莫永華，于冰冰

（桂林電子科技大學信息科技學院，桂林　541004）

二維碼中XSS攻擊檢測系統(tǒng)的設(shè)計

莫永華，于冰冰

（桂林電子科技大學信息科技學院，桂林541004）

0　引言

二維條碼也稱為二維碼 （Two-dimensional bar code）是在一維條碼基礎(chǔ)上，用特定的幾何圖形按一定規(guī)律在二維平面上通過分布的黑白相間的圖形以記錄信息，由于可存儲信息量大，在信息傳遞應(yīng)用越來越廣。伴隨智能手機普及，掃描二維碼傳遞信息的應(yīng)用越來越多。由于二維碼中的信息不能字符顯示，在信息中隱藏了用戶無法直接識別的威脅就成為可能。如惡意網(wǎng)站信息，在二維碼中隱藏惡意URL信息，誘發(fā)用戶訪問釣魚網(wǎng)站，這些網(wǎng)站通過申請注冊相似域名，構(gòu)建相似度高的網(wǎng)站環(huán)境，通過合法用戶操作，盜取合法用戶賬號，發(fā)布虛假中獎信息等，但是這種釣魚攻擊方式針對有一定安全意識的用戶來說，很難實現(xiàn)成功的釣魚攻擊。然而通過XSS跨站腳本攻擊漏洞進行的釣魚攻擊，即使有一定安全意識的用戶，缺乏有效防范的情況下，很難抵御。本文主要針對Android手機用戶通過二維碼掃碼來傳遞信息的應(yīng)用，設(shè)計檢測含有跨站攻擊的二維碼系統(tǒng)，應(yīng)用特征腳本標簽檢測的方法，實現(xiàn)二維碼安全檢測功能。

1　二維碼與跨站式攻擊研究分析

（1）認識二維碼

二維碼有三種類型。根據(jù)不同需求常用的有：線性堆疊式二維碼、矩陣式二維碼和郵政碼。它們的編碼原理也不相同。第一種線性堆疊式二維碼，又稱為行排式二維碼，它是在一維碼的基礎(chǔ)上實現(xiàn)編碼，因此在設(shè)計碼制、識別和校驗有著一維碼的特點。它的原理是將多個一維碼按照縱向方向堆疊起來，由于行數(shù)的增加改變了原來的結(jié)構(gòu)，因此在譯碼算法等方面與一維碼不相同。典型的有：PDF417、Codel6K。第二種矩陣式二維碼，呈現(xiàn)出矩陣的形式是一種新型圖形符號，也是現(xiàn)在應(yīng)用最廣泛的。數(shù)據(jù)表示在矩陣相應(yīng)元素位置上黑色的“點”表示二進制“1”，白色表示二進制“0”，典型的矩陣式二維碼有QRCode、Aztec。第三種郵政碼。通過對長度不同的條進行編碼，主要應(yīng)用在郵件中，典型的有：POSTNET。

二維碼有著更多特點。之所以應(yīng)用廣泛，相比一維碼有著更安全可靠、存儲信息量大和成本低的優(yōu)點。由于采用可靠的加密技術(shù)，對可數(shù)字化信息：編號、照片、指紋、掌紋、虹膜等作為原始數(shù)據(jù)，使用先進的數(shù)學和密碼學方法將這些原始數(shù)據(jù)進行加密運算，生成一組經(jīng)過加密后的二維碼數(shù)據(jù)。另一個特點是信息存儲量大，多達上千字節(jié)，在數(shù)據(jù)的釆集、存儲和傳遞等方面優(yōu)勢突出。二維碼在糾錯能力上采用先進算法，保障在部分二維碼遭到損毀的情況下，還原出全部的原始信息。另外制作PVC面的二維碼卡成本低，使用壽命長達10年左右。一般包括二維碼圖像捕獲、識別、解碼基本功能，信息獲取是系統(tǒng)中的一個主要操作。

（2）二維碼中的惡意網(wǎng)站信息與跨站式攻擊

以上介紹了二維碼在信息傳遞方面的應(yīng)用，這些信息存在方式可以是URL（Uniform Resource Locator），統(tǒng)一資源定位符。在Internet上，每一個信息資源都有統(tǒng)一、唯一的地址，該地址就統(tǒng)一資源定位符，就是指網(wǎng)絡(luò)地址。URL由三部分組成：資源類型、存放資源的主機IP地址或者域名和資源文件名。URL常用格式：Protocol：//［username：password］@host［：port］/path/［？query］［#fragment］（方括號為可選項）。

