一、背景知識

1、什么是XSS攻擊

XSS攻擊：跨站腳本攻擊（Cross Site Scripting），為不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆。故將跨站腳本攻擊縮寫為XSS。XSS是一種經(jīng)常出現(xiàn)在web應用中的計算機安全漏洞，它允許惡意web用戶將代碼植入到提供給其它用戶使用的頁面中。比如這些代碼包括HTML代碼和客戶端腳本。攻擊者利用XSS漏洞旁路掉訪問控制--例如同源策略（same origin policy）。這種類型的漏洞由于被駭客用來編寫危害性更大的phishing攻擊而變得廣為人知。對于跨站腳本攻擊，黑客界共識是：跨站腳本攻擊是新型的"緩沖區(qū)溢出攻擊"，而JavaScript是新型的"ShellCode"。

XSS攻擊的危害包括：

◆盜取各類用戶帳號，如機器登錄帳號、用戶網(wǎng)銀帳號、各類管理員帳號；

◆控制企業(yè)數(shù)據(jù)，包括讀取、篡改、添加、刪除企業(yè)敏感數(shù)據(jù)的能力；

◆盜竊企業(yè)重要的具有商業(yè)價值的資料；

◆非法轉賬；

◆強制發(fā)送電子郵件；

◆網(wǎng)站掛馬；

◆控制受害者機器向其它網(wǎng)站發(fā)起攻擊。

2、XSS漏洞的分類

XSS漏洞按照攻擊利用手法的不同，有以下三種類型：

類型A，本地利用漏洞，這種漏洞存在于頁面中客戶端腳本自身。其攻擊過程如下所示：

Alice給Bob發(fā)送一個惡意構造了Web的URL。

Bob點擊并查看了這個URL。

惡意頁面中的JavaScript打開一個具有漏洞的HTML頁面并將其安裝在Bob電腦上。

具有漏洞的HTML頁面包含了在Bob電腦本地域執(zhí)行的JavaScript。

Alice的惡意腳本可以在Bob的電腦上執(zhí)行Bob所持有的權限下的命令。

類型B，反射式漏洞，這種漏洞和類型A有些類似，不同的是Web客戶端使用Server端腳本生成頁面為用戶提供數(shù)據(jù)時，如果未經(jīng)驗證的用戶數(shù)據(jù)被包含在頁面中而未經(jīng)HTML實體編碼，客戶端代碼便能夠注入到動態(tài)頁面中。其攻擊過程如下:

Alice經(jīng)常瀏覽某個網(wǎng)站，此網(wǎng)站為Bob所擁有。Bob的站點運行Alice使用用戶名/密碼進行登錄，并存儲敏感信息（比如銀行帳戶信息）。

Charly發(fā)現(xiàn)Bob的站點包含反射性的XSS漏洞。

Charly編寫一個利用漏洞的URL，并將其冒充為來自Bob的郵件發(fā)送給Alice。

Alice在登錄到Bob的站點后，瀏覽Charly提供的URL。

嵌入到URL中的惡意腳本在Alice的瀏覽器中執(zhí)行，就像它直接來自Bob的服務器一樣。此腳本盜竊敏感信息（授權、信用卡、帳號信息等）然后在Alice完全不知情的情況下將這些信息發(fā)送到Charly的Web站點。

類型C，存儲式漏洞，該類型是應用最為廣泛而且有可能影響到Web服務器自身安全的漏洞，駭客將攻擊腳本上傳到Web服務器上，使得所有訪問該頁面的用戶都面臨信息泄漏的可能，其中也包括了Web服務器的管理員。其攻擊過程如下：

Bob擁有一個Web站點，該站點允許用戶發(fā)布信息/瀏覽已發(fā)布的信息。

Charly注意到Bob的站點具有類型C的XXS漏洞。

Charly發(fā)布一個熱點信息，吸引其它用戶紛紛閱讀。

Bob或者是任何的其他人如Alice瀏覽該信息，其會話cookies或者其它信息將被Charly盜走。

類型A直接威脅用戶個體，而類型B和類型C所威脅的對象都是企業(yè)級Web應用，目前天清Web應用安全網(wǎng)關產(chǎn)品所能防范的XSS攻擊包括類型B和類型C。#p#

二、XSS攻擊防御

1、XSS的傳統(tǒng)防御技術

（1）基于特征的防御

XSS漏洞和著名的SQL注入漏洞一樣，都是利用了Web頁面的編寫不完善，所以每一個漏洞所利用和針對的弱點都不盡相同。這就給XSS漏洞防御帶來了困難：不可能以單一特征來概括所有XSS攻擊。

