xss漏洞静态检测技术（xss漏洞查找）

本文目录一览：

• 1、中企智导股权系统VG5.03S技术优势说明
• 2、如何测试XSS漏洞
• 3、发现XSS漏洞的一般做法有哪些？
• 4、XSS是什么

中企智导股权系统VG5.03S技术优势说明

中企智导股权系统VG5.03S技术优势说明

股权众筹平台面临的安全威胁

威胁股权众筹系统的风险来自不同层面，从网络层、系统层到应用层，都可能形成对系统直接或间接的威胁，目前行业常见的针对Web应用的攻击有：

●  缓冲区溢出——攻击者利用超出缓冲区大小的请求和构造的二进制代码让服务器执行溢出堆栈中的恶意指令。

●  Cookie假冒——精心修改cookie数据进行用户假冒。

●  认证逃避——攻击者利用不安全的证书和身份管理。

●  非法输入——在动态网页的输入中使用各种非法数据，获取服务器敏感数据。

●  强制访问——访问未授权的网页。

●  隐藏变量篡改——对网页中的隐藏变量进行修改，欺骗服务器程序。

●  拒绝服务攻击——构造大量的非法请求，使Web服务器不能响应正常用户的访问。

●  跨站脚本攻击——提交非法脚本，其他用户浏览时盗取用户帐号等信息。

●  SQL注入——构造SQL代码让服务器执行，获取敏感数据。

●  URL 访问限制失效——黑客可以访问非授权的资源连接强行访问一些登陆网页、历史网页。

●  被破坏的认证和 Session 管理——Session token 没有被很好的保护 在用户推出系统后，黑客能够盗窃 session。

●  DNS攻击——黑客利用DNS漏洞进行欺骗DNS服务器，从而达到使DNS解析不正常，IP地址被转向导致网站服务器无法正常打开。

中企智导安全研发中心依托强大安全技术资源优势，不断跟踪、挖掘、分析行业内新出现的各种漏洞信息和最新安全风险，从软件开发需求、架构设计、代码编译、数据库、服务器等各个方面，打造目前行业内最全面的股权众筹系统安全防护体系，中企智导安全盾甲确保股权众筹平台的安全稳定。

一、系统安全架构

网络安全

●  网络安全，基于硬件防火墙，杜绝网络攻击，为系统提供第一层防护，特别是高防IP特别针对目前流行的DDOS攻击进行防护。

●  防注入,CC攻击等安全机制保障网站安全稳定运行，防护多种DDoS类型攻击，包括但不限于以下攻击类型 ICMP Flood、UDP Flood、TCP Flood、SYN Flood、ACK Flood 等

