近日， 一名白帽黑客發(fā)現(xiàn)了分散預(yù)測市場Augur的一個(gè)重要漏洞，黑客可據(jù)此向用戶發(fā)送虛假信息并控制系統(tǒng)。雖然Augur的核心功能是預(yù)測市場情況，允許用戶進(jìn)行市場預(yù)判，所有的數(shù)據(jù)由分散式的以太坊區(qū)塊鏈保護(hù)，UI配置文件存儲用戶信息的到本地計(jì)算機(jī)。但是Augur應(yīng)用程序上的所有內(nèi)容，包括交易數(shù)據(jù)、錢包地址和市場行情，目前都處于被黑客篡改的風(fēng)險(xiǎn)下。據(jù)悉，用戶一旦訪問來自Augur的鏈接，其以太坊地址等關(guān)鍵信息將被黑客截取。

現(xiàn)此漏洞已被修補(bǔ)，據(jù)表示說Augur漏洞是一個(gè)典型的前端黑攻擊，這種攻擊依賴一些條件，比如攻擊者需要準(zhǔn)備好一個(gè)頁面鏈接（不是 Augur 鏈接），并無論通過什么手法能讓安裝了Augur的用戶訪問到，然后用戶需要重啟Augur應(yīng)用，這樣才能形成后續(xù)的攻擊。由于此時(shí)Augur應(yīng)用里配置的 Augur節(jié)點(diǎn)地址被替換了，后續(xù)的攻擊本質(zhì)就是一種MITM中間人）攻擊，理論上確實(shí)可以做很多惡事。

因?yàn)橛姓f明Augur漏洞是一個(gè)典型的前端黑攻擊。隨著互聯(lián)網(wǎng)的不斷發(fā)展，web應(yīng)用的互動(dòng)性也越來越強(qiáng)。但正如一個(gè)硬幣會有兩面一樣，在用戶體驗(yàn)提升的同時(shí)安全風(fēng)險(xiǎn)也會跟著有所增加。現(xiàn)在，我們就來講一講web滲透中常見的一種攻擊方式：XSS攻擊。

什么是XSS攻擊

先看一段標(biāo)準(zhǔn)解釋（摘自百度百科）。

相信以上的解釋也不難理解，但為了再具體些，這里舉一個(gè)簡單的例子，就是留言板。我們知道留言板通常的任務(wù)就是把用戶留言的內(nèi)容展示出來。正常情況下，用戶的留言都是正常的語言文字，留言板顯示的內(nèi)容也就沒毛病。然而這個(gè)時(shí)候如果有人不按套路出牌，在留言內(nèi)容中丟進(jìn)去一行：

那么留言板界面的網(wǎng)頁代碼就會變成形如以下：

那么這個(gè)時(shí)候問題就來了，當(dāng)瀏覽器解析到用戶輸入的代碼那一行時(shí)會發(fā)生什么呢？答案很顯然，瀏覽器并不知道這些代碼改變了原本程序的意圖，會照做彈出一個(gè)信息框。就像這樣：

利用xss竊取用戶名密碼

當(dāng)然這個(gè)示例很簡單，盡管一個(gè)信息框突然彈出來并不怎么友好，但也不至于會造成什么真實(shí)傷害。幾乎攻擊不到任何網(wǎng)站。但我們知道很多登陸界面都有記住用戶名、密碼的功能方便用戶下次登錄，有些網(wǎng)站是直接用明文記錄用戶名、密碼，惡意用戶注冊賬戶登錄后使用簡單工具查看cookie結(jié)構(gòu)名稱后，如果網(wǎng)站有xss漏洞，那么簡單的利用jsonp就可以獲取其它用戶的用戶名、密碼了。

惡意用戶會這么輸入：

我們看看http：//test.com/hack.js里藏了什么

幾句簡單的javascript，獲取cookie中的用戶名密碼，利用jsonp把向http：//test.com/index.php.發(fā)送了一個(gè)get請求http：//test.com/index.php

在用戶瀏覽器執(zhí)行了hack.js，獲取了用戶密碼，并發(fā)起一個(gè)黑客工程的http url請求，這樣黑客工程就拿到了用戶的賬號和密碼。就這樣，用戶名和密碼就泄露了。

XSS的危害：

1）竊取網(wǎng)頁瀏覽中的cookie值

2）劫持流量實(shí)現(xiàn)惡意跳轉(zhuǎn)

