【導(dǎo)讀】務(wù)器中，很多計(jì)算機(jī)病毒、蠕蟲等都是利用了跨站腳本，其危害性甚大。用程序中跨站腳本漏洞，成了Web應(yīng)用程序開發(fā)人員關(guān)注的重要問題。在分析跨站腳本成因時(shí)，提出了利用源代碼挖掘跨站腳本的方法。糊測試技術(shù)的核心算法。步驟，使用模糊器挖掘若干未知漏洞。最后應(yīng)用模糊測試技術(shù)，發(fā)掘未知跨站腳本漏洞，并做收集記錄添加在附錄C中。本文研究意義為：能迅速挖掘跨站腳本漏洞，能有效測試Web應(yīng)用程序中的跨站腳本。

　　

【正文】 試則特別關(guān)注 于 遵循 HTTP 規(guī)范的包。將應(yīng)用所學(xué)的 知識(shí)，開發(fā)一個(gè)圖形化的 Web 應(yīng)用模糊器 WebFuzz，下面來介紹一下該應(yīng)用程序的功能需求。 中原工學(xué)院計(jì)算機(jī)學(xué)院畢業(yè)（設(shè)計(jì)）論文 17 請求 對一個(gè) Web 應(yīng)用進(jìn)行模糊測試，需要有一種方式來向它發(fā)送請求，通常情況下，使用一個(gè) Web 瀏覽器同 Web 服務(wù)器進(jìn)行通信，它知道如何利用 HTTP 進(jìn)行通信，并且能夠?qū)⑺须s亂的細(xì)節(jié)信息組裝成一個(gè) HTTP 請求，當(dāng)使用模糊器進(jìn)行測試的時(shí)候，需要這些信息，來改變請求的所有方面，因此需要將原始請求暴露給終端用戶，并允許對其中的任何部分進(jìn)行模糊化。該請求包括以下字段：主機(jī) ，端口，超時(shí)，請求頭，其中將請求的所有組成部分 保持在一個(gè)段 可寫的文本字段中，從而從終端控制請求的各個(gè)方面。各字段介紹如下： a. 主機(jī) 目標(biāo)機(jī)器的名字和 IP 地址是所需要的一個(gè)字段。對一個(gè) Web 應(yīng)用進(jìn)行模糊測試，需要知道 WebFuzz 向何處發(fā)送請求。這不是一個(gè)可以進(jìn)行模糊測試的字段。 b. 端口： 盡管 Web 應(yīng)用在默認(rèn)情況下運(yùn)行在 TCP 端口 80，然而它們也可以方便的運(yùn)行在其它任意的 TCP 端口。實(shí)際上，通常將 Web 應(yīng)用設(shè)計(jì)為提供一個(gè)基于 Web 的管理控制臺(tái)，以使其運(yùn)行在一個(gè)可選的端口而不干擾主要的 Web 服務(wù)器。同主機(jī)名一樣，端口字段也是告訴 WebFuzz 向何處發(fā)送請求， 同時(shí)，它也不是一個(gè)可以進(jìn)行模糊測試的字段。 c. 超時(shí) 由于的目的是發(fā)送非標(biāo)準(zhǔn)的 Web 請求，因此，目標(biāo)應(yīng)用程序通常不會(huì)以一種及時(shí)的方式來作出響應(yīng)。因此，包含了一個(gè)用戶定義的、以毫秒計(jì)的超時(shí)值。當(dāng)記錄一個(gè)請求的響應(yīng)超時(shí)時(shí)，這種記錄是非常重要的，因?yàn)樗梢灾该鞯恼埱笫沟媚繕?biāo)程序離線，從而導(dǎo)致一個(gè)潛在的 DoS 漏洞。 d. 請求頭 這是操作執(zhí)行的起點(diǎn)。當(dāng)使用一個(gè) Web 瀏覽器時(shí)，終端用戶可以控制目標(biāo)主機(jī)、端口以及請求 URI，但卻不能控制所有不同的頭信息。有意將請求的所有組成部分保持在一個(gè)單獨(dú)的可寫的文本字段中，因?yàn)橄ＭK端用戶能 夠控制請求的各個(gè)方面?？