跨站腳本攻擊(XSS):過濾不完的惡夢,又有新攻擊語法!

转载 2012年01月04日 09:55:34
 

跨站腳本攻擊(Cross Site Scripting,簡稱 XSS,亦翻為跨網站的入侵字串)又有新的攻擊語法!此次觸發惡意腳本不需要用到 script 標籤(譬如 <script>alert(1)</script>),也不用 javascript 協定(譬如 javascript:alert(1)),而是 8 月 26 日所揭露的

<isindex type=image src=1 onerror=alert(1)>

<isindex>是一個很早就有但普遍少用的標籤,其功能與<form>、<input>、<textarea>,以及<select>類似,都可供使用者輸入資料。onerror 屬性也是鮮為人知。
各家瀏覽器在實現 HTML 的支援度不盡相同,各國語系又對編碼有所差異,這些都使得跨站腳本攻擊(XSS)的攻擊語法千變萬化,也讓駭客更能規避掉不少治標的防護機制,像是 WAF 解決方案,畢竟新的攻擊手法就要新的規則(好加在我們家的 WAF 可以幫你生規則,請參考你期望的 WAF 是? XD),源碼檢測才是治本的作法阿,從 Web 應用程式端利用編碼、過濾等方式讓這些奇奇怪怪的攻擊語法全部繳械!(請參考談源碼檢測: CodeSecure的架構與技術

我們在各個常見瀏覽器平台(Microsoft Internet ExplorerMozilla FirefoxOpera,以及Google Chrome)的測試結果是,這個跨站腳本攻擊(XSS)新攻擊語法僅適用於 IE 系列的瀏覽器(含最新的 IE8)。註:我們在下列示範中所採用的 alert(1) 字串可換成各種惡意腳本,而並非跨站腳本攻擊(XSS)只能做到跳出一個視窗打招呼。

<isindex type=image src=1 onerror=alert(1)>攻擊語法

稍加調整甚至不需要定義 src 屬性也可成功:
<isindex type=image onerror=alert(1) src=>攻擊語法

跨站腳本攻擊(XSS)不虧是名列最新 OWASP Top 20072007年 OWASP 十大 Web 資安漏洞)的榜首,「簡單好用、防不勝防」!

簡單來說,跨站腳本攻擊(XSS)的基本精神就是駭客在 HTML 文件中安插網頁腳本語言(譬如 JavaScript 或 VBScript),讓受駭方的瀏覽器在瀏覽網頁時進而去執行。這延伸兩個討論議題:
1. 為何駭客能夠在 HTML 文件中安插這些腳本?
在 Web 2.0 的時代,大部分的網頁或多或少都需要產生動態內容,都需要與使用者互動,一旦使用者所提供的資料(譬如惡意腳本字串)有機會成為動態輸出的 HTML 內容的一部份時,這樣惡意腳本就被成功地安插進原本合法無惡意的 HTML 文件了。這也是為何許多客戶最後選擇從源碼檢測著手,揪出這些進入點與輸出點,治本地解決跨站腳本攻擊(XSS)。

2. 為何瀏覽器會去執行這些腳本?
瀏覽器只是如實地遵循 W3C (World Wide Web Consortium) 所制定的 HTML 標準(目前最新版本為 HTML 4.01),正確地支援各語法標籤應表現的樣式與行為,因此當應該執行腳本時,就會執行這些腳本,儘管他們可能是惡意的,包括偷取 Cookie、置換網頁、轉址、攻擊其他網站等。

Spring MVC防御CSRF、XSS和SQL注入攻击 - Mainz - 博客园

Spring MVC防御CSRF、XSS和SQL注入攻击 - Mainz - 博客园 本文说一下SpringMVC如何防御CSRF(Cross-site request forgery跨站请求伪...
  • wscrf
  • wscrf
  • 2017年05月23日 10:37
  • 867

SYN Flood 攻擊的基本原理及防禦

SYN Flood 攻擊的基本原理及防禦 第一部分 SYN Flood的基本原理 SYN Flood是當前最流行的DoS(拒絕服務攻擊)與DDoS(分散式拒絕服務攻擊)的方式之 一,這是一種利用TC...
  • Efren_Yang
  • Efren_Yang
  • 2015年12月11日 14:31
  • 248

浅谈Web安全-XSS攻击

跨站脚本(Cross-site scripting,通常简称为XSS)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通...
  • ClaireKe
  • ClaireKe
  • 2016年04月24日 17:25
  • 1784

.htaccess实际运用案例之过滤URL特殊字符,防止XSS攻击

验证过的,但还有一些用escape编码过的url参数不能有效过滤
  • gongpeng1966
  • gongpeng1966
  • 2016年04月12日 13:42
  • 2265

XSS跨站脚本攻击过程最简单演示

实例演示XSS的攻击全过程。
  • smstong
  • smstong
  • 2015年02月06日 13:20
  • 55206

跨站脚本攻击(XSS)几种解决方案浅析

一、概述        Cross-site scripting(CSS or XSS)跨站脚本不像其他攻击只包含两个部分:攻击者和web站点,跨站脚本包含三个部分:攻击者,客户和web站点。跨站脚本...
  • zmx729618
  • zmx729618
  • 2016年08月04日 17:38
  • 6296

XSS跨站脚本攻击原理及防护方法

概念:     XSS(Cross Site Script)跨站脚本攻击。它指的是恶意攻击者往Web 页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web 里面的html 代码会被执行,...
  • lovechuanyu
  • lovechuanyu
  • 2014年10月28日 14:16
  • 4415

XSS跨站脚本攻击过程的讲解

跨站脚本攻击(也称为XSS)指利用网站漏洞从用户那里恶意盗取信息。以下为能够演示器原理的完整样例:1.角色分配有XSS漏洞的网站 受害访问者。也就是浏览器 黑客的数据接受网站2.源码实例2.1漏洞...
  • whucaodi
  • whucaodi
  • 2015年12月17日 20:17
  • 1506

XSS跨站脚本漏洞修复建议- 如何防御CSS CrossSiteScript 跨站脚本攻击

XSS跨站脚本漏洞修复建议- 如何防御CSS CrossSiteScript 跨站脚本攻击 小心XSS跨站脚本漏洞 Web的安全问题越来越严重,漏洞总是在不停的出现,而我们以前一直在做的都是打...
  • yucaifu1989
  • yucaifu1989
  • 2017年03月14日 15:14
  • 1947

XSS跨站脚本攻击剖析与防御

《XSS跨站脚本攻击剖析与防御 》读后想法         这几天是把《XSS跨站脚本攻击剖析与防御 》这本书给看完了,有一些想法想分享一下,纯属个人意见,不喜勿喷!         对于...
  • qq_30135181
  • qq_30135181
  • 2015年10月08日 21:12
  • 2069
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:跨站腳本攻擊(XSS):過濾不完的惡夢,又有新攻擊語法!
举报原因:
原因补充:

(最多只允许输入30个字)