實(shí)例應(yīng)用：

1.劫持訪問：

這個(gè)很簡單，就是在網(wǎng)頁中想辦法插入一句像這樣的語句：

那么所訪問的網(wǎng)站就會被跳轉(zhuǎn)到百度的首頁。XSS相關(guān)的惡意代碼傳播、大范圍用戶信息竊取及基于XSS的DDoS攻擊等

早在2011年新浪就曾爆出過嚴(yán)重的xss漏洞，導(dǎo)致大量用戶自動(dòng)關(guān)注某個(gè)微博號并自動(dòng)轉(zhuǎn)發(fā)某條微博。還自動(dòng)關(guān)注一位名為hellosamy的用戶。

還有百度貼吧xss攻擊事件

2014年3月9晚，六安吧等幾十個(gè)貼吧出現(xiàn)點(diǎn)擊推廣貼會自動(dòng)轉(zhuǎn)發(fā)等。并且吧友所關(guān)注的每個(gè)關(guān)注的貼吧都會轉(zhuǎn)一遍，病毒循環(huán)發(fā)帖。并且導(dǎo)致吧務(wù)人員，和吧友被封禁。

2.盜用cookie實(shí)現(xiàn)無密碼登錄

這里以DVWA滲透測試平臺為例

我們發(fā)現(xiàn)網(wǎng)頁對于message長度有限制。審查元素看一下。

發(fā)現(xiàn)最大長度有限制，但這僅僅是前端的限制，直接雙擊修改成更大的數(shù)字即可。再次嘗試，沒問題，我們已經(jīng)將腳本植入完畢。

然后就是坐等別的用戶訪問這個(gè)界面。

這時(shí)，另一個(gè)用戶gordonb登錄并訪問了留言界面，那么他的cookie就會被竊取。我們可以從xss平臺的后臺獲取到。

拿到cookie之后要登錄他的帳號就好辦了。

打開登錄界面，調(diào)出火狐的firebug插件，調(diào)至cookie選項(xiàng)卡（注意，如果你的firebug插件沒有cookie選項(xiàng)卡，請?jiān)侔惭bfirecookie插件即可看到）

然后依次點(diǎn)擊cookies-create cookie，隨后再彈出的界面中填入兩個(gè)xss平臺獲取到的cookie，如圖

這里注意要把我箭頭所指的地方勾上，這是設(shè)置cookie有效期的地方，不然會在設(shè)置完下一秒cookie就失效。

完成之后再次刷新頁面，發(fā)現(xiàn)已經(jīng)不是之前的登錄界面了，而是登錄后的界面。至此，一個(gè)從cookie竊取到利用的過程就已完成。

3、配合csrf攻擊完成惡意請求

先簡單解釋以下csrf攻擊。Csrf攻擊就是在未經(jīng)你許可的情況下用你的名義發(fā)送惡意請求（比如修改密碼，銀行轉(zhuǎn)賬等），下面演示一個(gè)用xss配合csrf修改用戶密碼的例子。

首先對修改用戶密碼的界面進(jìn)行抓包。

發(fā)現(xiàn)沒有對原密碼進(jìn)行校驗(yàn)。于是一股邪惡的力量油然而生：要是在xss的惡意腳本中自動(dòng)提交get請求修改密碼的話。。

說干就干，具體插入語句如下:

有人會問，這不是引用腳本嗎?其實(shí)不然，本質(zhì)上這還是發(fā)起了一起get請求，因此可以直接使用。與上例一樣，插入到message中，再坐等上鉤。等下一個(gè)用戶訪問該界面時(shí)，密碼就會被改為123456了。

我們再看下訪問該頁面時(shí)的抓包情況，發(fā)現(xiàn)每次訪問該頁面都發(fā)送了更改密碼的請求

效果看數(shù)據(jù)庫（密碼md5加密）

訪問了該頁面的用戶密碼都被更改了。

防范手段

區(qū)塊鏈安全公司W(wǎng)F曲速未來表示：都說知己知彼方能百戰(zhàn)不殆，知道了xss攻擊的原理那么防御的方法也就顯而易見了。

1.首先是過濾。對諸如<script>、<img>、<a>等標(biāo)簽進(jìn)行過濾。

2.其次是編碼。像一些常見的符號，如<>在輸入的時(shí)候要對其進(jìn)行轉(zhuǎn)換編碼，這樣做瀏覽器是不會對該標(biāo)簽進(jìn)行解釋執(zhí)行的，同時(shí)也不影響顯示效果。

3.最后是限制。通過以上的案例我們不難發(fā)現(xiàn)xss攻擊要能達(dá)成往往需要較長的字符串，因此對于一些可以預(yù)期的輸入可以通過限制長度強(qiáng)制截?cái)鄟磉M(jìn)行防御。