ASP漏洞集-跨站Script攻擊和防范

跨站Script攻擊和防范  
第一部分：跨站Script攻擊
每當我們想到黑客的時候，黑客往往是這樣一幅畫像：一個孤獨的人，悄悄進入別人的服務器中，進行破壞或者竊取別人的秘密資料。也許他會更改我們的主頁，甚者會竊
取客戶的信用卡號和密碼。另外，黑客還會攻擊訪問我們網站的客戶。與此同時，我們的服務器也成了他的幫兇。微軟稱這種攻擊為“跨站script”攻擊。而這種攻擊大多
數都發生在網站動態產生網頁的時侯，但黑客的目標并不是你的網站，而是瀏覽網站的客戶。
跨站script攻擊的說明
　　在一本名為<<ADVISORY CA--2000-02>>的雜志中，CERT警告大家：如果服務器對客戶的輸入不進行有效驗證，黑客就會輸入一些惡意的HTML代碼，當這些HTML代碼輸
入是用于SCRIPT程序，他們就能利用它來進行破壞，如插入一些令人厭惡的圖片或聲音等，同時，也能干擾了客戶正確瀏覽網頁。
　　我們知道，有些朋友曾經被誘導到一些可疑的免費網站，他們得到的僅僅是10到20個小的窗口，這些窗口常常伴隨著由JAVA 或 JAVASCRIPT生成的失效安鈕，這被稱
為鼠標陷阱。關閉這些窗口是徒勞的，每當我們關閉一個窗口，又會有10幾個窗口彈出。這種情況常常發生在管理員沒在的時侯發生。鼠標事件是黑客利用跨站SCRIPT方法
攻客戶的典型范例。
　　惡意的標簽和SCRIPT不單純的惡作劇，他們甚至可以竊取資料和搗毀系統。一個聰明的甚至是不夠聰明的黑客都能夠使用SCRIPT干擾或者改變服務器數據的輸入。利用
SCRIPT代碼也能攻擊客戶系統，讓你的硬盤盡損。而且你要知道，在你一邊使用服務器的時候，黑客的SCRIPT也正在你服務器里安全的地方運行著的呀！如果客戶對你的服
務器非常信認，同樣他們也會信任那些惡意的SCRIPT代碼。甚至這個代碼是以〈SCRIPT〉或者〈OBJECT〉的形式來自黑客的服務器。  xker.com
　　即使使用了防火墻（SSL）也不能防止跨站SCRIPT的攻擊。那是因為如果生成惡意SCRIPT代碼的設備也使用了SSL，我們服務器的SSL是不能辨別出這些代碼來的。我們
難道就這樣把客戶曾經那么信任的網站拱手讓給黑客嗎？而且有這種破壞的存在，會讓你網站名譽盡損的。

一、跨站SCRIPT攻擊示例：
　　根據CERT的資料，動態輸入大致有這幾種形式：URL參數，表格元素，COOKISE以及數據請求。讓我們來分析一下，這個只有兩個頁面的網站，網站名為：
MYNICESITE.COM。第一頁使用一張表格或COOKIE來獲取用戶名：
<%@ Language=VBScript %>
<% If Request.Cookies("userName") <> "" Then
Dim strRedirectUrl
strRedirectUrl = "page2.asp?userName="
strRedirectUrl = strRedirectUrl & Response.Cookies("userName")
Response.Redirect(strRedirectUrl)
Else %>               xker.com<HTML>
<HEAD>
<TITLE>MyNiceSite.com Home Page</TITLE>
</HEAD>
<BODY>
<H2>MyNiceSite.com</H2>
<FORM method="post" action="page2.asp">
Enter your MyNiceSite.com username:
<INPUT type="text" name="userName">
<INPUT type="submit" name="submit" value="submit">
</FORM>
</BODY>
</HTML>
<% End If %>

第二頁返回用戶名以示歡迎：
<%@ Language=VBScript %>
<% Dim strUserName
If Request.QueryString("userName")<> "" Then
strUserName = Request.QueryString("userName")
Else
Response.Cookies("userName") = Request.Form("userName")
strUserName = Request.Form("userName")
End If %>
<HTML>
<HEAD></HEAD>
<BODY>
<H3 align="center">Hello: <%= strUserName %> </H3>

本新聞共5頁,當前在第1頁  1  2  3  4  5  

原文轉自：http://www.kjueaiud.com