputStr = reader.readLine()) != null) { sb.append(inputStr); }
// 把json转为map Map map = JSON.parseObject(sb.toString(), Map.class);
// 过滤前 log.info("json过滤前:{}", sb.toString()); // 对map中的value值进行AntiSamy的过滤 map.keySet().forEach(k -> { map.put(k, xssClean(map.get(k).toString())); }); // 过滤后 String json = JSON.toJSONString(map); log.info("json过滤后:{}", json);
// 把json数据转为流的格式进行返回 ByteArrayInputStream bais = new ByteArrayInputStream(json.getBytes());
return new ServletInputStream() { @Override public boolean isFinished() { return false; }
@Override public boolean isReady() { return false; }
@Override public void setReadListener(ReadListener listener) { }
@Override public int read() throws IOException { return bais.read(); } };
}}
AntiSamyConfig 配置过滤器类编码如下:
/** * @program: xss-demo * @author: Mr.Zhang * @create: 2021-02-21 15:58 **/@Configurationpublic class AntiSamyConfig {
/** * 配置xss过滤器 * @return */ @Bean public FilterRegistrationBean create() { FilterRegistrationBean filterRegistrationBean = new FilterRegistrationBean(new XssFilter()); filterRegistrationBean.addUrlPatterns("/*"); filterRegistrationBean.setOrder(1); return filterRegistrationBean; }}
User 实体类:
/** * @program: xss-demo * @author: Mr.Zhang * @create: 2021-02-21 15:42**/@Datapublic class User { private int id; private String name; private int age;}
UserController 测试控制器类编码如下:
/** * @program: xss-demo * @author: Mr.Zhang * @create: 2021-02-21 15:43 **/@Slf4j@RestController@RequestMapping("user")public class UserController { /** * 表单 * @param user * @return */ @PostMapping("save") public String save(User user) { log.info("name={}, age={}", user.getName(), user.getAge()); return JSON.toJSONString(user); }
/** * json数据格式请求体 * @param user * @return */ @PostMapping("json") public String saveJson(@RequestBody User user) { log.info("user={}", user.toString()); return JSON.toJSONString(user); }}
application.properties 配置文件为空,运行启动类后默认端口号8080。
Postman 模拟表单数据请求及响应效果如下:
Web网站安全头号大敌XSS漏洞解决最佳实践
后端程序控制台日志打印如下:
图片Web网站安全头号大敌XSS漏洞解决最佳实践
Postman 模拟 json 数据请求及响应效果如下:
Web网站安全头号大敌XSS漏洞解决最佳实践图片
后端程序控制台日志打印如下:
图片Web网站安全头号大敌XSS漏洞解决最佳实践
以上两个情况,请求参数中隐藏的 xss 攻击代码被过滤器过滤后再进入 Contrlloer 层处理。
11. 能不能根本上解决问题,即浏览器自动禁止外部注入恶意脚本?
开启 CSP (内容安全策略 Content Security Policy)方法:设置 HTTP 的 头部字段
resp.setHeader("Content-Security-Policy","default-src http: https:");
设置网页的<meta>标签
<meta http-equiv="Content-Security-Policy" content="form-action 'self';">
CSP 常见可选策略设置如下:
策略
含义
default-src http: https: ;
只能通过外联的方式引用 js 和 css
default-src 'self' http://smart4j.cn/
只能在指定的域下加载文件(包含 img)
form-action 'self'';
form 表单的只能在指定域提交
script-src 'self';
只限制 js 文件在同域加载文件
report-uri /report;
向指定uri发送违规报告(不支持 meta 方式)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: