反射型 XSS

科普型paper，大牛略過。--:
在Web2.0技術(shù)的發(fā)展下越來越多的計算工作被放到客戶端處理，由于程序員的疏忽，導(dǎo)致了許多的安全漏洞。XSS屬于比較常見的一種，在前幾年XSS還并不怎么被人重視，但如今，隨著XSS漏洞的危害日益增大，如校內(nèi)和baidu空間前陣子的XSSWORM等等,其危害之大也引起了大家的重視。
XSS的類型大體分為三種：反射型XSS、持久型XSS以及DOMXSS，相比之下，后兩種的利用要比前者方便許多。甚至許多人認(rèn)為反射型的XSS是雞肋，因為其利用起來很不方便,但在安全技術(shù)飛速發(fā)展的今天，雞肋也有變雞翅的一天。下面我們來看看什么是反射型XSS。

什么是反射型XSS
XSS又叫CSS(CrossSiteScript)，跨站腳本***。它指的是惡意***者往Web頁面里插入惡意html代碼，當(dāng)用戶瀏覽該頁之時，嵌入其中Web里面的html代碼會被執(zhí)行，從而達(dá)到惡意***用戶的特殊目的。
那么什么是反射型XSS呢？

如"http://www.jpl.nasa.gov/about_JPL/maps.cfm?departure=lax%22%3Cimg%20src=k.png%20onerror=alert(%22XSSed%20by%20sH%22)%20/%3E"這樣需要欺騙用戶自己去點擊鏈接才能觸發(fā)XSS的是反射型XSS，如在論壇發(fā)貼處的XSS就是持久型的XSS。
非持久性XSS(Reflectedcross-sitescripting)，是我們通常所說的反射型XSS，也是最常用，使用最廣的一種方式。它通過給別人發(fā)送帶有惡意腳本代碼參數(shù)的URL，當(dāng)URL地址被打開時，特有的惡意代碼參數(shù)被HTML解析、執(zhí)行。它的特點是非持久化，必須用戶點擊帶有特定參數(shù)的鏈接才能引起。
持久性XSS(Persistentcross-sitescripting)，指的是惡意腳本代碼被存儲進(jìn)被***的數(shù)據(jù)庫，當(dāng)其他用戶正常瀏覽網(wǎng)頁時，站點從數(shù)據(jù)庫中讀取了非法用戶存入非法數(shù)據(jù)，惡意腳本代碼被執(zhí)行。這種***類型通常在留言板等地方出現(xiàn)。
很多人非常鄙視非持久性XSS（反射型XSS），認(rèn)為這種XSS只能依靠欺騙的手段去騙人點擊，才能讓***正常實施起來。其實讓反射型XSS變得持久的方法，已經(jīng)出現(xiàn)過好多次了。比如利用applet、利用flash的AS腳本、利用IE的Ghost頁面,CrossIframeTrick等等。

反射型XSS的常見利用方法
既然是“需要欺騙用戶自己去點擊鏈接才能觸發(fā)XSS”，那利用反射型XSS豈不是只有去忽悠用戶這一種方法？放在幾年前也許是這樣的，現(xiàn)如今，就要上演雞肋變雞翅的好戲了！

[1]欺騙
不得不說這是最簡單有效的利用方法了，但對忽悠的能力有嚴(yán)格的要求，不然用戶不會那么容易上鉤的。其次，現(xiàn)在的用戶都有了一定的安全意識，也不是那么好騙了。以上面提到的鏈接為例，由于是NASA網(wǎng)站的跨站，大家完全可以在一些天文愛好者聚集的群里發(fā)類似這樣的消息，如：“美國航空航天局公布最新UFO照片”然后加上我們的鏈接。由于是NASA的鏈接(現(xiàn)在連小學(xué)生都知道NASA是干什么的)，我想應(yīng)該會有一部分人相信而去點擊從而達(dá)到了我們的目的，這個反射型的XSS被觸發(fā)。但如果不是這么碰巧呢？請往下看。

[2]ClickJacking
在幾年前的OWASP會議上，ClickJacking這種***方式被提了出來。簡單來說ClickJacking大致是這么回事：
1.表現(xiàn)為點擊某個鏈接或button時，實際上是點擊到別的地方去了(劫持鏈接)
2.不一定需要javascript，所以noscript也擋不住，但是如果有javascript會讓事情更簡單
3.***是基于DHTML的
4.需要***者一定程度上控制頁面
所以，我們只要將用戶的點擊劫持到我們的鏈接上去就行了，而且ClickJacking是可以跨域的哦~
具體應(yīng)用示例大家去google下就有了。

[3]結(jié)合CSRF技術(shù)
CSRF是偽造客戶端請求的一種***，CSRF的英文全稱是CrossSiteRequestForgery，字面上的意思是跨站點偽造請求。這種***方式是國外的安全人員于2000年提出，國內(nèi)直到06年初才被關(guān)注。
結(jié)合CSRF技術(shù)來利用反射型XSS是種不錯的方法，利用CSRF可以使得這些不好利用的XSS漏洞變得威力無窮。具體示例請參考余弦的《基于CSRF的XSS***》(http://huaidan.org/archives/2561.html)，這里就不細(xì)說了。

[4]CrossIframeTrick
先講講這種***能夠達(dá)成什么效果：
1.跨域執(zhí)行腳本（IE、Firefox）
2.把非持久性XSS變成持久性XSS-->!!!
3.跨頁面執(zhí)行腳本
這種***方法比較繞，具體請參考《CrossIframeTrick》(http://hi.baidu.com/aullik5/blog/item/07d68eb015d72652092302b1.html)

[5]反轉(zhuǎn)雅典娜---配合Anehta的回旋鏢模塊
什么是Anehta?Anehta是一個跨站腳本***（XSS）的利用平臺。功能模塊化，開發(fā)者可以單獨為anehta開發(fā)各種各樣的模塊，以滿足獨特的需求。Anehta中有許多的具有創(chuàng)意的設(shè)計，回旋鏢模塊(Boomerang)，就是其中一個。回旋鏢模塊的作用，是為了跨域獲取本地cookie，只是在站點上有一個XSS，種類不限，不管是反射型XSS，還是持久型XSS，都可以為我們工作。
這時，反射型XSS的余熱就被充分的發(fā)揮了。
具體示例請參考axis牛的《Anehta--Boomerang(回旋鏢)，如何將反射型XSS變成持久型XSS：論跨域獲取cookie》(http://hi.baidu.com/aullik5/blog/item/02bccaeb018dc4d5d539c930.html)，這里就不再做詳細(xì)的介紹。