电子技术论坛_中国专业的电子工程师学习交流社区-中电网技术论坛

标题: Web 安全编程实战（4） [打印本页]

作者: look_w 时间: 2018-9-19 20:00 标题: Web 安全编程实战（4）

问题代码 --- 本站点请求漏洞本站点请求伪造（on-site request forgery，OSRF）是一种利用保存型 XSS 漏洞的常见攻击有效载荷。是攻击者设计攻击代码，保存到被攻击网页上，当普通用户或者管理员查看页面时，攻击代码就会执行，此攻击代码的目的是伪装成查看网页的用户向服务器发出请求。
这是一个发布图像的论坛例子，用户可以输入图像 URL，论坛负责读取此 URL 进行显示。
img.jsp 与前文的 saveXSS.jsp 代码相同，只是这次显示不再是字符串，而是需要将
<div><%=str%><div/> 改为 <div><img src=<%=str%> width=50 height=50/><div/>，目的是显示用户上传的图像。
清单 7. admin.jsp 主要代码

1
2
3
4
5

<%
String username = (String)request.getParameter("username");
System.out.println("delete " + username);
%>
<%=username%>

admin.jsp 是管理员用于删除用户的请求处理程序，admin.jsp 实际上应该会判断是否是管理员账户，如果是才允许执行删除用户的操作。本文例子假设请求的确为管理员发出。
问题分析
这个程序明显存在着保存型 XSS 漏洞，并且上传的内容被作为图像 URL，img 标签是本站点请求漏洞的敲门器，因为 img 始终会执行 src 属性的 URL 请求，而不管 src 指向的是否是真正的图像。这个程序并没有对 src 是否是图片地址进行验证，因此可以伪造请求。
攻击此程序
将上传的图像 URL 设计为：admin.jsp? username=hello，提交上去后，从攻击者的角度看，只是图片没有显示，因为攻击者并不是管理员，所以实际上无法删除 hello 这个用户。但是当管理员打开这个页面时，img 标签就会执行 admin.jsp? username=hello 的请求，请求删除 hello 用户，由于的确是管理员发出的请求，服务器执行删除操作，删除了 hello 用户，攻击者的目的也就达到了。
图 7. 输入攻击 URL

图 8. 攻击者提交 URL

攻击者点击提交，自身并没有什么影响，只是图片没有显示。然而，当管理员登陆后，admin.jsp 中删除 user 的操作就会执行，例子中是打印删除消息到控制台。
图 9.admin.jsp 控制台输出

解决方法
与保存型 XSS 漏洞一节里的解决方法一样，不仅仅需要限制脚本，还需要判断 img 标签内的 src 属性是否安全，是否包含不是图像的 url。

欢迎光临电子技术论坛_中国专业的电子工程师学习交流社区-中电网技术论坛 (http://bbs.eccn.com/)