تزریق اسکریپت(Cross Site Scripting)

از Secure Coding

نسخهٔ تاریخ ‏۲۸ دسامبر ۲۰۱۹، ساعت ۱۳:۴۴ توسط 2.179.55.203 (بحث)

این نوع آسیب پذیری سمت client است و با استفاده از تزریق اسکریپت در صحفات به وجود می آید.

به علت اجرای اسکریپت بر روی سیستم کاربران و تفاوت بین css که برای طراحی صفحات وب است به آن xss هم گفته می شود.

از عواقب این نوع حملات باعث دسترسی به مرورگر و یا حتی سیستم قربانی می شود.

3 نوع مختلف xss وجود دارد که عبارتنند از:

  1. reflected

درخواست زیر را در نظر بگیرید.

https://insecure-website.com/search?term=gift

درخواست پس از اجرا در صفحه وب به صورت زیر نمایش پیدا می کند.

<p>You searched for: gift</p>

حال اگر مهاجم مقدار پارامتر term را به صورت زیر تغییر دهیم.

https://insecure-website.com/status?message=<script>/*+Bad+stuff+here...+*/</script>

در صفحه وب مقدار به صورت زیر نمایش پیدا می کند.

<p>You searched for: <script>/* Bad stuff here... */</script></p>
  1. stored

درخواست زیر را در نظر بگیرید.

POST /post/comment HTTP/1.1
Host: vulnerable-website.com
Content-Length: 100

postId=3&comment=This+post+was+extremely+helpful.&name=Carlos+Montoya&email=carlos%40normal-user.net

پس از اجرای درخواست مقدار پارامتر comment در پایگاه داده ذخیره و بر روی صفحه به صورت زیر چاپ می شود.

<p>This post was extremely helpful.</p>

حال اگر مقدار پارامتر comment را به صورت زیر تغییر دهیم.

comment=%3Cscript%3E%2F*%2BBad%2Bstuff%2Bhere...%2B*%2F%3C%2Fscript%3E

مقدار بالا پس از ذخیره در پایگاه داده، هنگام بارگذاری صفحه به صورت زیر اجرا می شود.

<p><script>/* Bad stuff here... */</script></p>
  1. dom

در جاوااسکریپت یک سری از توابع از نوع Source یا دریافت کننده و یک نوع از توابع از نوع Sink یا اجرا کننده است.

برخی از توابع از نوع Source:

  • document.URL
  • document.documentURI
  • location.href
  • location.search
  • location.*
  • window.name
  • document.referrer

برخی از توابع از نوع Sink:

  • document.write
  • (element).innerHTML
  • (element).src (in certain elements)
  • Eval
  • setTimout / setInterval
  • execScript

با توجه به موارد بالا فرض کنید درخواستی به شکل زیر داریم.

http://www.example.com/test.html#<script>alert(1)</script>

محتوای صفحه اجرا کننده در خواست هم شامل کد زیر است.

<script>
   document.write("<b>Current URL</b> : " + document.baseURI);
</script>

با توجه کد بالا هنگام اجرای درخواست مقدار

<script>alert(1)</script>

توسط document.baseURI دریافت و در document.write اجرا می شود.

روش های جلوگیری

روش های جلوگیری PHP

مثال 1)

<?php
   $name=$_GET['name'];
   print $name;
?>

روش 1)

<?php
/*
 * XSS filter 
 *
 * This was built from numerous sources
 * (thanks all, sorry I didn't track to credit you)
 * 
 * It was tested against *most* exploits here: http://ha.ckers.org/xss.html
 * WARNING: Some weren't tested!!!
 * Those include the Actionscript and SSI samples, or any newer than Jan 2011
 *
 *
 * TO-DO: compare to SymphonyCMS filter:
 * https://github.com/symphonycms/xssfilter/blob/master/extension.driver.php
 * (Symphony's is probably faster than my hack)
 */

function xss_clean($data)
{
        // Fix &entity\n;
        $data = str_replace(array('&','<','>'), array('&amp;','&lt;','&gt;'), $data);
        $data = preg_replace('/(&#*\w+)[\x00-\x20]+;/u', '$1;', $data);
        $data = preg_replace('/(&#x*[0-9A-F]+);*/iu', '$1;', $data);
        $data = html_entity_decode($data, ENT_COMPAT, 'UTF-8');

