输入/输出模块测试2-XSS测试

XSS测试

测试原理和方法

跨站脚本漏洞是Web应用程序在将数据输出到网页的时候存在问题,导致恶意攻击者 可以往Web页面里插入恶意JavaScript、HTML代码,并将构造的恶意数据显示在页面的漏 洞中。攻击者一般利用此漏洞窃取或操纵客户会话和 Cookie,用于模仿合法用户,从而 使攻击者以该用户身份查看或变更用户记录以及执行事务。

跨站一般情况下主要分为存储型跨站、反射型跨站、DOM型跨站。存储型跨站脚本可直接写入服务端数据库,而反射型不写入数据库,由服务端解析后在浏览器生成一段类 似的脚本。

反射型跨站测试方法主要是在URL或输入框内插入一段跨站脚本,观察是否能弹出对话框。存储型跨站测试方法主要是在网站的留言板、投诉、建议等输入框内输入一段跨站脚本,看是否能插入数据库,插入成功的表现为当网站管理人员查看该留言时,会执行跨站语句(如弹出对话框),或者当普通用户再次访问该页面时,会执行跨站语句,如弹出对 话框。

测试过程

发现疑似存在跨站链接,在漏洞参数处添加测试漏洞payload,如果达到测试目的则 确定跨站漏洞存在,根据漏洞实际类型分为反射型跨站、存储型跨站,如图所示。

image.png

反射型XSS 以http://weikeu.xxx.local中高级搜索模块为例,如图所示。

image.png

步骤一:抓包并在工单编号输入处添加测试是否存在XSS漏洞的测试代码,如图所示。

抓取业务请求包并添加验证漏洞payload.png

步骤二:成功弹出对话框,并证明XSS漏洞存在,如图所示。

image.png

存储型XSS 以http://weikeu.xxx.local为例,在商调函模块存在新建、编辑、删除的模块,如图所示。

image.png

新建一工单并在功能说明处添加XSS payload,这时数据会存储于数据库,于是就会 造成存储型XSS,如图所示。

image.png

修复建议

每个提交信息的客户端页面、通过服务器端脚本(JSP、ASP、ASPX、PHP等)生成的客户端页面、提交的表单(FORM)或发出的链接请求中包含的所有变量,必须对变量的值进行检查,过滤其中包含的特殊字符,或对字符进行转义处理

特殊字符如下:

· HTML标签的<、“、’、%等,以及这些符号的Unicode值;

· 客户端脚本(JavaScript、VBScript)关键字:JavaScript、script等。

此外,对于信息搜索功能,不应在搜索结果页面中回显搜索内容。同时应设置出错页 面,防止Web服务器发生内部错误时,将错误信息返回给客户端。

具体建议如下:

· 定义允许的行为,确保Web应用程序根据预期结果的严格定义来验证所有输入参数 (Cookie、标头、查询字符串、表单、隐藏字段等)。

· 检查POST和GET请求的响应,以确保返回的对象是预期的内容且有效。

· 通过对用户提供的数据进行编码,从用户输入中移除冲突的字符、括号和单双引 号。这将防止插入的脚本以可执行的格式发送给最终用户。

· 只要可能,就应将客户端提供的所有数据限制为字母数字数据。使用此过滤机制 时,如果用户输入“”,将缩减为“scriptalertdocumentcookiescript”。如果必须使用非字母数字字符,请先将其编码为 HTML 实体,然后再将其用在 HTTP 响应中,这样就无法将它们用于修改HTML文档的结 构。

· 使用双因素客户身份验证机制,而非单因素身份验证。

· 在修改或使用脚本之前,验证脚本的来源。

· 不要完全信任其他人提供的脚本并用在自己的代码中(不论是从Web上下载的,还 是熟人提供的)。