代码审计中的XSS

0x00 背景

XSS漏洞也叫跨站脚本攻击，是Web漏洞中最常见的漏洞，原理与SQL注入相似，通过来自外部的输入直接在浏览器端触发。XSS漏洞通常被入侵者用来窃取Cookie等，本文以代码审计的形式研究XSS攻击原理、挖掘形式、防御方案及缺陷。

0x01 XSS攻击原理

我们看下面一段代码：

 <?php

 // Is there any input?
 if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
 // Feedback for end user
 echo '<pre>Hello ' . $_GET[ 'name' ] . '</pre>';
 }

 ?> 

通过上面的代码我们可以轻松看出，用户输入的变量name没有经过任何处理直接输出到了页面上，如果我们在name变量的输入框中输入

<script>alert(/xss/)</script>

第六行代码就变成了

echo '<pre>Hello ' . <script>alert(/xss/)</script> . '</pre>';

这样我们的浏览器上就会弹出一个内容为/xss/的窗口。这就是XSS的基本原理。

0x02 XSS漏洞的挖掘形式

根据上文的原理介绍，在挖掘XSS漏洞的时候，我们需要找的是可以传输到输出函数的参数，我们常用的输出函数有print、printf、print_r、echo、sprintf、die、var_dump、var_export，所以我们只需要搜索这些函数，追踪其变量即可。

XSS的挖掘也可以重点关注相关的业务，例如论坛、博客、图片引用、资料修改等，Web程序在保证业务正常运行的前提下很难面面俱到地进行防御，在挖掘的时候我们也可以通读这些业务的代码寻找XSS漏洞。

反射型XSS

反射型XSS如同0x01中所呈现的代码，用户发出一个带有XSS攻击的请求，服务器端接受请求后进行处理并把带有XSS的代码发送给了浏览器，浏览器解析带有XSS的代码，这就造成了XSS攻击，整个过程如同一次反射，因此命名反射型XSS。

反射型XSS的挖掘利用扫描器进行黑盒测试基本可以直接发现，原理是向Web服务器提交尖括号等XSS常用符号，检查返回的HTML页面里是否还有特殊字符即可。在代码审计中我们需要找输出函数中的参数，然后回溯参数观察过滤情况。

存储型XSS

存储型XSS顾名思义，是将带有XSS攻击的代码存储起来，每次Web程序读取到这段代码的时候就会触发一次攻击。因此存储型XSS的利用难度更低、危害更大（很多SRC不收录反射型XSS）。一个最常见的带有存储型XSS漏洞的代码如下：

 <?php

 if( isset( $_POST[ 'btnSign' ] ) ) {
     // Get input
     $message = trim( $_POST[ 'mtxMessage' ] );
     $name    = trim( $_POST[ 'txtName' ] );

     // Sanitize message input
     $message = stripslashes( $message );
     $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

     // Sanitize name input
     $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

     // Update database
     $query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
     $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

     //mysql_close();
 }

根据这段代码我们可以看出，用户向页面提交变量mtxMessage和txtName，然后Web程序未经任何过滤就将这两个变量存储到数据库，每次用户访问这个页面的时候都会从数据库提取代码造成攻击。

与挖掘反射型XSS漏洞一样，我们也是要寻找带有参数并且未经过滤的输出函数，并对这些参数进行全局追踪。

0x03 防御方案及缺陷

XSS漏洞的防御比较复杂，在不同的业务情境下需要考虑不同的情况，以下介绍几种常见的防御方式。

黑白名单

与SQL注入防御一样，黑名单是最低效的防御方案，一个典型的黑名单案例如下

 <?php

 // Is there any input?
 if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
     // Get input
     $name = str_replace( '<script>', '', $_GET[ 'name' ] );

     // Feedback for end user
     echo "<pre>Hello ${name}</pre>";
 }

 ?> 

这个案例中采用了str_replace函数将变量name中的<script>标签置换为空。在这里我们有两种绕过方式

1.采用大小写绕过（<ScRiPt>）或者采用双写绕过（<scr<script>ipt>）；

2.采用除<script>标签外的其他标签，例如<img>标签等实现XSS攻击。

而白名单就是一种相对可靠一些的过滤方式，我们可以采用正则进行事件匹配，如果匹配到规则内的事件直接进行拦截，而不采用替换为空的方式。

特殊字符转码为HTML实体

这种防御方案是目前最流行的XSS防御方案之一，这些特殊字符集包括：尖括号、单引号、双引号、反斜杠、&等。案例如下：

 <?php
 // Is there any input?
 if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
     // Check Anti-CSRF token
     checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );
     // Get input
     $name = htmlspecialchars( $_GET[ 'name' ] );
     // Feedback for end user
     echo "<pre>Hello ${name}</pre>";
 }
 // Generate Anti-CSRF token
 generateSessionToken();
 ?>

在这个案例中，采用了htmlspecialchars函数，把预定义的字符&、”、 ’、<、>转换为 HTML 实体，防止浏览器将其作为HTML元素。虽然看起来这样处理XSS就能万事大吉，但在htmlspecial函数中有个大坑需要格外注意！该函数的用法如下：

htmlspecialchars(string,flags,character-set,double_encode)

我们注意第二个参数flags。这个参数对引号的编码规则如下：

#可用的引号类型：

ENT_COMPAT #- 默认。仅编码双引号。
ENT_QUOTES #- 编码双引号和单引号。
ENT_NOQUOTES #- 不编码任何引号。

注意！flags参数默认状态值编码双引号！这个默认参数在实际开发中非常容易被忽略，我们看下面这个案例：

<?php
    $name = $_GET["name"];
    $name = htmlspecialchars($name);
?> 

<input type='text' value='<?php echo $name?>'> 

如果我们提交：/test.php?name=1' onmouseover='javascript:alter(1)

单引号无法被转码成HTML实体，依然会造成反射型XSS漏洞。