梢酝ㄟ^簡單的將所需要的請求敲進(jìn)請求頭字段中來手工的創(chuàng)建一個(gè)請求。另外，如果你傾向于使用點(diǎn)擊的方法，那么也可以使用上下文菜單中所提供的標(biāo)準(zhǔn)頭列表來拼湊一個(gè)頭。最后一個(gè)選項(xiàng)是如果默認(rèn) Web 頁需要一個(gè)基本請求，那么允許從上下文菜單中選擇默認(rèn)頭。 李宗輝：基于模糊測試的漏洞發(fā)現(xiàn) 18 模糊變量 模糊變量是指在請求中將要被模糊數(shù)據(jù)所代替的那些區(qū)域。對發(fā)送給 Web 服務(wù)器的原始請求有著完整的控制權(quán)。模糊變量需要被直接添加到原始請求中，并通過方括號中的變量名來識(shí)別。設(shè)計(jì)創(chuàng)建模糊變量的函數(shù)時(shí)，可以將他們劃分為兩個(gè)基本類型，靜態(tài) 列表或生成變量。還可以在一個(gè)單一的請求中定義多個(gè)模糊變量。 響應(yīng) WebFuzz 捕獲所有的響應(yīng)結(jié)果并將其以原始格式保存。的工具 WebFuzz 需要將所有的響應(yīng)結(jié)果捕獲并將其以原始格式保存。用不同的格式來靈活地顯示響應(yīng)。特別的是可以查看 HTML。通過查看相應(yīng)可以發(fā)現(xiàn)漏洞線索。 模糊器框架設(shè)計(jì) 文 WebFuzz 模糊測試工具采取了 Fuzzing 技術(shù)，要對 Web 應(yīng)用程序和服務(wù)器進(jìn)行模糊測試，首先要給定一個(gè) Web 應(yīng)用的入口網(wǎng)址，或者最好是直接給出需要測試網(wǎng)頁的具體網(wǎng)址。對單個(gè)網(wǎng)頁的漏洞挖掘流程如下圖 32 所示： 圖 3 2 對單個(gè)網(wǎng)頁的漏洞挖掘流程 其中響應(yīng)信息中可能存在的特定數(shù)據(jù)一般是和畸形數(shù)據(jù)相對應(yīng)的一段腳本語言代碼。一般情況下，只需要檢測服務(wù)器響應(yīng)信息中是否存在上述字段，就可以大中原工學(xué)院計(jì)算機(jī)學(xué)院畢業(yè)（設(shè)計(jì)）論文 19 致判斷是否存漏洞。然而，如果攻擊向量的選擇不當(dāng)，或沒有充分判斷服務(wù)器對攻擊向量各種可能的響應(yīng)情況，則有可能出現(xiàn)一定程度的漏報(bào)和誤報(bào)。因此，為保證工具的運(yùn)行效果，應(yīng)對攻擊向量和其作用結(jié)果進(jìn)行深入分析。 WebFuzz 對于單個(gè)網(wǎng)頁的挖掘思路也正如上所述。進(jìn)一步的， WebFuzz 實(shí)現(xiàn)了漏洞挖掘的自動(dòng)化。 從供給者角度出發(fā)，通過模擬一次真實(shí)的攻擊事件對服務(wù)器的業(yè)務(wù)處理進(jìn)行分析，從而實(shí)現(xiàn)漏洞檢測。如下圖 33 所示。 圖 3 3 漏洞檢測流程 WebFuzz 模糊測試工具主要由生成攻擊模塊和響應(yīng)分析模塊構(gòu)成，完成測試，而漏洞檢測的前期測試模塊主要是為了尋找測試的切入點(diǎn)。 模糊器設(shè)計(jì)核心函數(shù) 模糊器設(shè)計(jì)涉及到的 核心類或者方法有入口函數(shù)、 Web 應(yīng)用程序窗體框架類frmWebFuzz、 發(fā)送網(wǎng)絡(luò)數(shù)據(jù)請求的 sendRequest 類、 構(gòu) 造畸形數(shù)據(jù)的構(gòu)造器類Generate、 讀取文件的類 Read、 以及記錄客戶端狀態(tài)的類 ClientState。