傳統(tǒng)XSS防御多采用特征匹配方式，在所有提交的信息中都進行匹配檢查。如<IMG SRC="javascript:alert('XSS');">， 對于這種類型的XSS攻擊，采用的模式匹配方法一般會需要對"javascript"這個關鍵字進行檢索，一旦發(fā)現(xiàn)提交信息中包含"javascript"，就認定為XSS攻擊。這種檢測方法的缺陷顯而易見：駭客可以通過插入字符或完全編碼的方式躲避檢測：

上述方法都可以很容易的躲避基于特征的檢測。而除了會有大量的漏報外，基于特征的還存在大量的誤報可能：在上面的例子中對"http://www.xxx.com/javascript/kkk.asp?id=2345"這樣一個URL，由于包含了關鍵字"javascript"，也將會觸發(fā)報警。

（2） 基于代碼修改的防御

和SQL注入防御一樣，XSS攻擊也是利用了Web頁面的編寫疏忽，所以還有一種方法就是從Web應用開發(fā)的角度來避免：

步驟1、對所有用戶提交內(nèi)容進行可靠的輸入驗證，包括對URL、查詢關鍵字、HTTP頭、POST數(shù)據(jù)等，僅接受指定長度范圍內(nèi)、采用適當格式、采用所預期的字符的內(nèi)容提交，對其他的一律過濾。

步驟2、實現(xiàn)Session標記（session tokens）、CAPTCHA系統(tǒng)或者HTTP引用頭檢查，以防功能被第三方網(wǎng)站所執(zhí)行。

步驟3、確認接收的的內(nèi)容被妥善的規(guī)范化，僅包含最小的、安全的Tag（沒有javascript），去掉任何對遠程內(nèi)容的引用（尤其是樣式表和javascript），使用HTTP only的cookie。

當然，如上操作將會降低Web業(yè)務系統(tǒng)的可用性，用戶僅能輸入少量的制定字符，人與系統(tǒng)間的交互被降到極致，僅適用于信息發(fā)布型站點。并且考慮到很少有Web編碼人員受過正規(guī)的安全培訓，很難做到完全避免頁面中的XSS漏洞（注 ）。

2、天清Web應用安全網(wǎng)關產(chǎn)品的XSS防御

正是由于傳統(tǒng)檢測方法存在諸多缺陷，天清Web應用安全網(wǎng)關系統(tǒng)并未采用這一方法，而是采用了基于攻擊手法的行為檢測方法，其分析流程如下圖所示：

首先對各種場景下的XSS攻擊樣本庫進行整理和分類，并建立起XSS攻擊行為特征庫，在實時攻擊檢測階段，對所有可能實現(xiàn)XSS攻擊的數(shù)據(jù)來源，如HTTP-Refere、URL、COOKIE、表單數(shù)據(jù)等，進行數(shù)據(jù)收集和初步分析，存在注入腳本的用戶提交信息才進入下一步的XSS攻擊判斷。

這種分析方法有以下幾點優(yōu)勢：

A：采用行為特征庫而非數(shù)據(jù)特征庫方式，可以避免由于檢測固定特征導致的誤報可能。

B：內(nèi)置數(shù)據(jù)預處理過程，可以對所有可能包含XSS攻擊的數(shù)據(jù)進行預處理，放行大部分正常HTTP請求，僅對少量疑似事件進行深入分析，提升分析速度，降低資源開銷。

C：XSS攻擊行為特征庫維護由啟明星辰公司AD-LAB（積極防御實驗室）和博士后工作站負責，AD-LAB擁有大批漏洞發(fā)掘和分析人員，2007年發(fā)現(xiàn)并獲得CVE編號的漏洞數(shù)量多達26個，是國內(nèi)獨立發(fā)掘CVE漏洞數(shù)量最多的團隊。啟明星辰博士后工作站是業(yè)內(nèi)第一家駐企業(yè)的信息安全博士后工作站，為產(chǎn)品算法實現(xiàn)、研究技術轉化提供有力保障。

三、綜論

XSS攻擊作為Web業(yè)務的最大威脅之一，不僅危害Web業(yè)務本身，對訪問Web業(yè)務的用戶也會帶來直接的影響，如何防范和阻止XSS攻擊，保障Web站點的業(yè)務安全，是定位于業(yè)務威脅防御的Web應用安全網(wǎng)關產(chǎn)品的本職工作。

天清Web應用安全網(wǎng)關產(chǎn)品依托多年以來對業(yè)務威脅的深入研究，結合對XSS攻擊的分析，能準確的發(fā)現(xiàn)和防御各類XSS攻擊行為，保障Web業(yè)務的正常運營。