通過構(gòu)造相似URL迷惑性用戶訪問釣魚網(wǎng)站，這些網(wǎng)站通過申請注冊相似域名，構(gòu)建相似度高的網(wǎng)站環(huán)境，通過合法用戶操作，盜取合法用戶賬號，發(fā)布虛假中獎信息等，例如某合法網(wǎng)站的URL訪問為：http：// www.123.com/index.php，正常應(yīng)用二維碼存儲網(wǎng)站URL信息，方便手機用戶掃描獲取URL并訪問網(wǎng)站，由于此URL信息在二維碼外觀無法看出，不法分子利用這一缺陷，制作URL相似度高的二維碼，如http：//www. 123.com.cn/index.php具有很大的迷惑性，當用戶看到其URL時，很容易誤以為是真的官網(wǎng)，當合法用戶誤入假網(wǎng)站時，輸入合法用戶信息后，將盜取合法用戶信息，造成用戶損失，這種構(gòu)造與合法網(wǎng)站相似度很高的地址，是約魚攻擊者常用的手法之一。但是以上釣魚攻擊方式針對有一定安全意識的手機用戶來說，釣魚攻擊的實現(xiàn)有一定難度。然而通過XSS跨站腳本攻擊漏洞進行的釣魚攻擊，即使有一定安全意識的用戶，缺乏有效防范的情況下，很難抵御。

跨站腳本攻擊（Cross Site Scripting）是指攻擊者利用網(wǎng)站程序?qū)τ脩糨斎肴狈ψ銐虻倪^濾時，輸入可以顯示在頁面上對其他用戶造成影響的HTML代碼，從而盜取用戶資料、利用用戶身份進行某種動作或者對訪問者進行病毒侵害的一種攻擊方式。為了與層疊樣式表（Cascading Style Sheets）的縮寫CSS區(qū)分開，跨站腳本攻擊通常簡寫為XSS。

反射型XSS腳本攻擊即如上面所提到的XSS跨站腳本攻擊方式，該類型只是簡單地將用戶輸入的數(shù)據(jù)直接或未經(jīng)過完善的安全過濾就在瀏覽器中進行輸出，導(dǎo)致輸出的數(shù)據(jù)中存在可被瀏覽器執(zhí)行的代碼數(shù)據(jù)。由于此種類型的跨站代碼存在于URL中，所以黑客通常需要通過誘騙或加密變形等方式，將存在惡意代碼的鏈接制作二維碼發(fā)給用戶，當手機用戶掃描含這樣的二維碼后自動打開瀏覽器訪問并執(zhí)行腳本，當用戶使用合法身份訪問時，自己信息將上傳給黑客，導(dǎo)致用戶信息泄露，威脅用戶財產(chǎn)和信息安全。

這里利用DVWA漏洞站點測試的反射型XSS跨站腳本攻擊，頁面代碼如下：

在文本框中任意輸入一個用戶名，提交之后就會在頁面上顯示。從URL中可以看出，用戶名是通過name參數(shù)以GET方式提交的。

http：//192.168.1.110/dvwa/vulnerabilities/xss_r/

圖1　dvwa系統(tǒng)下XXS界面

網(wǎng)頁代碼，可以看到這里對用于接收用戶數(shù)據(jù)的name參數(shù)沒有進行任何過濾，就直接在網(wǎng)頁中輸出，因而造成了XSS漏洞?？梢詼y試執(zhí)行輸入一段語句來彈出cookie：“alert（document.cookie）”

輸入：＜script＞alert（document.cookie）＜/script＞

根據(jù)URL編碼，編碼規(guī)則%3C表示“＜”；%3E表示“＞”；%28表示“（”；%29表示“）”構(gòu)造含有跨站攻擊的URL：

http：//192.168.1.110/dvwa/vulnerabilities/xss_r/？name=% 3Cscript%3Ealert%28document.cookie%29%3C%2Fscript%3E#

圖2　執(zhí)行跨站攻擊代碼后返回的cookie值

獲取到合法用戶cookie值，該信息再通過手機發(fā)送到黑客，導(dǎo)致用戶信息泄露，威脅用戶財產(chǎn)和信息安全。

2　二維碼安全檢測系統(tǒng)設(shè)計

Android平臺惡意二維碼檢測系統(tǒng)的設(shè)計采用C/S架構(gòu)，C為Android手機客戶端，S為網(wǎng)絡(luò)主機服務(wù)端。本系統(tǒng)框架分為三個部分二維碼的生成、二維碼的識別、安全檢測。二維碼的生成部分，是將字符串裝換成圖片。識別正好與其相反。安全檢測，主要是將識別解析后的到的信息發(fā)送到服務(wù)器進行判斷返回到客戶端并將返回的信息顯示出來，從而判斷此二維碼是否安全。下圖3展示了Android平臺惡意二維碼安全檢測系統(tǒng)的應(yīng)用場景。

