Question

7.2.1 测试原理和方法

跨站脚本漏洞是 Web 应用程序在将数据输出到网页的时候存在问题，导致恶意攻击者

可以往 Web 页面里插入恶意 JavaScript、HTML 代码，并将构造的恶意数据显示在页面的漏

洞中。攻击者一般利用此漏洞窃取或操纵客户会话和 Cookie，用于模仿合法用户，从而

使攻击者以该用户身份查看或变更用户记录以及执行事务。

跨站一般情况下主要分为存储型跨站、反射型跨站、DOM 型跨站。存储型跨站脚本

可直接写入服务端数据库，而反射型不写入数据库，由服务端解析后在浏览器生成一段类

似<script>alert（/xss/）</script>的脚本。

反射型跨站测试方法主要是在 URL 或输入框内插入一段跨站脚本，观察是否能弹出对

话框。

存储型跨站测试方法主要是在网站的留言板、投诉、建议等输入框内输入一段跨站脚

本，看是否能插入数据库，插入成功的表现为当网站管理人员查看该留言时，会执行跨站

语句（如弹出对话框），或者当普通用户再次访问该页面时，会执行跨站语句，如弹出对

话框。

7.2.2 测试过程

发现疑似存在跨站链接，在漏洞参数处添加测试漏洞 payload，如果达到测试目的则

确定跨站漏洞存在，根据漏洞实际类型分为反射型跨站、存储型跨站，如图 7-12 所示。

图 7-12 XSS 漏洞测试流程图

7.2.2.1 反射型 XSS

以 http：//xxx.xxx.local 中高级搜索模块为例，如图 7-13 所示。

图 7-13 高级搜索业务模块

步骤一：抓包并在工单编号输入处添加测试是否存在 XSS 漏洞的测试代码，如图 7-14

所示。

图 7-14 抓取业务请求包并添加验证漏洞 payload

步骤二：成功弹出对话框，并证明 XSS 漏洞存在，如图 7-15 所示。

图 7-15 漏洞成功触发

7.2.2.2 存储型 XSS

以 http：//xxx.xxx.local 为例，在商调函模块存在新建、编辑、删除的模块，如图 7-16

所示。

图 7-16 业务模块

新建一工单并在功能说明处添加 XSS payload，这时数据会存储于数据库，于是就会

造成存储型 XSS，如图 7-17 所示。

图 7-17 漏洞成功触发

7.2.3 修复建议

每个提交信息的客户端页面、通过服务器端脚本（JSP、ASP、ASPX、PHP 等）生成

的客户端页面、提交的表单（FORM）或发出的链接请求中包含的所有变量，必须对变量

的值进行检查，过滤其中包含的特殊字符，或对字符进行转义处理。特殊字符如下。

· HTML 标签的<、“、’、%等，以及这些符号的 Unicode 值；

· 客户端脚本（JavaScript、VBScript）关键字：JavaScript、script 等。

此外，对于信息搜索功能，不应在搜索结果页面中回显搜索内容。同时应设置出错页

面，防止 Web 服务器发生内部错误时，将错误信息返回给客户端。具体建议如下：

· 定义允许的行为，确保 Web 应用程序根据预期结果的严格定义来验证所有输入参数

（Cookie、标头、查询字符串、表单、隐藏字段等）。

· 检查 POST 和 GET 请求的响应，以确保返回的对象是预期的内容且有效。

·

通过对用户提供的数据进行编码，从用户输入中移除冲突的字符、括号和单双引

号。这将防止插入的脚本以可执行的格式发送给最终用户。

·

只要可能，就应将客户端提供的所有数据限制为字母数字数据。使用此过滤机制

时，如果用户输入“<script>alertdocumentcookie（'aaa'）</script>”，将缩减

为“scriptalertdocumentcookiescript”。如果必须使用非字母数字字符，请先将其编码为

HTML 实体，然后再将其用在 HTTP 响应中，这样就无法将它们用于修改 HTML 文档的结

构。

· 使用双因素客户身份验证机制，而非单因素身份验证。

· 在修改或使用脚本之前，验证脚本的来源。

· 不要完全信任其他人提供的脚本并用在自己的代码中（不论是从 Web 上下载的，还

是熟人提供的）。