JavaScript常見安全漏洞及自動(dòng)檢測(cè)技術(shù)

隨著Web2.0的發(fā)展以及Ajax框架的普及，富客戶端Web應(yīng)用(Rich Internet Applications，RIA)日益增多，越來越多的邏輯已經(jīng)開始從服務(wù)器端轉(zhuǎn)移至客戶端，這些邏輯通常都是使用JavaScript語言所編寫。但遺憾的是，目前開發(fā)人員普遍不太關(guān)注JavaScript代碼的安全性。據(jù)IBMX-Force2011年中期趨勢(shì)報(bào)告揭示，世界五百強(qiáng)的網(wǎng)站及常見知名網(wǎng)站中有40%存在JavaScript安全漏洞。本文將結(jié)合代碼向讀者展示常見Java Script安全漏洞，旨在幫助讀者能夠在日常編碼工作中規(guī)避這些安全漏洞。此外，客戶端Java Script安全漏洞與服務(wù)器端安全漏洞原理略為不同，自動(dòng)化檢測(cè)JavsScript安全漏洞目前存在較大的技術(shù)難題，本文將結(jié)合案例跟讀者分享如何利用IBM Rational AppScan Standard Edition V8.0新特性(JavaScript Security Analyzer，JSA)技術(shù)自動(dòng)化檢測(cè)JavaScript安全漏洞。

JavaScript常見安全漏洞

2010年12月份，IBM發(fā)布了關(guān)于Web應(yīng)用中客戶端JavaScript安全漏洞的白皮書，其中介紹了IBM安全研究機(jī)構(gòu)曾做過的JavaScript安全狀況調(diào)查。樣本數(shù)據(jù)包括了675家網(wǎng)站，其中有財(cái)富500強(qiáng)公司的網(wǎng)站和另外175家著名網(wǎng)站，包括IT公司、Web應(yīng)用安全服務(wù)公司、社交網(wǎng)站等。為了不影響這些網(wǎng)站的正常運(yùn)行，研究人員使用了非侵入式爬蟲，僅掃描了無需登錄即可訪問的部分頁面，每個(gè)站點(diǎn)不超過200個(gè)頁面。這些頁面都被保存下來，研究人員采用IBM的JavaScript安全分析技術(shù)離線分析了這些頁面，集中分析了基于DOM的跨站點(diǎn)腳本編制及重定向兩種漏洞。

測(cè)試結(jié)果令人驚嘆，這些知名網(wǎng)站中有14%存在嚴(yán)峻的JavaScript安全問題，黑客可以利用這些漏洞進(jìn)行植入流氓軟件，植入釣魚站點(diǎn)，以及劫持用戶會(huì)話等。更令人驚嘆不已的是，隨著IBM的JavaScript安全分析技術(shù)的成熟發(fā)展，2011年中期X-Force報(bào)告顯示，IBM重新測(cè)試了上述這些知名網(wǎng)站并發(fā)現(xiàn)了更多的安全漏洞，大約有40%的網(wǎng)站存在JavaScript安全漏洞。

下文本文將結(jié)合代碼向讀者展示常見這些JavaScript安全漏洞，以便讀者在實(shí)際編碼過程中注意到這些安全問題，及早規(guī)避這些風(fēng)險(xiǎn)。