限于文章篇幅，這里不能一一列舉出來，這里 主要介紹模糊器最核心的部分，具體的源代碼在附錄 B 中。 生成請求 在發(fā)送一個(gè)請求之前，必須要首先確定發(fā)送的內(nèi)容。此內(nèi)容是從用戶創(chuàng)建請求的請求頭窗口獲得的， 每個(gè)模糊變量 [xxx]必須被實(shí)際的模糊數(shù)據(jù)所替代。一旦用戶在 btnRequest_Click（）方法中點(diǎn)擊請求按鈕，那么 生成請求 過程就開始執(zhí)行。 當(dāng)生成請求以后，就開始執(zhí)行一個(gè)循環(huán)，該循環(huán)連續(xù)的解析用戶 提供的數(shù)據(jù)直到在請求中遇到模糊變量。然后轉(zhuǎn)到一個(gè) switch 中的 case 語句 ，以確定對每個(gè)模糊變量執(zhí)行何種操作。 比如搜索到模糊變量 [XSS]，就會(huì)轉(zhuǎn)到 switch 語句中 case XSS 語句。 李宗輝：基于模糊測試的漏洞發(fā)現(xiàn) 20 對 來自于靜態(tài)列表（ SQL， XSS 和 Method）的那些模糊變量，創(chuàng)建了一個(gè)新的Read（）類，并且將包含模糊變量的 ASCII 文本文件的名字傳遞給構(gòu)造器 Generate（） 。生成的變量（溢出，遍歷和格式化）實(shí)例化一個(gè)新的 Generate（）類，并傳遞將要被重復(fù)的字符串、該字符串的總長度以及該字符串將要被傳遞的次數(shù)。 該 過程可以用一下流程圖 34 來說明： 圖 3 4 模糊器生成請求流程圖 sendRequest 類 構(gòu)造好了含有模糊變量的發(fā)送數(shù)據(jù)，是關(guān)鍵的 一步，還要將構(gòu)造好的數(shù)據(jù)發(fā)送出去，但是由于創(chuàng)建的是畸形的請求數(shù)據(jù)，這就確定了 不能使用各種庫中封裝好的發(fā)送網(wǎng)絡(luò)數(shù)據(jù)的類，需要在最基本的 TcpClient 類的 基礎(chǔ)上，創(chuàng)建有自己特點(diǎn)的發(fā)送數(shù)據(jù)的類 sendRequest。 中原工學(xué)院計(jì)算機(jī)學(xué)院畢業(yè)（設(shè)計(jì)）論文 21 在的例子中，為 WebFuzz 的網(wǎng)絡(luò)通信部分使用了 最基本的 TcpClient 類。 使用TcpClient 類創(chuàng)建了連接服務(wù)器的對象 client，使用 NetWorkStream 類創(chuàng)建了用于網(wǎng)絡(luò)訪問的基礎(chǔ)數(shù)據(jù)流，然后還根據(jù)的需要，設(shè)計(jì)了 ClientState 類，用于記錄客戶端的狀態(tài)，從而方便下面的工作。 sendRequest 類的工作 可以用一下流程圖 35 來說明： 圖 3 5 模糊器發(fā)送數(shù)據(jù)流程圖 接收響應(yīng) 當(dāng)響應(yīng)被接收時(shí)， WebFuzz 通過將請求、原始響應(yīng)、 HTML 響應(yīng)、主機(jī)名和路徑添加到單獨(dú)的字符串?dāng)?shù)組來將它們進(jìn)行保存。另外，識(shí)別的信息包括狀 態(tài)碼、主機(jī)名以及被添加到一個(gè) ListView 控制的請求。