XSS攻击是我们经常听到的词汇,也是我们在面试的时候,经常被提起问到的词。那么今天我们就来聊一聊XSS攻击。
我们今天依然用我们渡一“教父”(教具之父)邓哥的例子,来给大家形象的讲讲XSS攻击的来龙去脉~对剧情不感兴趣的同学可以直接跳到后面红字部分,直接看总结的理论~
有一天,渡一教育举办了一场互相随机赠送礼物的活动~活动要求是每人准备一份小礼物放在盒子里,然后每个人都可以在盒子里抽取一份礼物。
这个盒子就像是一个服务器,每个人可以向服务器提交东西,每个人也可以从服务器上获取东西,举个具体的例子,就是XX微博,我们每个人都可以发文章,每个人也可以看到其他人的文章。
这时,邓嫂比较皮,准备的礼物是一个挂坠,上面有个针孔摄像头,还有一个定位器。并且暗示邓哥要选择这个礼物~邓嫂“温柔”的对邓哥说:“如果你不选,我要你好看~”
这样的文章总会使用一些方法让你进行点击,比如标题党等。
邓哥很“开心”的选择了这个礼物,本以为是什么惊吓,但是没想到还挺好看,于是每天都会带着这个挂坠,但是邓哥并不知道这个挂坠上面有一个针孔摄像机~所以邓哥每天洗澡,搬砖,撩妹都被邓嫂发现了。
这就像是XSS攻击,攻击者提交了一个内容,但是这段内容中带有获取他人隐私的代码。当其他人看到这个内容的时候,不知不觉间,自己的隐私就被泄露了。
虽然故事是这样,那么XSS攻击究竟是如何一步一步的获取了别人的隐私呢?下面我们就来一步一步的来进行解析。
1. 攻击者,上传一片文章或者博客,这边文章中带有一段JS代码,这段代码内容很简单,读取本地Cookie,发送给某个url。
2. XX微博的服务器没有对用户上传的内容进行审查,就将内容存储起来。
3. 当正常用户访问XX微博的时候,服务器将有问题的文章推送给了这个正常用户。(因为服务器并没有检查哪篇文章有问题,所以它会认为这是一篇正常的文章,以正常的方式推送给用户。)
4. 当正常的用户点开这篇文章的时候,攻击者编写的脚本就会在正常的用户的电脑上执行。(因为攻击者的脚本就是在文章的内容中加入一段script代码,浏览器会将script标签中的内容当作js代码来看待,然后执行这段代码)
5. 这段带有攻击性的代码可以读取用户本地的cookie内容,并将内容发送给攻击者事先准备好的url。(因为正常用户在本地打开,所以不存在跨域的问题)
6. 攻击者收到了发送过来的cookie之后,就可以将cookie内容写入自己的浏览器里,然后就能登录这个正常用户的XX微博了。
(因为现在很多网站都做了免登录功能,这个功能主要是依赖于种在浏览器里的cookie,这个cookie中会带有用户的部分信息,当用户在每次进入网站的时候,由于这些cookie的存在,就可以免登录了。我们这个例子中,XSS攻击就是获取到了用户的Cookie,从而在我们的本地来将这份cookie写入到我们的浏览器里,就能登录这个正常用户的帐号了~)
我们会发现XSS攻击最大的问题在于,服务器端在用户上传文章内容的时候,没有进行内容审查。其实,我们只要将一些危险的符号进行HTML编码就可以了,比如将‘<’替换为"<",将‘>’替换为">",这样攻击者就无法通过script标签的方式来进行攻击了~