●  对http、ping、dns、tcp、udp、smtp、pop、ftp等服务的可用性和响应时间的统计、监控、报警，第一时间进行响应处理

●  开发时进行防挂马代码写入，让框架代码等挂马无效。

●  监控远程操作协议，如RDP、SSH、TELNET、FTP等，以减少因远程运维而发生的信息泄密的事件。

●  系统根据管理策略对相应文件进行加密，用户访问需要连接到服务器，按权限访问，越权访问会受限，实现更多的访问控制。

●  确保密钥操作和存储的安全，密钥存放和主机分离

●  通过区域复制技术，其它冗余名称服务器（称为辅 DNS 服务器）用作同一区域中主服务器的备份服务器，以防主服务器无法访问或宕机。

●  通过对DNS报文的合规检查和DNS报文的速率控制，防止针对域名的DNS flood攻击。

服务器安全

●  web漏洞检测：对网站SQL注入漏洞、xss跨站脚本漏洞、文件包含等各项高危安全漏洞进行检测。

● 后门文件检测：通过静态分析技术与虚拟机沙箱行为检测技术相结合，对网站进行后门文件检测，准确率95%以上。

● 端口安全扫描：通过定期扫描服务器开放的高危端口，降低系统被入侵的风险。

● 主机入侵检测：通过主机日志安全分析，实时侦测系统密码破解，异常IP登录等攻击行为为实时报警。

● 安全检查：关闭无用服务，使用最小服务集合，降低漏洞风险。

●  访问控制：针对用户及恶意攻击者访问信息时进行有效地控制，对于正常请求允许访问，对于恶意请求应及时进行阻止。

应用安全

● SSL证书：基于SSL 证书数据传输加密，保障信息传输不被窃取和篡改。

● 安全U盾：后台管理员配置U盾，银行级安全，防止管理员密码泄漏造成的风险，同时可以加强人员和权限的管理。

● 前后台分离部署：可将后台部署于内网，使攻击者被隔绝于网络之外，极大增加安全性。

● 创新数据签名技术：每一次资金变动都有相应的签名，随意修改时签名无法匹配，程序检验无法通过，自动终止相关账号所有操作，发送警告。防止黑客即内部技术人员人工修改资金数据。

数据安全

●  数据连接加密：数据库连接信息高强度加密，即使应用服务器被攻破，也没法直接连接和访问数据库。

●  数据签名：资金数据防篡改，凡是在资金交易的地方，都会本次的操作进行签名验证，若存在资金被篡改的情况则无法进行交易。资金数据每一次的变动都有签名，此签名用高强度加密算法生成，防止直接修改造成的系统风险。

●  数据加密：敏感数据加密存储，防止明文数据泄密的风险。

●  数据冷存储：定期将数据进行隔离冷存储，原有数据不可修改，是分析，对比的数据基础，保证了安装，同时利用读写分离技术，提升了系统的响应速度。

●  数据智能分析：智能分析系统里用户资金变动，能得出合理的用户收益变动曲线，有异常情况时能终止用户资金操作，提示系统管理员复核，在最后一步卡住系统被侵入的风险。

●  使用 USB KEY 认证等身份验证方式，对后台登陆进行身份认证，设置网络访问控制策略，只允许授权后的网络登录后台系统。

●  数据备份：每台RDS拥有两个物理节点进行主从热备。主节点发生故障，秒级切换至备节点。服务可用性高达99.99%。

●  数据库通过多库切分的方式，采用独立的数据库账号体系；防止一个账号拥有所有数据库的访问和修改权限；敏感信息的数据通过加密方式存储，杜绝黑客或内部技术人员恶意修改数据的非法行为。

二、全冗余处理

网络冗余

● 依据高访问量级，设计弹性可扩充的网络架构。使用负载均衡设备放置在前端，后端应用使用服务器群组方式，根据不同的量级，扩充后台服务器。

● 采用双防火墙双交换机做网络冗余，保障平台服务，采用双防火墙通知接通2线路互联网接入，设备之间采用VRRP协议，在任何一个防火墙、互联网发生故障后均可自动将流量切换到另一端，保证网站的正运行，设备或网络恢复后，自动恢复。

● 采用双千兆交换机分别接在2台防火墙上，当某台设备或者网络链路发生故障后，好设备自动接管已坏设备的工作，不影响网站的整体运行，根据业务及真实服务器的数量，交换机可以随时增加。

● 采用硬件设备负载均衡器，实现网络流量的负载均衡。使用硬件设备负载均衡器，将网络流量均衡的分担到WEB服务器集群各节点服务器，保障平台服务器资源均衡的使用。

● 采用代理服务器，实现软件级的网络负载均衡。

● 数据库服务器分离成生产数据库集群和查询数据库集群，实现生产读写与后台查询统计进行分离。

三、高容错处理

● 双机热备特指基于高可用系统中的两台服务器的热备（或高可用），主-备方式（Active-Standby方式）即指的是一台服务器处于某种业务的激活状态（即Active状态），另一台服务器处于该业务的备用状态（即Standby状态)。在同一时间内只有一台服务器运行。当其中运行着的一台服务器出现故障无法启动时，另一台备份服务器通过心跳诊断将standby机器激活，保证应用在短时间内完全恢复正常使用。

● 为用户构建高容错、高安全、高性能的集群容灾平台。多个功能模块之间相互协作，实现服务器、磁盘阵列、存储通道等软硬件完全容错，解决了传统高可用方案的单点故障，为用户构建零数据丢失和应用高可用保护的高级集群容灾方案。

