莫永華，于冰冰

（桂林電子科技大學(xué)信息科技學(xué)院，桂林　541004）

二維碼中XSS攻擊檢測(cè)系統(tǒng)的設(shè)計(jì)

莫永華，于冰冰

（桂林電子科技大學(xué)信息科技學(xué)院，桂林541004）

0　引言

二維條碼也稱為二維碼 （Two-dimensional bar code）是在一維條碼基礎(chǔ)上，用特定的幾何圖形按一定規(guī)律在二維平面上通過分布的黑白相間的圖形以記錄信息，由于可存儲(chǔ)信息量大，在信息傳遞應(yīng)用越來越廣。伴隨智能手機(jī)普及，掃描二維碼傳遞信息的應(yīng)用越來越多。由于二維碼中的信息不能字符顯示，在信息中隱藏了用戶無法直接識(shí)別的威脅就成為可能。如惡意網(wǎng)站信息，在二維碼中隱藏惡意URL信息，誘發(fā)用戶訪問釣魚網(wǎng)站，這些網(wǎng)站通過申請(qǐng)注冊(cè)相似域名，構(gòu)建相似度高的網(wǎng)站環(huán)境，通過合法用戶操作，盜取合法用戶賬號(hào)，發(fā)布虛假中獎(jiǎng)信息等，但是這種釣魚攻擊方式針對(duì)有一定安全意識(shí)的用戶來說，很難實(shí)現(xiàn)成功的釣魚攻擊。然而通過XSS跨站腳本攻擊漏洞進(jìn)行的釣魚攻擊，即使有一定安全意識(shí)的用戶，缺乏有效防范的情況下，很難抵御。本文主要針對(duì)Android手機(jī)用戶通過二維碼掃碼來傳遞信息的應(yīng)用，設(shè)計(jì)檢測(cè)含有跨站攻擊的二維碼系統(tǒng)，應(yīng)用特征腳本標(biāo)簽檢測(cè)的方法，實(shí)現(xiàn)二維碼安全檢測(cè)功能。

1　二維碼與跨站式攻擊研究分析

（1）認(rèn)識(shí)二維碼

二維碼有三種類型。根據(jù)不同需求常用的有：線性堆疊式二維碼、矩陣式二維碼和郵政碼。它們的編碼原理也不相同。第一種線性堆疊式二維碼，又稱為行排式二維碼，它是在一維碼的基礎(chǔ)上實(shí)現(xiàn)編碼，因此在設(shè)計(jì)碼制、識(shí)別和校驗(yàn)有著一維碼的特點(diǎn)。它的原理是將多個(gè)一維碼按照縱向方向堆疊起來，由于行數(shù)的增加改變了原來的結(jié)構(gòu)，因此在譯碼算法等方面與一維碼不相同。典型的有：PDF417、Codel6K。第二種矩陣式二維碼，呈現(xiàn)出矩陣的形式是一種新型圖形符號(hào)，也是現(xiàn)在應(yīng)用最廣泛的。數(shù)據(jù)表示在矩陣相應(yīng)元素位置上黑色的“點(diǎn)”表示二進(jìn)制“1”，白色表示二進(jìn)制“0”，典型的矩陣式二維碼有QRCode、Aztec。第三種郵政碼。通過對(duì)長(zhǎng)度不同的條進(jìn)行編碼，主要應(yīng)用在郵件中，典型的有：POSTNET。

二維碼有著更多特點(diǎn)。之所以應(yīng)用廣泛，相比一維碼有著更安全可靠、存儲(chǔ)信息量大和成本低的優(yōu)點(diǎn)。由于采用可靠的加密技術(shù)，對(duì)可數(shù)字化信息：編號(hào)、照片、指紋、掌紋、虹膜等作為原始數(shù)據(jù)，使用先進(jìn)的數(shù)學(xué)和密碼學(xué)方法將這些原始數(shù)據(jù)進(jìn)行加密運(yùn)算，生成一組經(jīng)過加密后的二維碼數(shù)據(jù)。另一個(gè)特點(diǎn)是信息存儲(chǔ)量大，多達(dá)上千字節(jié)，在數(shù)據(jù)的釆集、存儲(chǔ)和傳遞等方面優(yōu)勢(shì)突出。二維碼在糾錯(cuò)能力上采用先進(jìn)算法，保障在部分二維碼遭到損毀的情況下，還原出全部的原始信息。另外制作PVC面的二維碼卡成本低，使用壽命長(zhǎng)達(dá)10年左右。一般包括二維碼圖像捕獲、識(shí)別、解碼基本功能，信息獲取是系統(tǒng)中的一個(gè)主要操作。

（2）二維碼中的惡意網(wǎng)站信息與跨站式攻擊

以上介紹了二維碼在信息傳遞方面的應(yīng)用，這些信息存在方式可以是URL（Uniform Resource Locator），統(tǒng)一資源定位符。在Internet上，每一個(gè)信息資源都有統(tǒng)一、唯一的地址，該地址就統(tǒng)一資源定位符，就是指網(wǎng)絡(luò)地址。URL由三部分組成：資源類型、存放資源的主機(jī)IP地址或者域名和資源文件名。URL常用格式：Protocol：//［username：password］@host［：port］/path/［？query］［#fragment］（方括號(hào)為可選項(xiàng)）。

通過構(gòu)造相似URL迷惑性用戶訪問釣魚網(wǎng)站，這些網(wǎng)站通過申請(qǐng)注冊(cè)相似域名，構(gòu)建相似度高的網(wǎng)站環(huán)境，通過合法用戶操作，盜取合法用戶賬號(hào)，發(fā)布虛假中獎(jiǎng)信息等，例如某合法網(wǎng)站的URL訪問為：http：// www.123.com/index.php，正常應(yīng)用二維碼存儲(chǔ)網(wǎng)站URL信息，方便手機(jī)用戶掃描獲取URL并訪問網(wǎng)站，由于此URL信息在二維碼外觀無法看出，不法分子利用這一缺陷，制作URL相似度高的二維碼，如http：//www. 123.com.cn/index.php具有很大的迷惑性，當(dāng)用戶看到其URL時(shí)，很容易誤以為是真的官網(wǎng)，當(dāng)合法用戶誤入假網(wǎng)站時(shí)，輸入合法用戶信息后，將盜取合法用戶信息，造成用戶損失，這種構(gòu)造與合法網(wǎng)站相似度很高的地址，是約魚攻擊者常用的手法之一。但是以上釣魚攻擊方式針對(duì)有一定安全意識(shí)的手機(jī)用戶來說，釣魚攻擊的實(shí)現(xiàn)有一定難度。然而通過XSS跨站腳本攻擊漏洞進(jìn)行的釣魚攻擊，即使有一定安全意識(shí)的用戶，缺乏有效防范的情況下，很難抵御。

跨站腳本攻擊（Cross Site Scripting）是指攻擊者利用網(wǎng)站程序?qū)τ脩糨斎肴狈ψ銐虻倪^濾時(shí)，輸入可以顯示在頁(yè)面上對(duì)其他用戶造成影響的HTML代碼，從而盜取用戶資料、利用用戶身份進(jìn)行某種動(dòng)作或者對(duì)訪問者進(jìn)行病毒侵害的一種攻擊方式。為了與層疊樣式表（Cascading Style Sheets）的縮寫CSS區(qū)分開，跨站腳本攻擊通常簡(jiǎn)寫為XSS。

反射型XSS腳本攻擊即如上面所提到的XSS跨站腳本攻擊方式，該類型只是簡(jiǎn)單地將用戶輸入的數(shù)據(jù)直接或未經(jīng)過完善的安全過濾就在瀏覽器中進(jìn)行輸出，導(dǎo)致輸出的數(shù)據(jù)中存在可被瀏覽器執(zhí)行的代碼數(shù)據(jù)。由于此種類型的跨站代碼存在于URL中，所以黑客通常需要通過誘騙或加密變形等方式，將存在惡意代碼的鏈接制作二維碼發(fā)給用戶，當(dāng)手機(jī)用戶掃描含這樣的二維碼后自動(dòng)打開瀏覽器訪問并執(zhí)行腳本，當(dāng)用戶使用合法身份訪問時(shí)，自己信息將上傳給黑客，導(dǎo)致用戶信息泄露，威脅用戶財(cái)產(chǎn)和信息安全。

這里利用DVWA漏洞站點(diǎn)測(cè)試的反射型XSS跨站腳本攻擊，頁(yè)面代碼如下：

在文本框中任意輸入一個(gè)用戶名，提交之后就會(huì)在頁(yè)面上顯示。從URL中可以看出，用戶名是通過name參數(shù)以GET方式提交的。

http：//192.168.1.110/dvwa/vulnerabilities/xss_r/

圖1　dvwa系統(tǒng)下XXS界面

網(wǎng)頁(yè)代碼，可以看到這里對(duì)用于接收用戶數(shù)據(jù)的name參數(shù)沒有進(jìn)行任何過濾，就直接在網(wǎng)頁(yè)中輸出，因而造成了XSS漏洞?？梢詼y(cè)試執(zhí)行輸入一段語句來彈出cookie：“alert（document.cookie）”

輸入：＜script＞alert（document.cookie）＜/script＞

根據(jù)URL編碼，編碼規(guī)則%3C表示“＜”；%3E表示“＞”；%28表示“（”；%29表示“）”構(gòu)造含有跨站攻擊的URL：

http：//192.168.1.110/dvwa/vulnerabilities/xss_r/？name=% 3Cscript%3Ealert%28document.cookie%29%3C%2Fscript%3E#

圖2　執(zhí)行跨站攻擊代碼后返回的cookie值

獲取到合法用戶cookie值，該信息再通過手機(jī)發(fā)送到黑客，導(dǎo)致用戶信息泄露，威脅用戶財(cái)產(chǎn)和信息安全。

2　二維碼安全檢測(cè)系統(tǒng)設(shè)計(jì)

Android平臺(tái)惡意二維碼檢測(cè)系統(tǒng)的設(shè)計(jì)采用C/S架構(gòu)，C為Android手機(jī)客戶端，S為網(wǎng)絡(luò)主機(jī)服務(wù)端。本系統(tǒng)框架分為三個(gè)部分二維碼的生成、二維碼的識(shí)別、安全檢測(cè)。二維碼的生成部分，是將字符串裝換成圖片。識(shí)別正好與其相反。安全檢測(cè)，主要是將識(shí)別解析后的到的信息發(fā)送到服務(wù)器進(jìn)行判斷返回到客戶端并將返回的信息顯示出來，從而判斷此二維碼是否安全。下圖3展示了Android平臺(tái)惡意二維碼安全檢測(cè)系統(tǒng)的應(yīng)用場(chǎng)景。

（1）二維碼安全檢測(cè)設(shè)計(jì)。因?yàn)槎S碼安全檢測(cè)，是將識(shí)別二維碼后得到的數(shù)據(jù)進(jìn)行驗(yàn)證的，所以想要完成這一步需要，先完成二維碼識(shí)別操作。識(shí)別完成后系統(tǒng)會(huì)將二維碼解析出的字符串放到下一個(gè)頁(yè)面來顯示，此時(shí)二維碼還可以提供編輯。在提交安全檢測(cè)時(shí)，客戶端會(huì)將數(shù)據(jù)用post方法通過服務(wù)器地址發(fā)送到服務(wù)器，服務(wù)器通過服務(wù)器地址接收數(shù)據(jù)，數(shù)據(jù)通過服務(wù)器的httpservlet對(duì)象交給服務(wù)器端進(jìn)行特征庫(kù)數(shù)據(jù)匹配處理，將處理完的結(jié)果發(fā)回客戶端進(jìn)行顯示。沒有攻擊特征腳本符號(hào)，二維碼為安全。檢測(cè)出特征符信息為不安全，二維碼可能帶有攻擊。最后服務(wù)器向客戶端發(fā)送消息說明，二維碼是否存在安全問題。

圖3　Android平臺(tái)惡意二維碼安全檢測(cè)系統(tǒng)的應(yīng)用場(chǎng)景

圖4　安全驗(yàn)證設(shè)計(jì)圖

（2）編碼與實(shí)現(xiàn)：客戶端與服務(wù)器交互。

客戶端向服務(wù)器端傳輸數(shù)據(jù)和接收消息代碼如下：

3　檢測(cè)結(jié)果與分析

（1）在Android模擬器端的運(yùn)行。在模擬器上運(yùn)行只需要，只需要點(diǎn)中項(xiàng)目右鍵run as，模擬器就會(huì)自動(dòng)啟動(dòng)。再點(diǎn)擊一邊開始安裝此程序。啟動(dòng)完成后，模擬器的演示如下圖：

