合作式跨網(wǎng)站指令碼攻擊之防御機(jī)制

合作式跨網(wǎng)站指令碼攻擊之防禦機(jī)制田筱榮王斯翰中原大學(xué)資工所中壢市、臺(tái)灣tyan@.twwang_shi_han@.twM99F0107古慧潔摘要跨網(wǎng)站指令碼(XSS)攻擊一直是網(wǎng)頁(yè)應(yīng)用安全的威脅，如Ajax(AsynchronousJavascriptandXML)動(dòng)態(tài)網(wǎng)頁(yè)技術(shù)和社交網(wǎng)路。XSS衍生出蠕蟲般自我複製能力的攻擊型態(tài)，大量客戶端受攻擊，受害客戶端對(duì)伺服器端產(chǎn)生大量複製要求，形同對(duì)伺服器的分散式阻斷攻擊(DDoS)。傳統(tǒng)在伺服器端輸入輸出驗(yàn)證的XSS防禦機(jī)制難以防禦XSSworm擴(kuò)散，本文提出新的合作式防禦架構(gòu)-伺服器端與客戶端。前言跨網(wǎng)站指令碼(XSS)攻擊存在已久，為最常見。伴隨著Javascript技術(shù)廣泛運(yùn)用，各種web2.0網(wǎng)頁(yè)服務(wù)應(yīng)運(yùn)而生，將傳統(tǒng)資訊交流行為轉(zhuǎn)為線上網(wǎng)頁(yè)、即時(shí)圖文、影音視訊分享等。因?qū)avascript使用不謹(jǐn)慎而對(duì)資訊安全所造成的影響認(rèn)知不足、套件實(shí)作細(xì)節(jié)不了解，使網(wǎng)頁(yè)應(yīng)用服務(wù)淺藏XSS弱點(diǎn)，為網(wǎng)頁(yè)安全漏洞首位。DDOS、SQLInjection是以伺服器為攻擊目標(biāo)；XSS攻擊利用無(wú)法正確驗(yàn)證，植入惡意的Javascript程式碼，在受害者瀏覽器中執(zhí)行，造成攻擊者可取得受害者的個(gè)資，如cookie。近來(lái)，XSS攻擊衍生出類似蠕蟲般，具備自我傳播能力的攻擊型態(tài)，受害者對(duì)伺服器產(chǎn)生大量要求，如同對(duì)伺服器分散式阻斷攻擊(DDoS)。XSSworm快速擴(kuò)散的原因在於受害者瀏覽器平臺(tái)相近、社交網(wǎng)站廣大的使用度。基於傳統(tǒng)XSS防禦機(jī)制難防XSSworm擴(kuò)散，在此提出合作式XSS攻擊防禦架構(gòu)。前言XSS防禦相關(guān)研究Scott與Sharp(2002)提出利用Security

Gateway主機(jī)做為reverse

proxy，提供網(wǎng)頁(yè)開發(fā)人員定義網(wǎng)頁(yè)安全政策描述語(yǔ)言(SecurityPolicyDescriptionLanguage)經(jīng)由政策編策器(policycompiler)自動(dòng)產(chǎn)生驗(yàn)證使用者輸入表單的Javascript程式碼。優(yōu)點(diǎn)為：1.可使用此系統(tǒng)測(cè)試網(wǎng)頁(yè)應(yīng)用程式是否安全。2.所產(chǎn)生的報(bào)告，提供開發(fā)人員參考以增加防禦經(jīng)驗(yàn)。缺點(diǎn)為：1.如何定義正確的policy。2.開發(fā)人員無(wú)法想像全部的攻擊手法。3.Ajax使XSS攻擊像蠕蟲自我複製。A.伺服器端防禦B.客戶端防禦C.伺服器端偕同客戶端防禦A.伺服器端防禦B.客戶端防禦C.伺服器端偕同客戶端防禦Noxes為第一個(gè)在客戶端對(duì)抗XSS的解決方案，客戶端可手動(dòng)、自動(dòng)設(shè)定規(guī)則保護(hù)使用者。優(yōu)點(diǎn)：1.限制開啟外部連結(jié)，降低開啟惡意連結(jié)機(jī)率。2.提供網(wǎng)址黑白名單管理。3.不需大量系統(tǒng)資源。缺點(diǎn)：1.只能控管外部連結(jié)，無(wú)法防止XSS攻擊。2.伺服器端無(wú)法由客戶端得知攻擊者資訊。XSS防禦相關(guān)研究A.伺服器端防禦B.客戶端防禦C.伺服器端偕同客戶端防禦XSS防禦相關(guān)研究BEEF(Browser-EnforceEmbeddedPolicies)開發(fā)概念為：1.在hook檔案建立Javascriptmethod白名單，瀏覽器比對(duì)白名單，若非白名單將用DOM隱藏。2.客戶端瀏覽器是最佳的XSS攻擊偵測(cè)引擎。優(yōu)點(diǎn)：不同瀏覽器對(duì)Javascript有不同編譯結(jié)果，只需小修改伺服器交給客戶端瀏覽器執(zhí)行的policy。缺點(diǎn)：無(wú)法由客戶端瀏覽器的防禦經(jīng)驗(yàn)自動(dòng)修正XSS弱點(diǎn)。合作式XSS防禦-XSS攻擊手法分類1.反射型XSS合作式XSS防禦-XSS攻擊手法分類2.DOM