●  存储之间的数据复制不经过网络，而是由存储之间进行复制。

●  两个存储之间的复制是完全实时的，不存在任何时间延时。

●  主备存储之间的切换时间小于500ms，以确保系统存储时不产生延时。

●  硬盘盘符及分区不因为主备存储之间的切换而改变。

●  服务器的切换，不影响存储之间的初始化，增量同步及数据复制。

●  某一存储设备的计划性停机，不影响整个服务器双机热备系统的工作。

●  存储设备之间使用重复数据删除技术，完成增量同步工作。

●  真正的7X24小时或切换的全冗余方案。

四、系统组件架构

●  技术参数说明

开发工具

Eclipse/MyEclipse

数据库

Mysql/Oracle

第三方控件

第三方支付 API、短信邮件 API、ID5、SSL、诚信网站验证 API

系统架构

web 服务器：ngnix+apache 做负载均衡

技术架构： shove.java.play+mysql

●  采用 JAVA+Mysql(Oracle)数据库+ CentOS 操作系统+ lvs + squid等组件，功能强大、免费，可运行于多种操作平台。

●  精炼开发语言,保证无冗余代码,运行速度超快。

●  J2EE封装技术,保证源码安全。

●  面向服务器、面向组件的渐进技术理念、具有发展潜力，能保证产品技术的可扩展性。

●  多层次服务架构层设计，系统灵活、易维护，从根本上保证了系统的延展性与扩展性。

●  各层之间的松耦合，保证服务及业务流程可配置可重构。

●  网页HTML静态化，常用内容静态化，效率高,消耗小，避免了大量的数据库访问请求，提高了整个系统的响应。

●  图片与页面进行分离,这样的架构可以降低提供页面访问请求的服务器系统压力,并且可以保证系统不会因为图片问题而崩溃,在应用服务器和图片服务器上,可以进行不同的配置优化,保证更低的系统消耗和更高的执行效率。

●  数据库集群和库表散列，在面对大量访问的时候,使用数据库集群或者库表散列，我们在应用程序中安装业务和应用或者功能模块将数据库进行分离,不同的模块对应不同的数据库或者表,再按照一定的策略对某个页面或者功能进行更小的数据库散列,最终可以在配置文件中进行简单的配置便能让系统随时增加一台低成本的数据库进来补充系统性能。

●  使用复制方式的缓存集群该集群对于客户端应用来说是透明的，在一个缓存服务器宕机的时候，对于客户端来说没有影响。当一个应用更新了缓存的时候，该缓存实例通知集群中的其他缓存服务器，由缓存集群自动完成各个缓存服务器中缓存数据的同步。

●  通过动态口令验证后，所有在网贷平台上发生的交易都将通过短信方式进行提醒，方便实时掌握账户安全。为防止登录密码窃取，找回密码功能目前只支持手机戒邮件劢态口令找回。

如何测试XSS漏洞

XSS跨站漏洞分为大致三种：储存型XSS，反射型XSS，和DOM型XSS，一般都是由于网站对用户输入的参数过滤不严格而调用浏览器的JS而产生的。XSS几乎每个网站都存在，google，百度，360等都存在，存在和危害范围广，危害安全性大。

具体利用的话：

储存型XSS，一般是构造一个比如说"scriptalert("XSS")/script"的JS的弹窗代码进行测试，看是否提交后在页面弹窗，这种储存型XSS是被写入到页面当中的，如果管理员不处理，那么将永久存在，这种XSS攻击者可以通过留言等提交方式，把恶意代码植入到服务器网站上， 一般用于盗取COOKIE获取管理员的信息和权限。

