当前位置:   article > 正文

【奇安信安全漏洞】XSS漏洞/重定向漏洞解决及产生分析!_奇安信漏洞

奇安信漏洞

产生原因:

1、反射型XSS
反射型XSS,也称为非持久性XSS,是最常见的一种XSS。

XSS代码常常出现在URL请求中,当用户访问带有XSS代码的URL请求时,服务器端接收请求并处理,然后将带有XSS代码的数据返回给浏览器,浏览器解析该段带有XSS代码的数据并执行,整个过程就像一次反射,故称为反射型XSS。

该类攻击的主要特点是它的及时性和一次性,即用户提交请求后,响应信息会立即反馈给用户。该类攻击常发生在搜索引擎、错误提示页面等对用户的输入做出直接反应的场景中。

2、存储型XSS
存储型XSS,也称为持久性XSS。

在存储型XSS中,XSS代码被存储到服务器端,因此允许用户存储数据到服务器端的Web应用程序可能存在该类型XSS漏洞。攻击者提交一段XSS代码后,服务器接收并存储,当其他用户访问包含该XSS代码的页面时,XSS代码被浏览器解析并执行。

存储型XSS攻击的特点之一是提交的恶意内容会被永久存储,因而一个单独的恶意代码就会使多个用户受害,故被称为持久性XSS,它也是跨站脚本攻击中危害最的一类。二是被存储的用户提交的恶意内容不一定被页面使用,因此存在危险的响应信息不一定被立即返回,也许在访问那些在时间上和空间上没有直接关联的页面时才会引发攻击,因此存在不确定性和更好的隐蔽性。

这类攻击的一个典型场景是留言板、博客和论坛等,当恶意用户在某论坛页面发布含有恶意的Javascript代码的留言时,论坛会将该用户的留言内容保存在数据库或文件中并作为页面内容的一部分显示出来。当其他用户查看该恶意用户的留言时,恶意用户提交的恶意代码就会在用户浏览器中解析并执行。

3、DOM型XSS
DOM (Document Objet Model)指文档对象模型。

DOM常用来表示在HTML和XML中的对象。DOM可以允许程序动态的访问和更新文档的内容、结构等。客户端JavaScript可以访问浏览器的文档对象模型。也就是说,通过JavaScript代码控制DOM节点就可以不经过服务器端的参与重构HTML页面。

该类攻击是反射型XSS的变种。它通常是由于客户端接收到的脚本代码存在逻辑错误或者使用不当导致的。比如Javascript代码不正确地使用各种DOM方法(如document.write)和Javascript内部函数(如eval函数),动态拼接HTML代码和脚本代码就容易引发DOM型的跨站脚本攻击。

因此,DOM型XSS与前面两种XSS的区别就在于DOM型XSS攻击的代码不需要与服务器端进行交互,DOM型XSS的触发基于浏览器端对DOM数据的解析来完成,也就是完全是客户端的事情。

应用程序的客户端代码从javaScript、document.location、request url、document.url、document.referrer。。或者其他任何攻击者可以修改的浏览器对象获取数据、如果未验证数据是否存在恶意代码的情况下,就将其动态的更新到页面的DOM节点,应用程序将易于收到基于DOM的XSS攻击。

解决办法:

既然都明确说明了是从客户端获取的数据,需要校验后才可以使用,那思路就清晰了。如何校验呢?也并不是简单的校验字符而已!

示例:

  1. //客户端获取值
  2. var actionValue = $("#action").val();
  3. //filterForDOMXSS函数用来过滤值
  4. var modeFlag = 0
  5. var sanitizedActionValue = filterForDOMXSS(actionValue,modeFlag);
  6. var encodedActionValue = sanitizedActionValue.value;
  7. var url = "../../../ReportAction.do?action=" + encodedActionValue;
  8. window.location.href = url;
  9. //此函数用来自定义校验获取到的值的内容
  10. function filterForDOMXSS(value,modeFlag) {
  11. var searchStatus = false;
  12. // 过滤关键词,后续可以继续加
  13. var crucialword = ['javascript',"eval","alert","onclick","ondbclick","onmousedown","onmouseup","onmouseover","onmouseout","onmousemove","onkeydown","onkeyup","onkeypress","<script+.*>","<p+.*>","<a+.*>","<img+.*>","<h+.*>","<textarea+.*>","<span+.*>","<div+.*>","<td+.*>","<tr+.*>","<th+.*>","<li+.*>","<ul+.*>","<option+.*>","<select+.*>","<del+.*>","<ol+.*>","<label+.*>","<button+.*>","<style+.*>","<em+.*>","<strong+.*>","<strike+.*>","<b+.*>","<s+.*>","<u+.*>","<sub+.*>","<sup+.*>","<small+.*>","<dl+.*>","<dt+.*>","<i+.*>","<pre+.*>","<q+.*>","<blockquote+.*>","<br+.*>","<code+.*>","<cite+.*>","\\$\\(+.*\\)"];
  14. for(var i = 0;i<crucialword.length;i++){
  15. var check = new RegExp(crucialword[i],"gi");
  16. if(check.exec(value)){
  17. searchStatus = true;
  18. break;
  19. }
  20. }
  21. if(searchStatus){
  22. value = value.replace(/javascript/gi,"")
  23. .replace(/eval/gi,"")
  24. .replace(/alert/gi,"")
  25. .replace(/onclick/gi,"")
  26. .replace(/ondbclick/gi,"")
  27. .replace(/onmousedown/gi,"")
  28. .replace(/onmouseup/gi,"")
  29. .replace(/onmouseover/gi,"")
  30. .replace(/onmouseout/gi,"")
  31. .replace(/onmousemove/gi,"")
  32. .replace(/onkeydown/gi,"")
  33. .replace(/onkeyup/gi,"")
  34. .replace(/onkeypress/gi,"")
  35. // 仅过滤标签模式
  36. if(modeFlag == 0){
  37. value = value.replace(/<script+.*>/gi,"")
  38. .replace(/<p+.*>/gi,"")
  39. .replace(/<a+.*>/gi,"")
  40. .replace(/<img+.*>/gi,"")
  41. .replace(/<h+.*>/gi,"")
  42. .replace(/<textarea+.*>/gi,"")
  43. .replace(/<span+.*>/gi,"")
  44. .replace(/<div+.*>/gi,"")
  45. .replace(/<td+.*>/gi,"")
  46. .replace(/<tr+.*>/gi,"")
  47. .replace(/<th+.*>/gi,"")
  48. .replace(/<li+.*>/gi,"")
  49. .replace(/<ul+.*>/gi,"")
  50. .replace(/<option+.*>/gi,"")
  51. .replace(/<select+.*>/gi,"")
  52. .replace(/<del+.*>/gi,"")
  53. .replace(/<ol+.*>/gi,"")
  54. .replace(/<label+.*>/gi,"")
  55. .replace(/<button+.*>/gi,"")
  56. .replace(/<style+.*>/gi,"")
  57. .replace(/<em+.*>/gi,"")
  58. .replace(/<strong+.*>/gi,"")
  59. .replace(/<strike+.*>/gi,"")
  60. .replace(/<sub+.*>/gi,"")
  61. .replace(/<sup+.*>/gi,"")
  62. .replace(/<small+.*>/gi,"")
  63. .replace(/<dl+.*>/gi,"")
  64. .replace(/<dt+.*>/gi,"")
  65. .replace(/<i+.*>/gi,"")
  66. .replace(/<pre+.*>/gi,"")
  67. .replace(/<q+.*>/gi,"")
  68. .replace(/<blockquote+.*>/gi,"")
  69. .replace(/<br+.*>/gi,"")
  70. .replace(/<code+.*>/gi,"")
  71. .replace(/<cite+.*>/gi,"")
  72. }else if(modeFlag == 1){
  73. // 过滤符号模式
  74. value = value.replace(/</g,"")
  75. .replace(/&lt;/g,"")
  76. .replace(/gt&;/gi,"")
  77. .replace(/\$\(\)/g,"");
  78. }else if(modeFlag ==2){
  79. // 全过滤模式,不推荐使用
  80. value = value.replace(/<\w+.*>/g,"");
  81. }
  82. return {"value":value,"status":searchStatus,"Message":"系统监测到有恶意代码输入,请注意您的行为"}
  83. }else{
  84. return{"value":value,"status":searchStatus,"Message":""}
  85. }

在上述修复代码中,我们引入了一个名为`filterForDOMXSS()`的函数,用于对输入值进行清理和验证。这个函数可以执行以下操作:

- 去除或转义任何潜在的恶意脚本标签或特殊字符。
- 验证输入值的格式和内容,确保它符合预期的规范。

通过对输入值进行适当的清理和验证,可以确保在调用`encodeURIComponent()`之前不会出现潜在的恶意脚本或特殊字符。

请注意,确切的清理和验证逻辑取决于您的应用程序要求和安全策略。您可能需要自定义`sanitizeInput()`函数,以适应您的具体需求和防御目标。

总结起来,解决这个问题的关键在于对用户输入进行适当的处理和验证,以确保不会传递任何潜在的恶意脚本或特殊字符给`encodeURIComponent()`函数。这样可以减轻XSS漏洞的风险(包括重定向问题)。

文章代码并非本人所写,是看到一个遇到同样问题的兄弟写的代码,但是由于没有收藏兄弟博客已经找不到了,在这里就不艾特了!!!本人只是搬运工,感谢原代码作者

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/Cpp五条/article/detail/150653
推荐阅读
相关标签
  

闽ICP备14008679号