basedXSS合作式XSS防禦-XSS攻擊手法分類3.儲(chǔ)存型XSS合作式XSS防禦-XSS攻擊手法分類4.XSS

worm1.取得受害者資訊2.如cookingstealing惡意行為3.利用Ajax將cookingstealing上傳至個(gè)人網(wǎng)頁(yè)合作式XSS防禦-網(wǎng)頁(yè)應(yīng)用個(gè)人化資訊安全的攻擊流程典型的攻擊流程：1.使用者登入網(wǎng)站，如wiki。2.Wiki所產(chǎn)生的session

id紀(jì)錄使用者登入資訊，將cookie存入主機(jī)。3.點(diǎn)選惡意電子郵件。4.惡意Javascripe引領(lǐng)至攻擊主機(jī)，一起送出cooker。分析後轉(zhuǎn)成網(wǎng)頁(yè)應(yīng)用防火牆合作式XSS防禦-防禦機(jī)制架構(gòu)規(guī)劃提供客戶端使用者完整保護(hù)。伺服器端可在受攻擊時(shí)得知網(wǎng)站弱點(diǎn)。提供網(wǎng)頁(yè)開發(fā)人員有時(shí)間修正。合作式XSS防禦-防禦機(jī)制架構(gòu)規(guī)劃伺服器賦予的policy偵測(cè)XSS攻擊，阻擋其執(zhí)行，並將惡意連結(jié)回報(bào)給伺服器。事先在policy定義惡意的樣本，若將cookie傳給外部網(wǎng)域，則視為惡意程式，使其失效。Policy偵測(cè)是否有Javascripe擷取個(gè)資，若有，

覆寫Ajax

method會(huì)破壞自我複製功能?？蛻舳嘶貓?bào)弱點(diǎn)訊息後，將XSS攻擊特徵檔XSS.txt比對(duì)，尚未建置規(guī)則經(jīng)由程式轉(zhuǎn)換至網(wǎng)頁(yè)應(yīng)用防火牆設(shè)定檔。伺服器端客戶端系統(tǒng)實(shí)作在客戶端使用MozillaFirefox3.0.11瀏覽器，因Firefox是套開放原始碼的網(wǎng)頁(yè)瀏覽器。瀏覽器中安裝GreaseMonkey0.8.20090123.1，可達(dá)到下載頁(yè)面後動(dòng)態(tài)更改網(wǎng)頁(yè)內(nèi)容的效果。在伺服器端使用Apache2.2.3伺服器，網(wǎng)頁(yè)套件Mediawiky1.12，防火牆為ModSecurity。系統(tǒng)實(shí)作1.反射型XSS2.DOM

basedXSS系統(tǒng)實(shí)作利用監(jiān)測(cè)網(wǎng)址列方式，例如出現(xiàn)#字元，取出#之後的所有字元，檢查網(wǎng)址劣是否包含攻擊樣本，並回報(bào)伺服器，伺服器先封鎖頁(yè)面，並通知修復(fù)原始碼。3.儲(chǔ)存型XSS系統(tǒng)實(shí)作4.XSS

worm系統(tǒng)實(shí)作結(jié)論XSS攻擊近年來(lái)成