前端安全小议 XSS XSIO Evi1m0.pptVIP

Web前端安全小议之：XSS与XSIO 探索安全的世界 Evi1m0@KnownSec About Me Evi1m0（知道创宇安全研究员） 爱Xss更爱Xsio； 爱咖啡不爱喝酒； 爱前端安全更爱有趣的事情； 如何联系我？ Mail / Evi1m0 @ 163.com 知道创宇安全研究团队 contents Xss是什么？成因？ 反射型Xss 存储型Xss DomXss 有趣的Xsio Xss是什么？成因？ Xss全称：Xss跨站脚本攻击（Cross Site Script） 成因：对用户输入的内容过滤不严格并输出到页面中，导致攻击者输入的恶意HTML语句或javascript脚本在页面中执行。 危害：攻击者可以构造相应具有攻击含义的javascript代码，执行。获取管理员信息或者劫持他人账户。 防御：结合具体应用场景，功能上无敏感字符需求则输入时进行过滤；富文本等必须插入标签处则进行白名单判断，只允许插入特定标签以及特定属性，对传入参数进行编码转义处理，cookie中关键字段可设置httponly。 类型：Xss大致可分为三种类型（反射型，存储型，DOM型） 反射型Xss 反射型XSS：网站URL参数对用户进行的输入直接未转义过滤后进行输出，Xss是伴随着输入输出导致的。导致执行相关代码。它不具有存储性。 下面这段代码： ?php echo h1反射型XSS测试/h1; echo @$_GET[name]; ? 代码未进行任何过滤措施直接将用户提交的name参数进行页面输出。 当name值为具有意义的参数时，输出会变得不安全。 例如：http://localhost/test.php?name=iframe/onload=alert(/Evi1m0/) 存储型Xss 存储型XSS:它将用户提交的数据存储到服务端，具有隐蔽及持久性，通常存储型XSS也可称为持久型XSS，这种危害性更大。 通常用户提交数据并保存到服务端，假设提交一段弹窗代码？ isindex type=image src=1 onerror=alert(1) 网站未进行过滤，导致Alert(1) 反思： 它只仅仅能弹窗吗？能否做点有趣的事情？ 户外链接：/bugs/wooyun-2010-019099 用户提交的数据将存储到服务端，持久性及隐蔽性强 DomXss DomXSS形成原因： DOM全称 Document Object Model (文档对象模型)，它实际上是网页上的一组API，用户可以调用各种API形成HTML代码，而DOMXSS则是由于DOM下的API传参时未经过过滤，导致xss的产生。 DOM代码本身用浏览器查看源代码是无法查看的，只能使用审查元素的插件进行查询DOM代码，例如: document.getElementById(knownsec).innerHTML = str; 而在网页操作的时候如果str没有经过过滤，innerHTML这个API则是可以将str当做HTML源码输出到网页中，导致了DOMXSS的触发，只需要将str赋值为 img src=1 onerror=alert(1)即可 XSS不仅仅只是弹窗 它可以偷取你的Cookies； 它可以劫持你或他人的账号； 它可以做一些很邪恶的事情，例如？ URL：/bugs/wooyun-2010-024106 蠕虫? 它还可以...？ 如何防御？ 防御XSS最直接的方法就是过滤用户输入的字符。 推荐查看XSS防御的7条原则： /the-seven-principles-of-xss-defense.html 开发人员应谨记，一切输出都不能忘记过滤，XSS是伴随着输入和输出造成的，严谨查看每个输出点的输出机制，是否过滤了？ 最后，推荐使用加速乐（）防御XSS等攻击：） 直击案例 中国电信天翼开放平台开发者社区问答系统存储型xss /bugs/wooyun-2010-025696 糗事百科存储型XSS漏洞 /bugs/wooyun-2010-025871 搜狗主站domxss /bugs/wooyun-2010-023314 腾讯企业QQ一处反射型XSS /bugs/wooyun-2010-024135 新浪微博反射型xss /bugs/wooyun-2010-021986 尾声：有趣的XSIO XSIO是什么？ 程序代码没有限制图片的position属性为absolute，导致攻击者可控制一张图片出现在网页的任意位置。那么我们就可以用这张图片去覆盖网页上的任意一个位置，包括网站的banner，包括一个link、一个button。这就可以导致页面被破坏、LOGO被劫持、Banner被覆盖。 XSIO钓鱼：给图片设置一个链接后，很显然就可以起到一个钓鱼的作用。例如：a href=h