反射型XSS，一般是在浏览器的输入栏也就是urlget请求那里输入XSS代码，例如：127.0.0.1/admin.php?key="scriptalert("xss")/script，也是弹窗JS代码。当攻击者发送一个带有XSS代码的url参数给受害者，那么受害者可能会使自己的cookie被盗取或者“弹框“，这种XSS一次性使用，危害比储存型要小很多。

dom型：常用于挖掘，是因为api代码审计不严所产生的，这种dom的XSS弹窗可利用和危害性并不是很大，大多用于钓鱼。比起存储型和反射型，DOM型并不常用。

缺点：

1、耗时间

2、有一定几率不成功

3、没有相应的软件来完成自动化攻击

4、前期需要基本的html、js功底，后期需要扎实的html、js、actionscript2/3.0等语言的功底

5、是一种被动的攻击手法

6、对website有http-only、crossdomian.xml没有用

所以楼主如果想更加深层次的学习XSS的话，最好有扎实的前后端开发基础，还要学会代码审计等等。

推荐的话，书籍建议看看《白帽子讲web安全》，《XSS跨站脚本攻击剖析与防御》

一般配合的话，kalilinux里面的BEFF是个很著名的XSS漏洞利用工具，楼主有兴趣可以去看看。

纯手工打字，望楼主采纳。

发现XSS漏洞的一般做法有哪些？

关于发现时间，要具体到是检测什么目标了。找google的，和找腾讯的时间肯定不会一样。 至于“你们一般都是如何发现xss漏洞的？” 不同类型的XSS漏洞，可能不尽相同。

1.对于反射型XSS以及一些DOM XSS，一般建议是开发一些自动化的扫描工具进行扫描，并辅以手工分析。 另外一方面，搜索引擎也是快速寻找具有缺陷参数的好办法。

2.对于存储型XSS，

1) 对于单纯的输入-存储-输出点 的情况 （输入与输出点关系：一个地方输入，会有多个地方输出；不同地方输入，同一地方输出。绕了点 T T ...）。常规测试是正向直接输入内容，然后在输出点查看是否未过滤，当然你也可以先大胆假设输出点未过滤，反向寻找在何处进行输入，进而测试。

2）对于富文本，则需要对过滤器进行fuzz测试（人脑+自动化）了，正好乌云drops上有乌乌发了一篇：fuzzing XSS filter

3）第三类，就是一些WEB应用中所出现的DOM-存储型XSS，即输出点的无害内容，会经过js的一些dom操作变得危险（本质上和 第1点里的dom xss成因是一样的）。这一类的挖掘方法，个人觉得不太好总结。 其一，需要熟悉WEB应用的功能，其二，知道功能所对应的JS代码有哪些，其三，凭直觉猜测程序员会在哪些功能出现可能导致XSS的过滤遗忘或过滤错误（直觉是唬人的，其实就是你知道某些功能会需要某些代码实现，而这些代码常常容易出错），其四，需要有较好的代码阅读跟踪能力（JS一大坨。。还是蛮难读的.... 有些代码被混淆过，十分不易阅读，就会涉及到如何下断点进行调试的小技巧）。 我想，挖掘这一类的前提可能是需要有不错的前端开发经验，写多了，才会有足够的嗅觉。

其实吧，有时候专门去找漏洞会很累的，大什么怡情，小什么伤身，因此，我们还不如开心的敲敲代码，听听歌，静待生命中那些意外的收获。 这些收获经常来自身边的人发给你的一些事物。

最后，不论如何，基础很重要吧，内力不足，招式再多也没用，反之，草木竹石皆可为剑。

XSS是什么

1、XSS是跨站脚本攻击(Cross Site Scripting)，为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆，故将跨站脚本攻击缩写为XSS。

2、恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意攻击用户的特殊目的。

3、XSS攻击分成两类，一类是来自内部的攻击，主要指的是利用程序自身的漏洞，构造跨站语句，如:dvbbs的showerror.asp存在的跨站漏洞。

4、另一类则是来自外部的攻击，主要指的自己构造XSS跨站漏洞网页或者寻找非目标机以外的有跨站漏洞的网页。如当要渗透一个站点，自己构造一个有跨站漏洞的网页，然后构造跨站语句，通过结合其它技术，如社会工程学等，欺骗目标服务器的管理员打开。