众所周知,XSS几乎在最常见、危害最大的WEB漏洞。针对这个危害,我们应该怎么防范呢。
下面简单说一下思路。
作者:轻轻的烟雾(z281099678)
一、XSS漏洞是什么
XSS漏洞网上的资料太多,这里只简单说一下。
大概分为3种类型:反射型、存储型、DOM型。
但其实我认为,DOM型是被包含在反射型和存储型里的,只不过它具有一定的特殊性,所以经常把它独立出来说明。
1.反射型
就是攻击者对存在XSS漏洞的系统,通过构建一个具有攻击功能的URL链接,然后想方设法让被攻击者访问这个链接。一旦被攻击者访问了攻击链接,则暴露了自己的信息。
2.存储型
就是攻击者提交具有攻击功能的内容给有XSS漏洞的系统,系统把内容保存之后,就像一个地雷一样埋伏在系统里。被攻击者一旦访问这个地雷所在的页面,就不知不觉的泄漏了这个信息。
注意:这个地雷是永久有效的,可无限制的爆炸,而且爆炸并不会引起被攻击者的注意。
3.DOM型
就是利用反射型或者存储型漏洞,让被攻击者访问的页面的DOM发生改变,进而引起XSS攻击。
二、XSS攻击的防范
XSS臭名昭著,因为这类攻击简单,而危险极大。可能泄漏任何后台管理员的cookie,导致攻击者直接绕开登录检测的“大门”,直接进入后台系统,进而进行下一步可能危害性更大的攻击。
防范手段大概如下:
1.对用户提交数据进行过滤、转移
开发者或者安全工程师要有一个理念:所有用户都不可信。对于用户提交的信息,做完善的过滤、转移。
针对前端用户提交的数据,进行HTML字符转移、标签过滤等操作,对于需要提交富文本的后台用户,做好严格的允许和禁止的标签及属性的检查。
严格做好数据的检测和过滤,理论上可以控制绝大部分XSS攻击。当然事实上要做到完美的控制很难。
2.设置Content-Security-Policy
设置内容安全策略,限制浏览器对资源引用。这样可以一定程度上避免攻击者引入攻击资源。
3.对Cookie增加HttpOnly、Secure属性
对敏感Cookie进行保护,我认为是一种“事后保护”策略。即便是攻击者已经成功埋下了XSS地雷,但是由于我们做好Cookie保护,所以XSS攻击也拿不到想要的Cookie,从而导致攻击失效。
这里另外说一点,对于这一点,其实攻击者可能还有一些别开生面的思路,虽然无法直接拿到Cookie,但是他可以利用XSS发起一些迷惑人的攻击,比如给页面引到另外一个钓鱼页面,或者直接弹出帐号密码输入框,一旦被攻击者缺乏安全意识甚至是一个不小心,便主动把用户名和密码提交给了攻击者。
三、更多
对于XSS的防不胜防,我想到另外一个“补救措施”,那就是对系统进行监控。
我们把系统所有要正常引入的资源的域名都做成白名单,然后对系统的资源引用做监控,一旦系统的页面引入了白名单之外的资源,即记录引用资源等信息,并对安全员或者系统管理员发送告警。
利用浏览器PerformanceObserver对象,对所有的网络资源加载进行监控:
然后通过自定义函数check_url,对资源进行分析,如果不是白名单的网络资源,则触发记录和告警。如此便可让系统管理员对系统的XSS攻击有快速的知晓和反应。最后说个题外话,一些浏览器(号称以安全著称,具体名称这里就不提了)很神奇,你使用它访问网站,它会默认的增加一些乱七八糟的链接的访问,甚至给你访问的页面的一些信息带上。我猜可能一些是广告,还有一些是什么分析,不得而知。但是作为基础设施的浏览器,夹带这些“私活”,真让人感觉恶心无耻且不寒而栗。