（1）二維碼安全檢測設(shè)計。因為二維碼安全檢測，是將識別二維碼后得到的數(shù)據(jù)進行驗證的，所以想要完成這一步需要，先完成二維碼識別操作。識別完成后系統(tǒng)會將二維碼解析出的字符串放到下一個頁面來顯示，此時二維碼還可以提供編輯。在提交安全檢測時，客戶端會將數(shù)據(jù)用post方法通過服務(wù)器地址發(fā)送到服務(wù)器，服務(wù)器通過服務(wù)器地址接收數(shù)據(jù)，數(shù)據(jù)通過服務(wù)器的httpservlet對象交給服務(wù)器端進行特征庫數(shù)據(jù)匹配處理，將處理完的結(jié)果發(fā)回客戶端進行顯示。沒有攻擊特征腳本符號，二維碼為安全。檢測出特征符信息為不安全，二維碼可能帶有攻擊。最后服務(wù)器向客戶端發(fā)送消息說明，二維碼是否存在安全問題。

圖3　Android平臺惡意二維碼安全檢測系統(tǒng)的應(yīng)用場景

圖4　安全驗證設(shè)計圖

（2）編碼與實現(xiàn)：客戶端與服務(wù)器交互。

客戶端向服務(wù)器端傳輸數(shù)據(jù)和接收消息代碼如下：

3　檢測結(jié)果與分析

（1）在Android模擬器端的運行。在模擬器上運行只需要，只需要點中項目右鍵run as，模擬器就會自動啟動。再點擊一邊開始安裝此程序。啟動完成后，模擬器的演示如下圖：

圖5　Android模擬器的效果圖

（2）系統(tǒng)的安全檢測演示與運行

將解析后的數(shù)據(jù)顯示在文本框里，然后點擊安全檢測按鈕，就會彈出一個窗口，顯示此二維碼是否安全。

圖6　安全檢測效果圖

4　結(jié)語

對于二維碼信息存儲的特點以及在Android手機中信息傳遞的過程，存在惡意攻擊信息并對應(yīng)用構(gòu)成威脅，基于二維碼的生成、二維碼的識別和安全檢測功能需求，通過分析反射型跨站腳本攻擊的原理，在手機移動端的獨自處理安全檢測有困難情況下，提出C/S結(jié)構(gòu)解決方案，實現(xiàn)手機客戶端掃描二維碼，應(yīng)用網(wǎng)絡(luò)傳輸數(shù)據(jù)，在服務(wù)器端接收并安全檢測的方法，開發(fā)了對隱藏在二維碼中惡意攻擊信息的檢測系統(tǒng)，有效解決了Android手機掃描二維碼時遭受到的反射型跨站攻擊問題。

［1］徐國輝，陳婕嫻.手機二維碼技術(shù)原理及應(yīng)用［J］.信息與電腦，2013，1（1）：18-19.

［2］Rick Rogers著，李耀亮譯.Android應(yīng)用開發(fā)［M］.人民郵電出版社2010年9月1日出版

［3］趙剛.基于決策樹的二維碼惡意網(wǎng)址檢測方法［J］.信息安全技術(shù)，2014

Android Application System；Two-Dimensional Code；XSS Attacks；Detection

Design of XSS Attack Detection System in Two-Dimensional Code

MO Yong-hua，YU Bing-bing
（Institute of Information&Technology，Guilin University of Electronic Technology，Guilin 541004）

1007-1423（2016）24-0070-05DOI：10.3969/j.issn.1007-1423.2016.24.016

莫永華（1978-），男，廣西桂林人，研究生，講師，研究方向為計算機網(wǎng)絡(luò)、網(wǎng)絡(luò)安全技術(shù)

2016-05-27

2016-08-15

二維碼傳遞信息的應(yīng)用越來越廣，隱含惡意攻擊的二維碼也隨之出現(xiàn)，對智能手機掃描二維碼就帶來安全威脅。針對存儲在二維碼中的反射型跨站腳本攻擊的問題，基于Android平臺手機設(shè)計一個檢測惡意攻擊的系統(tǒng)，保障用戶掃碼安全。先通過DVWA漏洞系統(tǒng)分析反射型跨站腳本攻擊，應(yīng)用特征腳本標簽檢測的方法，然后采用C/S結(jié)構(gòu)，設(shè)計二維碼的生成、識別及安全檢測功能，最后搭建測試環(huán)境，通過對隱藏攻擊的二維碼安全測試，系統(tǒng)可以有效防御。

Android系統(tǒng)；二維碼；跨站腳本攻擊；檢測

于冰冰（1994-），男，江西南昌人，本科，學生，研究方向為計算機應(yīng)用

The application of two-dimensional code in mobile phone is more and more widely，two-dimensional code information contains malicious code attacks，this will threaten mobile applications.Against the problems for storage in the two-dimensional code in reflection type cross site scripting attacks，designs an Android phone system to detect malicious attack，realizes the user scan code security.First，analyzes DVWA loopholes in the system of the reflection type cross site scripting attack and application feature script tag detection method，then，uses C/S structure design of two-dimensional code generation，recognition and security detection function，finally，by setting up the test environment，to hiding attack two-dimensional code security testing，system can defense effectively.