        // Remove any attribute starting with "on" or xmlns
        $data = preg_replace('#(<[^>]+?[\x00-\x20"\'])(?:on|xmlns)[^>]*+>#iu', '$1>', $data);

        // Remove javascript: and vbscript: protocols
        $data = preg_replace('#([a-z]*)[\x00-\x20]*=[\x00-\x20]*([`\'"]*)[\x00-\x20]*j[\x00-\x20]*a[\x00-\x20]*v[\x00-\x20]*a[\x00-\x20]*s[\x00-\x20]*c[\x00-\x20]*r[\x00-\x20]*i[\x00-\x20]*p[\x00-\x20]*t[\x00-\x20]*:#iu', '$1=$2nojavascript...', $data);
        $data = preg_replace('#([a-z]*)[\x00-\x20]*=([\'"]*)[\x00-\x20]*v[\x00-\x20]*b[\x00-\x20]*s[\x00-\x20]*c[\x00-\x20]*r[\x00-\x20]*i[\x00-\x20]*p[\x00-\x20]*t[\x00-\x20]*:#iu', '$1=$2novbscript...', $data);
        $data = preg_replace('#([a-z]*)[\x00-\x20]*=([\'"]*)[\x00-\x20]*-moz-binding[\x00-\x20]*:#u', '$1=$2nomozbinding...', $data);

        // Only works in IE: <span style="width: expression(alert('Ping!'));"></span>
        $data = preg_replace('#(<[^>]+?)style[\x00-\x20]*=[\x00-\x20]*[`\'"]*.*?expression[\x00-\x20]*\([^>]*+>#i', '$1>', $data);
        $data = preg_replace('#(<[^>]+?)style[\x00-\x20]*=[\x00-\x20]*[`\'"]*.*?behaviour[\x00-\x20]*\([^>]*+>#i', '$1>', $data);
        $data = preg_replace('#(<[^>]+?)style[\x00-\x20]*=[\x00-\x20]*[`\'"]*.*?s[\x00-\x20]*c[\x00-\x20]*r[\x00-\x20]*i[\x00-\x20]*p[\x00-\x20]*t[\x00-\x20]*:*[^>]*+>#iu', '$1>', $data);

        // Remove namespaced elements (we do not need them)
        $data = preg_replace('#</*\w+:\w[^>]*+>#i', '', $data);

        do
        {
                // Remove really unwanted tags
                $old_data = $data;
                $data = preg_replace('#</*(?:applet|b(?:ase|gsound|link)|embed|frame(?:set)?|i(?:frame|layer)|l(?:ayer|ink)|meta|object|s(?:cript|tyle)|title|xml)[^>]*+>#i', '', $data);
        }
        while ($old_data !== $data);

        // we are done...
        return $data;
}
   $name=xss_clean($_GET['name']);
   print $name;
?>

روش های جلوگیری ASP.NET

مثال 1)

/*
* https://gist.github.com/DinisCruz/3fa6893bc85a9fcacdf6
*/
  public static class HtmlControls_ExtensionMethods
    {
        public static string renderControl(this Control control)
        {
            var stringBuilder = new StringBuilder();
            using (var stringWriter = new StringWriter(stringBuilder))
                using (var htmlTextWriter = new HtmlTextWriter(stringWriter))
           
                    control.RenderControl(htmlTextWriter);
            return stringBuilder.str();
        }

    }

    [TestFixture]
    class XSS_Web_Controls
    {        

        [Test]
        public void HtmlTitle()
        {
            var html_Before = "<title>\r\n\t";
            var html_After  = "\r\n</title>";