通過這種方法，當(dāng)模糊測試執(zhí)行完畢后，你可以簡單的點(diǎn)擊 ListView 控件中合適的響應(yīng)，則詳細(xì)信息將被顯示在一系列李宗輝：基于模糊測試的漏洞發(fā)現(xiàn) 22 的被標(biāo)簽化的超文本框以及 Web 瀏覽器控件中。 接收響應(yīng)中使用到的類或者方法主要有以下幾種： getPath 類，作用是從返回的原始 信息中讀取出需要顯示的路徑，返回的 原始 信息頭部便是路徑，只需根據(jù)特殊字符匹配的方法調(diào)用字符串類方法 (string value)和 (Char, Char) 即可 ；然后向 listview 控件中添加編號、狀態(tài)碼、請求的主機(jī)、發(fā)送的攻擊語句，使用的方法為 (String) 方法或者該方法的重載 ， 將子項(xiàng)添加到具有指定文本的集合 ；然后分別向顯示控制中添加原始請求、響應(yīng)的源文件、響應(yīng)的 HTML 文件，使用的方法為定義對應(yīng)的可變長度的數(shù)組記錄下相應(yīng)的信息，然后由控件直接讀取，這三種的數(shù)組分別是 string[ ] requestsRaw = new string[1000]， string[ ] responsesRaw = new string[1000]， string[ ] responsesHtml = new string[1000]。 本章 小 結(jié) 本章主要介紹了 Web 模糊測試技術(shù)， 從模糊測試技術(shù)的原理開始，提出了模糊測試器的功能需求和框架設(shè)計(jì) ，還介紹了 HTTP 狀態(tài)碼和信息頭得有關(guān)知識(shí)，最后重點(diǎn)分析了模糊器設(shè)計(jì)的核心函數(shù)。關(guān)于模糊器的代碼部分，將在附錄 B 中全部列舉出來。 中原工學(xué)院計(jì)算機(jī)學(xué)院畢業(yè)（設(shè)計(jì)）論文 23 第 4 章 跨站腳本 漏洞 挖掘 本章將通過真實(shí)的網(wǎng)絡(luò)上的網(wǎng)站， 來展示使用不同的測試方法 挖掘 跨站腳本 。本文將對比 源 代碼分 析的方法和自動(dòng)化模糊測試的方法，從而得出自動(dòng)化模糊測試方法的優(yōu)越性。 源 代碼分析 方法 挖掘 XSS 本節(jié) 將用 源 代碼分析的方法對跨站點(diǎn)腳本（ XSS） 進(jìn)行深入研究，源代碼分析的方式研究 跨站腳本 是屬于白盒測試，用這種方式研究 跨站腳本 ，需要 借助第 2 章的知識(shí)， 對 源代碼進(jìn)行深入分析。需要理解代碼的邏輯關(guān)系。從客戶端提供信息給Web 應(yīng)用程序， Web 應(yīng)用程序處理的請求后會(huì)返回信息到的客戶端，這時(shí)將查看并分析 Web 應(yīng)用程序返回的源信息，從中找到 跨站腳本 的線索。 非持久型 跨站腳本 在 Web 應(yīng)用程序中存在廣泛，但是危害相對較小 ，但是這種漏洞也不容忽視，攻擊者可以巧妙利用非持久型 跨站腳本 達(dá)到攻擊者的目的。在用源代碼測試的過程中，將從教育網(wǎng)站 —— 鄭州大學(xué)某一學(xué)院網(wǎng)站中選取一個(gè)典型的非持久型 跨站腳本 進(jìn)行分析。 正常狀態(tài)記錄 首先， 進(jìn)入鄭州大學(xué)的學(xué)校網(wǎng)站，尋找用戶能夠輸入信息的地方。發(fā)現(xiàn)主頁并沒有想要的能夠構(gòu)成 跨站腳本 的 地方 。