1、基于DOM的跨站點(diǎn)腳本編制

我們都聽說過XSS(Cross Site Script，跨站點(diǎn)腳本編制，也稱為跨站腳本攻擊)，指的是攻擊者向合法的Web頁面中插入惡意腳本代碼(通常是HTML代碼和JavaScript代碼)然后提交請(qǐng)求給服務(wù)器，隨即服務(wù)器響應(yīng)頁面即被植入了攻擊者的惡意腳本代碼，攻擊者可以利用這些惡意腳本代碼進(jìn)行會(huì)話劫持等攻擊�？缯军c(diǎn)腳本編制通常分為反射型和持久型：當(dāng)請(qǐng)求數(shù)據(jù)在服務(wù)器響應(yīng)頁面中呈現(xiàn)為未編碼和未過濾時(shí)，即為反射型跨站點(diǎn)腳本編制;持久型指的是包含惡意代碼的請(qǐng)求數(shù)據(jù)被保存在Web應(yīng)用的服務(wù)器上，每次用戶訪問某個(gè)頁面的時(shí)候，惡意代碼都會(huì)被自動(dòng)執(zhí)行，這種攻擊對(duì)于Web2.0類型的社交網(wǎng)站來說尤為常見，威脅也更大。應(yīng)對(duì)跨站點(diǎn)腳本編制的主要方法有兩點(diǎn)：一是不要信任用戶的任何輸入，盡量采用白名單技術(shù)來驗(yàn)證輸入?yún)��?shù);二是輸出的時(shí)候?qū)τ脩籼峁┑膬?nèi)容進(jìn)行轉(zhuǎn)義處理。

但鮮為人知的是還有第三種跨站點(diǎn)腳本編制漏洞。2005年AmitKlein發(fā)表了白皮書《基于DOM的跨站點(diǎn)腳本編制—第三類跨站點(diǎn)腳本編制形式》("DOM Based Cross Site Scripting or XSS of theThird Kind")，它揭示了基于DOM的跨站點(diǎn)腳本編制不需要依賴于服務(wù)器端響應(yīng)的內(nèi)容，如果某些HTML頁面使用了document.location、document.URL或者document.referer等DOM元素的屬性，攻擊者可以利用這些屬性植入惡意腳本實(shí)施基于DOM的跨站點(diǎn)腳本編制攻擊。

下面我們將通過一個(gè)很簡單的HTML頁面來演示基于DOM的跨站點(diǎn)腳本編制原理。假設(shè)有這么一個(gè)靜態(tài)HTML頁面(如清單1所示)，用來展示歡迎用戶成功登錄的信息。

清單1.存在DOM based XSS的HTML代碼

按照該頁面JavaScript代碼邏輯，它會(huì)接受URL中傳入的name參數(shù)并展示歡迎信息，如清單2所示：

清單2.正常情況下的訪問URL

但如果惡意攻擊者輸入類似如下的腳本，見清單3，該頁面則會(huì)執(zhí)行被注入的JavaScript腳本。

清單3.訪問URL中注入腳本

很明顯，受害者的瀏覽器訪問以上URL的時(shí)候，服務(wù)器端會(huì)跟正常情況下一樣返回清單1中所示HTML頁面，然后瀏覽器會(huì)繼續(xù)將這個(gè)HTML解析成DOM，DOM中包含的document對(duì)象的URL屬性將包含清單3中注入的腳本內(nèi)容，當(dāng)瀏覽器解析到JavaScript的時(shí)候會(huì)執(zhí)行這段被注入的腳本，跨站點(diǎn)腳本編制攻擊即成功實(shí)現(xiàn)。

值得關(guān)注的是，通過以上示例可以看出，惡意代碼不需要嵌入服務(wù)器的響應(yīng)中，基于DOM的跨站點(diǎn)腳本編制攻擊也能成功�？赡苣承┳x者會(huì)認(rèn)為：目前主流瀏覽器會(huì)自動(dòng)轉(zhuǎn)義URL中的'<'和'>'符號(hào)，轉(zhuǎn)義后的注入腳本就不會(huì)被執(zhí)行了，基于DOM的跨站點(diǎn)腳本編制也就不再有什么威脅了。這句話前半段是對(duì)的，但后半段就不準(zhǔn)確了。我們要意識(shí)到攻擊者可以很輕松地繞過瀏覽器對(duì)URL的轉(zhuǎn)義，譬如攻擊者可以利用錨點(diǎn)'#'來欺騙瀏覽器，如清單4所示。瀏覽器會(huì)認(rèn)為'#'后面的都是片段信息，將不會(huì)做任何處理。

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]