            Func<string, string> render_Payload = (payload) =>
                {
                    var htmlTitle = new HtmlTitle {Text = payload};
                    return htmlTitle.renderControl();
                };

            Action<string> test_Payload = (payload) =>
                {
                    render_Payload(payload).assert_Is(html_Before + payload + html_After);
                };

            test_Payload("aa '\"> bb <b1> cc ");
            test_Payload("<script>alert(42)</script>");
            test_Payload("aaa</title></head><body><img src=xxx onerror=alert(42) />");            
        }

روش 1)

/*
 * https://gist.github.com/DinisCruz/3fa6893bc85a9fcacdf6
 */
   public static class HtmlControls_ExtensionMethods
    {
        public static string render_Control(this Control control)
        {
            var stringBuilder = new StringBuilder();
            using (var stringWriter = new StringWriter(stringBuilder))
                using (var htmlTextWriter = new HtmlTextWriter(stringWriter))
           
                    control.RenderControl(htmlTextWriter);
            return stringBuilder.str();
        }

        public static string set_Text_and_Render_Control<T>(this T control, string text) where T : Control
        {
            control.invoke("set_Text", text);
            return control.render_Control();
        }

        public static T assert_Text_Render<T>(this T control, string html_Before, string html_After, string text) where T : Control
        {
            control.set_Text_and_Render_Control(text).assert_Is(html_Before + text + html_After);
            return control;
        }
    }

    [TestFixture]
    class XSS_Web_Controls
    {
        string payload_1 = "aa '\"> bb <b1> cc ";
        string payload_2 = "<script>alert(42)</script>";
        string payload_3 = "aaa</title></head><body><img src=xxx onerror=alert(42) />";

        [Test]
        public void HtmlTitle()
        {
            var html_Before = "<title>\r\n\t";
            var html_After  = "\r\n</title>";
            

            new HtmlTitle().assert_Text_Render(html_Before, html_After, payload_1)
                           .assert_Text_Render(html_Before, html_After, payload_2)
                           .assert_Text_Render(html_Before, html_After, payload_3);
            
        }

        [Test]
        public void Literal()
        {
            var html_Before = "";
            var html_After  = "";

            new Literal().assert_Text_Render(html_Before, html_After, payload_1)
                         .assert_Text_Render(html_Before, html_After, payload_2)
                         .assert_Text_Render(html_Before, html_After, payload_3);

        }

        [Test]
        public void LinkButton()
        {
            var html_Before = "<a>";
            var html_After  = "</a>";

            new LinkButton().assert_Text_Render(html_Before, html_After, payload_1)
                            .assert_Text_Render(html_Before, html_After, payload_2)
                            .assert_Text_Render(html_Before, html_After, payload_3);
        }
        
    }


روش های جلوگیری JAVA

مثال 1)

<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%>

<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>XSS Vulnerable</title>
</head>
<body>
	<form action="xss-vuln.jsp" method="post">
		Enter your name: <input type="text" name="name"><input type="submit">
	</form>

<%
 	if(request.getMethod().equalsIgnoreCase("post"))
 	{
 		String name = request.getParameter("name");
 		if(!name.isEmpty())
 		{
			out.println("<br>Hi "+name+". How are you?");
 		}
 	}
%>

</body>
</html>

روش 1)

<%@page import="org.apache.commons.lang.StringEscapeUtils"%>
<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%>
Patch
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>XSS Patched</title>
</head>
<body>
	<form action="xss-patch.jsp" method="post">
		Enter your name: <input type="text" name="name"><input type="submit">
	</form>

<%
 	if(request.getMethod().equalsIgnoreCase("post"))
 	{
 		String name = StringEscapeUtils.escapeHtml(request.getParameter("name"));
 		if(!name.isEmpty())
 		{
			out.println("<br>Hi "+name+". How are you?");
 		}
 	}
%>
</body>
</html>