然后再次 鏈接進(jìn)入鄭州大學(xué)網(wǎng)站其他站點(diǎn)，選擇進(jìn)入旅游管理學(xué)院的主頁，發(fā)現(xiàn)有一個(gè)網(wǎng)站內(nèi)的搜索引擎，用戶可以通過該引擎向 Web 應(yīng)用程序提供數(shù)據(jù)。在鄭州大學(xué)旅游管理信息學(xué)院主頁的 Web 應(yīng)用搜索引擎里輸入特殊的 字符串 ”/’\，服務(wù)器會(huì)返回如下圖 2 的正常狀態(tài)的查詢結(jié)果頁面， 可以看出，該 Web 應(yīng)用沒有過濾用戶輸入的特殊的字符 ”/\’等，將用戶輸入顯示在檢索結(jié)果頁面中， 由此推斷該 Web 應(yīng)用程序中 可能存在 跨站腳本 。 這里需要說明的是， Web 應(yīng)用程序沒有對特殊字符進(jìn)行過濾，只是說明可能存在 跨站腳本 ，也有可能 Web 應(yīng)用程序者采取了其他的安全措施，使得 Web 應(yīng)用程序并沒有 跨站腳本 ，想想 google 和百度搜索就會(huì)知道了。要想知道 Web 應(yīng)用程序是否存在 跨站腳本 ，需要進(jìn)一步的分析和測試，這時(shí)可以采取不同的測試方法，本節(jié)中采取 的是分析返回信息源代碼的方式。 李宗輝：基于模糊測試的漏洞發(fā)現(xiàn) 24 圖 4 1 正 常狀態(tài)查詢結(jié)果頁面 返回信息源代碼 分析 搜索后 Web 應(yīng)用程序返回給一個(gè)頁面，這時(shí)用瀏覽器 打開 返回頁面的源代碼 ，由于章節(jié)有限，不能粘貼出全部源代碼，只能分析關(guān)鍵的源代碼。 通過分析頁面內(nèi)容，可以知道用戶提交的查詢字符串顯示在返回的頁面中，用戶提交的查詢字符串插入到了返回的源代碼中，插入處得源代碼如下面所示，為明顯起見，將提交的查詢字符串做了 加大字號和 加粗處理。 td align=left background=images/ 您所要搜索的關(guān)鍵字是 font color=red ”/’\ /font，共搜索到 font color=red0/font條記錄！ /td 分析上述源代碼： td 標(biāo)簽定義 HTML 表格中的標(biāo)準(zhǔn)單元格 ； align 屬性表示的是顯示的數(shù)據(jù)左對齊； background 的屬性值表示背景圖片的地址； font 標(biāo)簽規(guī)定文本的字體外觀、字體尺寸和字體顏色 ，上述源代碼表示用戶提交的查詢字符串 ”/’\顯示為紅色。 可以得到如下 的信息： 1. Web 應(yīng)用程序沒有對特殊字符進(jìn)行過濾處理； 2. Web應(yīng)用程序沒有采取措施限制用戶提交的查詢字符串的長度。這是可以想到的是如果查詢的是一段 JavaScript 腳本代碼，那么返回的信息中 ”/’\將被這段代碼所代替，但是瀏覽器會(huì)執(zhí)行這段 JavaScript 腳本代碼，于是這個(gè) Web 應(yīng)用程序便存在一個(gè) 跨站腳本 。 構(gòu)造攻擊代碼： 將這段代碼從搜索框中提交查詢，便會(huì)得到如下的返回信息： td align=left background=images/ 您所要搜索的關(guān)鍵字是 font color=red /font，共搜索到 font color=red0/font條記錄！ /td 瀏覽器會(huì)執(zhí)行插入的 JavaScript 腳本代碼，從而返回一個(gè)對話框 ，如下圖 42中原工學(xué)院計(jì)算機(jī)學(xué)院畢業(yè)（設(shè)計(jì)）論文 25 所示： 圖 4 2 輸入攻 擊代碼后的返回頁面 模糊測試 方法 挖掘 XSS 在本節(jié)中將用模糊測