跨站漏洞解析-小韩网站编程安全系列一

不算前言的前言

好像已经很久没有写过安全方面的文章了，所谓安全圈子里面，大家也许认为玄猫消失了，不过，我想，作为骇客的玄猫也许从来没有出现过吧。没错的，我是玄猫，如果前两年你看过《黑客X档案》或者《黑客手册》这样的民间安全杂志，那么你也许见过这个名字。
或者，很抱歉的，你的站点有时会出现过“玄猫啊玄猫……”这样的提示框或者文字，那么我很遗憾，我写的漏洞利用工具被人滥用到你的网站上了，蓝色理想里的程序员、站长想必不少，我在这里也向你道个歉。

什么是跨站脚本攻击

OK，我们就进入正文吧。按照惯例，我先给出“跨站脚本攻击”的“官方定义”。

跨站攻击，即Cross Site Script Execution(通常简写为XSS)是指攻击者利用网站程序对用户输入过滤不足，输入可以显示在页面上对其他用户造成影响的HTML代码，从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。

在这个定义里面提到了三个要点：

第一、       What-为什么会产生跨站脚本攻击。

跨站脚本攻击的产生是因为程序员在写程序时候的考虑不周，当然，也可能是根本没有考虑。安全方面有一句著名的话叫做，“永远也不要相信用户的输入”。看到这里，作为普通用户的你，先别急着鄙视我对你的不信任，作为可用性专家的你，也别急着骂我不重视用户，作为程序员的你，要去用凉水洗把脸，精神一下了。

你在以前写程序时，有没有考虑，用户所输入的内容显示在网站上时，会不会有什么问题呢。
什么问题？先抛开我这里的主题跨站脚本攻击而言，你有没有发现，有时用户输入的内容，导致了你的页面变形？这时你除了说，Oh,这个用户真麻烦之外，是否还考虑，为什么会变形呢。

我们举个实例来说，你写了一个页面，用来显示用户输入的文章，这里显示用户部分的地方是这样的：

<div id="content"><％=sArticleContent'这里我们假设这个变量是从数据库里面取出的用户输入的文章内容％></div>

如果用户输入的都是像我这篇文章一样的普通文字，那么自然是没有问题，啊，可是如果出现一个二把刀的用户，他一定想写一些html代码来装饰他的文章，而恰恰他只写了<h1>，忘记了后面的闭合标签，那么会出现什么……哈哈，你的页面的后面部分全部被<h1>了，字体大的没法看。之前你精心设计的页面全部乱成了一锅粥。

在这个实例里面，用户输入的只是普通的html字符，那么，他如果输入javascript字符呢，恩，如果我是一个坏坏的喜欢搞恶作剧的用户，我也许会输入：<script>while(1==1){alert('这个站长是个笨蛋');}</script>。那么会发生什么?对!在这个页面被访问的时候，你无辜的访问者会发现，无论他怎么按“确定”，那个顽固的提示框都会喋喋不休。

简单来说，这就是一次跨站脚本攻击了。

在这次攻击里面，我，这个坏坏的喜欢恶作剧的用户，利用你，这个永远相信用户输入的程序员忘记过滤我所输入的可能对其他访问者造成危害的代码内容这个缺陷，成功的进行了一次恶作剧—跨站脚本攻击。

第二、       Who-谁可以利用跨站脚本攻击。

关于“who”这个问题，我想在上面的内容里，你大致了解了，这里我再唠叨一下，不仅仅是喜欢恶作剧的用户可以用，甚至有时普通的用户，输入时不小心的也会导致你页面出现一些未期料的问题。

当然，我们最不希望的就是，有骇客利用这个漏洞了，至于他能够利用到什么程度，还请你往下面拉一点，看“跨站脚本攻击有什么危害”。

第三、       How much-跨站脚本攻击有什么危害。

所谓安全圈子里的某些“黑客”往往对跨站漏洞嗤之以鼻，认为那不过是在客户那里玩玩就算了，作为被称之为跨站王的某鱼同学(现在已然是Discuz公司的系统安全工程师了)的徒弟我来说，我认为这是非常幼稚的一种看法。

说小了，跨站攻击可以简单的就使你的页面布局混乱不堪，而更严重的是，既然骇客可以写入html代码，那他简直可以 * 想到的或者你想不到的任何事情了。譬如……<iframe src="网页木马地址" width="0" height="0"></iframe>就可以非常容易的在你的网站上插入指向一个网页木马的隐藏的框架了(通常被称之为“挂马”)。

作为网站管理员的你，如果简单的认为，跨站漏洞只可以对访问者造成侵害的话，那就错了。别忘记，在访问带有受到跨站攻击的网页时，你的身份也是普通用户，一方面，如果你中了他放的木马，那么从你机子上就可以轻易的下载到ftp软件中的密码信息，另一方面，如果这个时候你已经登录了管理，那么他是不是可以构造一个管理页面，并且以你的身份，让你不知不觉的操作呢，这是完全可能的，并且是经常出现的。