怎么分析反射型XSS

亿速云 • 2022年9月20日上午12:18 • 其他 • 阅读 740

1、反射型 XSS

反射型 XSS 是指应用程序通过 Web 请求获取不可信赖的数据，在未检验数据是否存在恶意代码的情况下，便将其传送给了 Web 用户。反射型 XSS 一般由攻击者构造带有恶意代码参数的 URL，当 URL 地址被打开时，特有的恶意代码参数被 HTML 解析、执行，它的特点是非持久化，必须用户点击带有特定参数的链接才能引起。小编以 JAVA 语言源代码为例，分析 CWE ID 80: Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS)

2、反射型 XSS 的危害

当用户访问一个带有 XSS 代码的 URL 请求时，服务器端接收数据后处理，然后把带有 XSS 代码的数据发送到浏览器，浏览器解析这段带有XSS代码的数据后，造成 XSS 漏洞，可能导致窃取目标网站的 Cookie 到攻击者的服务器上，读取用户未公开的资料或Click劫持实施钓鱼攻击等。从2018年1月至11月，CVE 中共有126条漏洞信息与其相关。部分漏洞如下：

CVE	漏洞概述
CVE-2018-19091	tianti 是一款使用 Java 编写的免费的轻量级 CMS 系统，目前提供了从后台管理到前端展现的整体解决方案。其中 tianti 2.3 通过 tianti-module-admin / user /list userName 参数在用户管理模块中存在反射型 XSS 漏洞。
CVE-2018-14929	Matera Banco 1.0.0 容易受到多个反射型 XSS 的影响，正如 /contingency/web/index.jsp（又名主页）url 参数所示。
CVE-2018-12996	ZohoManageEngine Applications Manager 提供了监视和管理 J2EE 底层结构、J2EE应用的解决方案。在 Zoho ManageEngine Applications Manager 13（Build13800）中反射型跨站脚本（XSS）漏洞允许远程攻击者通过参数 ‘method’ 向GraphicalView.do 注入任意 Web 脚本或 HTML。
CVE-2018-12090	LAMS 是由澳大利亚 Macquarie 大学，LAMS 国际有限公司和 LAMS 基金会联合开发出来的一个基于 JAVA 的新一代学习软件。在 3.1 之前的 LAMS 中存在未经身份验证的反射型跨站脚本（XSS），允许远程攻击者在 forgetPasswordChange.jsp？key = 密码更改期间通过操作未经过规范的 GET 参数来引入任意 JavaScript。

3、示例代码

示例源于Samate Juliet Test Suite for Java v1.3 (https://samate.nist.gov/SARD/testsuite.php)，源文件名：CWE80_XSS__CWE182_Servlet_URLConnection_03.java。

3.1缺陷代码

上述示例代码操作是获取用户的年龄，在第40行创建连接对象，在第44行创建输入流获得urlConnection对象响应的内容，在第52行从缓冲流中读取一行数据，在第100行中，将获得的数据去除所有的<script>标签并向页面输出处理后的数据，即使过滤了<script>标签，但仍然可以使用其他html标签，在这里构造了恶意的url，但网站未做防护时，页面会读取到document.cookie的内容并输入到页面。这样就造成了反射型 XSS。

使用360代码卫士对上述示例代码进行检测，可以检出“反射型XSS”缺陷，显示等级为高。从跟踪路径中可以分析出数据的污染源以及数据流向，在代码行第100行报出缺陷，如图1所示：

图1：反射型 XSS 检测示例