跨站点脚本攻击测试要点
1.确定站点及其功能--与开发人员和PM交流
绘制一些简单的数据流图表,对站点上的页面及其功能进行描述。此时,可以安排一些与开发人员和项目经理的会议来建立威胁模型。在会议上尽可能对应用程序进行深入探讨。站点公开了Web服务吗?是否有身份验证表单?有留言板吗?有用户设置页面吗?确保列出了所有这些页面
2.找出并列出所有由用户提供输入的点
对站点地图进行进一步细化。我通常会为此创建一个电子表格。对于每个页面,列出所有查询字符串参数、cookie值、自定义HTTP标头、POST数据值和以其他形式传递的用户输入。不要忘记搜索Web服务和类似的SOAP请求,并找出所有允许用户输入的字段。
分别列出每个输入参数,因为下面需要独立测试每个参数。这可能是最重要的一个步骤!如果阅读下面的电子表格,您会看到我已经在示例站点中找出了一大堆这样的东西。如forwardURL和lang这样的查询字符串。如name、password、msgBody、msgTitle和这样的POST数据,甚至某些Cookie值。所有这些都是我们感兴趣的重要测试内容
3.认真思考并列出测试用例
4.开始测试并注意输出结果
在查找漏洞的过程中,最重要的部分并不是您是否找到了漏洞。而是您是否真正知道究竟发生了哪些事情。对于XSS,只需检查HTML输出并看看您输入的内容在什么地方。它在一个HREF标记中吗?是否在IFRAME标记中?它在CLSID标记中吗?在IMG SRC中吗?某些Flash内容的PARAM NAME是怎样的?
我会检查所有这些情况,如果您对所输入内容的目的十分了解,可以调整您的测试来找出问题。这意味着您可能需要添加一个额外的封闭括号“>”来让某个标记变得完整,或者添加一个双引号来关闭标记内的一个元素。或者,您可能需要使用URL或HTML来编码您的字符,例如将双引号变为%22或"。
5.这个站点看来防范比较严密。现在该怎么办呢?
那么,也许您的简单测试用例alert(‘hi’)并不能产生期望中的警告对话框。仔细想想这个问题并在可能的情况下与开发人员进行交流。也许他们对输入中的尖括号、单引号或圆括号进行了过滤。也许他们会过滤“scrīpt”这个词。重新研究为何输入会产生这样的输出,并理解每个值(查询字符串、cookie、POST数据)的作用。“pageId=10”这样的查询字符串值可能对输出没有影响,因此不值得花费时间测试它。有时,最好试着注入单个字符(例如尖括号、双引号标记或者圆括号),看看应用程序是否过滤这些字符。然后,便可以知道您面对的过滤级别究竟如何。接着,可以调整测试方法,对这些字符进行编码并重试,或者寻找其他注入办法。
改变测试用例
我恐怕无法充分对此进行说明:研究输入的值会输出什么样的HTML页面非常重要。如果它们不能产生输出,那么不要在它们上面浪费时间。如果可以,请进行研究,因为您需要根据输出对测试进行相应的修改。我使用了各种变化形式来找出能接受和显示脚本代码的参数。因为这涉及太多内容,因此在这里无法一一进行讨论,但是请务必注意以下几种情况:
有许多变化形式可以尝试。关键在于了解程序究竟使用何种方式处理输入和显示输出页面。如同这些例子所展示的,常见的变化形式经常是在脚本代码前面加上“>””,以尝试封闭网站可能在输出中生成的标记。还可以对代码进行URL编码,尝试绕过服务器端的输入过滤功能。此外,因为尖括号“<>”通常会在输入时被过滤和从输出中删除,所以还必须尝试不需要尖括号的XSS,例如”&{alert('XSS')};”
持久和动态
找出一个成功的XSS颇费周折,因为在开始时XSS攻击可能并不是那么显而易见的。随便举一个例子,如果向网站添加一条新留言并在“msgTitle”值中注入代码,在提交数据后,您可能不会立即看到脚本代码
被执行。但是,当您访问留言板的时侯,将会在HTML页面中使用“msgTitle”值并将其作为脚本代码执行。这种情况被称作持久性XSS攻击,如果包含脚本代码的值将被保存到客户端或者后端系统并在稍候的时间被执行,便会发生此种攻击。
而与此相对的是动态XSS攻击,这种攻击会立即执行并只发生一次。比如,如果某个链接或GET请求在某个用来控制页面输出的查询字符串中包含了脚本代码,那么在点击链接后会立即显示输出。