温柔杀手－跨站Script攻击(3)

第二部分：跨站script攻击的防犯

一、如何避免服务器受到跨站script的攻击

　　值得庆幸的是，防止跨站script攻击的技术正趋于完善。目前可采取这几种方式来防止跨站script的攻击：

1.对动态生成的页面的字符进行编码

2.对输入进行过滤和限制

3.使用html和url编码

1.对动态生成的页面的字符进行编码

　　你们首先要采用的就是对动态生成页面的字符进行编码，你必须这样做，不然黑客很有可能更改你的字符设置而轻易地通过你的防线。如果我们的网站是个英语网站，这样只要我们把字符编码设成拉丁字符iso-8859-1就行了，具体情况如下：

<meta http-equiv="content-type" content="text/html;charset=iso-8859-1">

2.过滤和限制所有输入的数据

　　这是防止跨站script的攻击的第二种方法，在进行登录的时侯，不要让那些特殊的字符也输入进去。因此我们可在onsubmit方法中加入javascript程序来完成这个功能。在本例中我们限制最多只能输入15个字符。这样可以阻止那些较长的script的输入。

　　在<<knowledge base article qa252985>>这本书中微软提供了一个简短的javascript程序来完成对输入数据的过滤。我们也根据具体情况引进了这段代码用于我们的例子中，如：

function checkform() {

document.forms[0].username.value = _

removebad(document.forms[0].username.value);

return true;

}

// microsofts code

function removebad(strtemp) {

strtemp = strtemp.replace(/\</\>/\"/\/\%/\;/\(/\)/\&/\+/\-/g,"");

return strtemp;

}

用这个办法，可以过滤在输入中含有的这些字符：

% < > [ ] { } ; & + – " ( )

3.使用html和url编码

　　尽管使用上面所说的过滤和限制输入的办法是一种非常重要用防御手段，但它对我的这种采用邮件方式的攻击还是无能为力。因为我把url的参数直接放在邮件中。针对这种情况我们不得不采取一种更有力的安全措施。如果我们用的asp，解决起来相对说来要容易得多。只要对动态生成的网页总进行html和url编码就行了。针对我们例子中的情况，在第一输入页中我们对redirect url作了如下改动：

strredirecturl = strredirecturl & _

server.urlencode(response.cookies("username"))

在执行页中我们加入：

strusername =server.htmlencode(request.querystring("username"))

和

strusername =server.htmlencode(request.form("username"))

　　微软推荐对所有动态页面的输入和输出都应进行编码。甚至在对数据库数据的存入和取出也应如此。这样你就能在很大程度上避免跨站script的攻击。

要做到这些还要在page1.asp中加入：

<%@ language=vbscript %>

<% if request.cookies("username") <> "" then

redirect if detect the cookie

dim strredirecturl

strredirecturl = "page2.asp?username="

strredirecturl = strredirecturl & _

server.urlencode(request.cookies("username"))

response.redirect(strredirecturl)

else %>

<html>

<head>

<meta http-equiv="content-type"content="text/html; charset=iso-8859-1">

<title>mynicesite.com home page</title>

</head>

<script language="javascript">

<!–

function checkform() {

document.forms[0].username.value =

removebad(document.forms[0].username.value);

return true;

}

//******************************************************

//programmer: not original code – comes from microsoft

//code source: microsoft knowledge base article q25z985

//description: removes bad characters.

//******************************************************

function removebad(strtemp) {

strtemp =strtemp.replace(/\</\>/\"/\/\%/\;/\(/\)/\&/\+/\-/g, "");

return strtemp;

}

//–>

</script>

<body>

<br>

<h2>mynicesite.com</h2>

<br>

<form method="post"action="page2.asp" onsubmit="return checkform();">

enter your mynicesite.com username:

<input type="text"name="username" width="10" maxwidth="10">

<input type="submit"name="submit" value="submit">

</form>

</body>

</html>

<% end if %>

page2.asp中加如：

<%@ language=vbscript %>

<% dim strusername

if request.querystring("username")<>"" then

strusername =server.htmlencode(request.querystring("username"))

else

response.cookies("username") =request.form("username")

strusername = server.htmlencode(request.form("username"))

end if %>

<html>

<head>

<meta http-equiv="content-type" content="text/html;charset=iso-8859-1">

</head>

<body>

<h3 align="center">hello: <%= strusername %></h3>

</body>

</html>

　　现在由于这种攻击遭到有效的防制。那于那些恶意的标签和script被编码，他们就被以文字的形式显现了出来，如下图：

　　我们也可增加一个iis组件用于过滤所有从动态输入中的特殊字符。对于那些已经做好的网站，采用这种办法来防止跨站script的攻击来得非常容易。我们的这个控件能拦截来自asp页面的request目标，可对表格，cookie,请求字串和程序的内容进行检测：

　　我们也可以通过编写log文件的方法把统计数据加入这个组件中。每当一个客户输入一个非法字符时，这个组件会记下它的ip地址和时间。详情请见doug dean的<<roll your own iis application on asptoday>>一文。

　　我们只需采取一些简单的步聚就能有效地阻止跨站script的攻击。除了以上所说的三种方法外，微软和cert还强烈推荐使用一种他们称之为“sanity check”的方法。例如，假设有个输入窗口只允许输入数字，我们就给它做个限定，只允许0-9数字的输入。微软和cert所采用的这种对输入的字符进行限定的办法要比单独的采用过滤特殊字符要好得多。采用了这些措施后你就能让那些参观你网站的客户在访问你网站时受到保护。

二、免受黑客攻击我们浏览器方法：

　　当你在网上漫游的时侯，怎样来避免受到攻击呢？微软和cert建议不要在网上胡碰乱撞。针对这种情况，pc杂志一个栏目的名叫john dvorack作者作了一个饶有兴趣的回答。他认为这是微软公司一起有预谋的行为：就是用来恐吓网上冲浪的人到那些安全的站点去浏览，如美国在线和msn.com网站。

　　在我们所举的例子中，即使你不在网上胡乱游荡，也不能避免在网上遭到黑客的袭击。具有讽刺意义的是，大多数的危险都来自于我们最信任的网站。如果要让网站一定不出问题，你只好不下载任何动态内容或者任何cookie。预知详情请参阅浏览器的相关资料。

　　微软也警告你们应把浏览器的active script设置成严格限制的状态并把email也设成严格限制的接收模式。在点击邮件中的链接时，一定要小心。如需进一步了解情况请参阅一本名叫<<microsofts knowledge base article q253117>>的书。为了以防万一，你最好是多一点上网经验，并且时刻要小心谨慎。

结论

　　如果你是以前的unix程序开发人员，你也许不会知道跨站script意谓着什么。你知道许多站点的管理人员登录的用户名和密码分别为root,root.同样许多数据库管理员的名称和密码分别为sa,password。你也知道webzine(如phrack 和 alt2600)，依据他们所提供的方法能让你一步步地知道某台服务器的弱点。在这种硬件上，你也知道许多网站的数据库服务器和web服务器都没有进行自我保护。一但遭遇黑客，机器就得瘫痪。

　　尽管我们很容易采取防止系统受到黑客的攻击的措施，但我们的系统是一直暴露在黑客面前的。我们完全有理由相信下一年还会出现一些新的安全漏洞。在cert公司john howard先生指导下完成的一篇论文中曾提到：“跟据目前的研究显示，每个在英特网上具有域名的网站平均一年被黑客至少攻击一次。”

　　对服务器来说那怕只是一次这种攻击也是不能承受的。跨站script攻击是黑客可采用的另一种方法。但我们只要进行以上所说的一些简单的处理就能防止这种形式攻击的发生。