黑客攻防技术宝典web实战篇：攻击其他用户习题

猫宁！！！

参考链接：http://www.ituring.com.cn/book/885

随书答案。

1. 在应用程序的行为中，有什么“明显特征”可用于确定大多数 XSS 漏洞？

用户提交的输入在应用程序对该输入的响应中原样返回。

2. 假设在应用程序未通过验证的功能区域发现了一个反射型 XSS 漏洞。如何利
用这个漏洞攻破一个通过验证的应用程序会话？请想出两种不同的方法。

多数情况下，利用未通过验证的功能中的 XSS 漏洞一样可以针对已通过验证的用
户实施有效攻击——这些功能与已通过验证的功能的运行机制相同，可用于在已
通过验证的用户会话中执行任意 JavaScript 脚本。
即使目标用户在攻击过程中并未登录，攻击者仍有可能攻破他们的账户。如果应
用程序易于受到会话固定攻击，攻击者可以截获用户的令牌并等待其登录。攻击
者可以在登录页面注入代码来截获键击，甚至可以显示一个木马登录表单，将用
户的证书发送到其他位置。

3. 假设一个 cookie 参数未经过任何过滤或净化就被复制到应用程序的响应中。
是否可以利用这种行为在返回的页面中注入任意 JavaScript？是否可以利用这
种行为实施针对其他用户的 XSS 攻击？

第一个问题的答案是“是”。当然可以利用这种行为通过专门设计的输入
注入任意 JavaScript。第二个问题的答案是“或许”。以前，有各种方法可以
在跨域请求中注入任意 HTTP 消息头，注入恶意 cookie。旧版本的 Flash 及
XMLHttpRequest 一直易于受到这类攻击。此外，许多使用 cookie 的应用程序实
际上接受位于其他位置（如查询字符串或消息主体）的同名参数。

4. 假设在仅返回给自己的数据中发现了保存型 XSS 漏洞。这种行为是否存在安
全缺陷？

孤立来说，用户似乎只可以利用这种行为来攻击自身。但是，如果与其他适
当的漏洞（如访问控制漏洞或跨站点请求伪造漏洞）相结合，则这种行为可能会
造成严重后果，并可能导致攻击者能够在向其他应用程序用户显示的页面中注入
保存型 JavaScript。

5. 在攻击一个处理文件附件并在浏览器中显示这些内容的 Web 邮件应用程序
时，应立即检查哪种常见的漏洞？

如果应用程序不经任何净化就显示 HTML 或文本文件，则这些 HTML 或文本文
件中包含的 JavaScript 将在任何查看该附件的用户的浏览器中执行。此外，如
果 JPEG 文件包含 HTML，则某些浏览器会自动将该文件作为 HTML 处理。在防范
邮件附件中的 XSS 方面，许多 Web 邮件应用程序并未采取足够的保护措施。

6. 浏览器的同源策略如何给 Ajax 技术 XMLHttpRequest 的应用造成影响？

由于 XMLHttpRequest 可用于从 HTTP 请求中获取完整的响应，因此，正常情况下，
只能利用它向和调用它的域相同的域提出请求。但是，HTML5 引入了一个工具，
如果所请求的域许可，XMLHttpRequest 可利用该工具提出跨域请求并检索响应。

7. 列举 3 个利用 XSS 漏洞的可行攻击有效载荷（也就是说，攻击者可以在其他
用户的浏览器中执行的恶意操作而不是传送攻击的方法）。

有无数针对 XSS 漏洞的攻击有效载荷。以下是一些常见的有效载荷：
盗窃会话 cookie；
引诱用户操作；
注入木马功能；
盗窃存入缓存的自动完成数据；以及
记录键击。

8. 已知一个反射型 XSS 漏洞，可以在返回页面的 HTML 代码的某个位置注入任意
数据。插入的数据被截短至 50 字节，但是我们希望注入一个超长的脚本，并且
不想调用外部服务器上的脚本。如何解决长度限制呢？

可以将反射型 XSS 漏洞“转换成”基于 DOM 的 XSS 漏洞。例如，如果易受攻击的
参数称为 vuln，则可以使用以下 URL 执行任意长度的脚本：
/script.asp?vuln=<script>eval_r(location.hash.substr(1))</script>#ale
rt('long script here ......')

9. 已知在一个必须使用 POST 方法的请求中存在反射型 XSS 漏洞。攻击者可以使
用哪种传送机制实施攻击？

如果 POST 方法是必需的，则不能仅仅在应用程序中构建一个专门设计的 URL，
以便在用户访问该 URL 时实施攻击。但是，可以创建一个第三方网页，使用 POST
方法向易受攻击的应用程序提交一个表单和位于隐藏字段中的相关参数。当用户
查看该网页时，可以使用 JavaScript 自动提交上述表单。