圖5　Android模擬器的效果圖

（2）系統(tǒng)的安全檢測(cè)演示與運(yùn)行

將解析后的數(shù)據(jù)顯示在文本框里，然后點(diǎn)擊安全檢測(cè)按鈕，就會(huì)彈出一個(gè)窗口，顯示此二維碼是否安全。

圖6　安全檢測(cè)效果圖

4　結(jié)語

對(duì)于二維碼信息存儲(chǔ)的特點(diǎn)以及在Android手機(jī)中信息傳遞的過程，存在惡意攻擊信息并對(duì)應(yīng)用構(gòu)成威脅，基于二維碼的生成、二維碼的識(shí)別和安全檢測(cè)功能需求，通過分析反射型跨站腳本攻擊的原理，在手機(jī)移動(dòng)端的獨(dú)自處理安全檢測(cè)有困難情況下，提出C/S結(jié)構(gòu)解決方案，實(shí)現(xiàn)手機(jī)客戶端掃描二維碼，應(yīng)用網(wǎng)絡(luò)傳輸數(shù)據(jù)，在服務(wù)器端接收并安全檢測(cè)的方法，開發(fā)了對(duì)隱藏在二維碼中惡意攻擊信息的檢測(cè)系統(tǒng)，有效解決了Android手機(jī)掃描二維碼時(shí)遭受到的反射型跨站攻擊問題。

［1］徐國(guó)輝，陳婕嫻.手機(jī)二維碼技術(shù)原理及應(yīng)用［J］.信息與電腦，2013，1（1）：18-19.

［2］Rick Rogers著，李耀亮譯.Android應(yīng)用開發(fā)［M］.人民郵電出版社2010年9月1日出版

［3］趙剛.基于決策樹的二維碼惡意網(wǎng)址檢測(cè)方法［J］.信息安全技術(shù)，2014

Android Application System；Two-Dimensional Code；XSS Attacks；Detection

Design of XSS Attack Detection System in Two-Dimensional Code

MO Yong-hua，YU Bing-bing
（Institute of Information&Technology，Guilin University of Electronic Technology，Guilin 541004）

1007-1423（2016）24-0070-05DOI：10.3969/j.issn.1007-1423.2016.24.016

莫永華（1978-），男，廣西桂林人，研究生，講師，研究方向?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)、網(wǎng)絡(luò)安全技術(shù)

2016-05-27

2016-08-15

二維碼傳遞信息的應(yīng)用越來越廣，隱含惡意攻擊的二維碼也隨之出現(xiàn)，對(duì)智能手機(jī)掃描二維碼就帶來安全威脅。針對(duì)存儲(chǔ)在二維碼中的反射型跨站腳本攻擊的問題，基于Android平臺(tái)手機(jī)設(shè)計(jì)一個(gè)檢測(cè)惡意攻擊的系統(tǒng)，保障用戶掃碼安全。先通過DVWA漏洞系統(tǒng)分析反射型跨站腳本攻擊，應(yīng)用特征腳本標(biāo)簽檢測(cè)的方法，然后采用C/S結(jié)構(gòu)，設(shè)計(jì)二維碼的生成、識(shí)別及安全檢測(cè)功能，最后搭建測(cè)試環(huán)境，通過對(duì)隱藏攻擊的二維碼安全測(cè)試，系統(tǒng)可以有效防御。

Android系統(tǒng)；二維碼；跨站腳本攻擊；檢測(cè)

于冰冰（1994-），男，江西南昌人，本科，學(xué)生，研究方向?yàn)橛?jì)算機(jī)應(yīng)用

The application of two-dimensional code in mobile phone is more and more widely，two-dimensional code information contains malicious code attacks，this will threaten mobile applications.Against the problems for storage in the two-dimensional code in reflection type cross site scripting attacks，designs an Android phone system to detect malicious attack，realizes the user scan code security.First，analyzes DVWA loopholes in the system of the reflection type cross site scripting attack and application feature script tag detection method，then，uses C/S structure design of two-dimensional code generation，recognition and security detection function，finally，by setting up the test environment，to hiding attack two-dimensional code security testing，system can defense effectively.