Rails安全导读【完】 - 编程入门网

2006年12月，在MySpace 钓鱼攻击里有34,000真实用户名和密码被盗。这次攻击的手法是创建了一个叫”login_home_index_html“的 profile页面，所以这个URL看起来让人毫不怀疑。特制的HTML和CSS用来隐藏MySpace真正的内容，显示的是攻击者的登陆表单。

MySpace Samy蠕虫会在CSS注入这节来讨论。

8.4. CSS注入

— CSS注入实际上是JavaScript注入, 因为一些浏览器(IE, 某些版本的Safari等) 允许在CSS里执行JavaScript. 如果在你的web应用允许 自定义的CSS,请三思而后行。

通过 MySpace Samy 这个众所周知的蠕虫我们可以更好的解释CSS注入。只要有人访问Samy(攻击者)的个人资料，这个蠕虫就会自动的给别 人发送一个朋友请求。几小时之内他曾超过100万个朋友请求，但它给MySpace创造了太多的通信以致于网站下线。下面是对该蠕虫的技术性解 释。

Rails安全导读【完】(5)

MySpace屏蔽了很多tag，但是它允许css，所以该蠕虫作者就在css里这么做:

<div style="background:url(''javascript:alert(1)'')">

所以这个style属性就在是有效的加载了。但是这里不允许引号，因为单引号和双引号已经被用了。但是JavaScript有可以执行任意代码的 eval()方法。

<div id="mycode" expr="alert(''hah!'')" style="background:url (''javascript:eval(document.all.mycode.expr)'')">

eval() 函数是黑名单输入过滤器的噩梦，因为它允许 它允许style属性去隐藏 “innerHTML”这个单词:

alert(eval(''document.body.inne'' + ''rHTML''));

下一个问题是MySpace过滤了 “javascript”, 所以蠕虫作者用 “java<NEWLINE>script"就得到下面这样的:

<div id="mycode" expr="alert(''hah! '')" style="background:url(''java↵
script:eval(document.all.mycode.expr)'') ">

另一个对于蠕虫作者的问题是CSRF安全令牌，如果没有的话，他不能通过POST发送以个朋友请求。他在增加好友解 析结果之前通过发送一个GET访问一个正确的页面来绕开CSRF令牌。

最后他得到了一个4kb的蠕虫，并把它注入到了他自己的个人资料页 面。

moz-binding 提供另一种基于Gecko浏览器(例如Firefox)在CSS里引入JavaScript的方法。

8.4.1. 对策

这个例子再 次说明了黑名单永远会有遗漏。然而，自定义的CSS在网络应用是一种相当罕见的功能，我不知道白名单的CSS过滤器。如果你想允许自定义的 颜色或图像， 可以让用户选择web应用提供的模板。如果你真的需要这样一个功能，请使用Rails的sanitize()方法作为一种css白名单过滤模 式。

8.5. Textile 注入

— 如果你想提供HTML之外的其他文本格式（为了安全），请使用在服务端转化为HTML的标记语言 。RedCloth就是为Ruby提供这种功能的语言。但是没有防范措施的话，就会是一个XSS缺陷。

例如，RedCloth翻译_test_ 为<em>test<em>, 使文本变成斜体。然而直到当前的3.0.4版本，仍然存在XSS缺陷。可以去下载

最新的已移除这个严重bug的版本。然而，即使是这个版本，也有严重的bug 。所以对策依然适用。

这儿是版本 3.0.4的例子:

>> RedCloth.new(''<script>alert(1)</script>'').to_html => "<script>alert(1)</script>"

使用:filter_html选项来移除那些不被Textile原生的HTML:

>> RedCloth.new(''<script>alert(1)</script>'', [:fil

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!