XSS攻击处理

最新推荐文章于 2024-03-06 17:36:04 发布
最新推荐文章于 2024-03-06 17:36:04 发布
阅读量823 收藏
点赞数
分类专栏: web安全 文章标签: 漏洞 安全 XSS web 攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xuzhelin/article/details/52671747
版权

1、什么是XSS攻击

   XSS又称为CSS(Cross SiteScript),跨站脚本攻击。其原理是攻击者向有XSS漏洞的网站中“嵌入”恶意的HTML代码,当其他用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如:盗取用户Cookie、重定向到其他网站等。

   理论上,所有可以输入的地方没有对输入数据进行处理的话,都会存在XSS漏洞。漏洞的厉害取决于攻击代码的能力。

 

2、XSS攻击常见危害

    (1)、网站钓鱼、网页挂马,包括盗取各类用户账号。

    (2)、获取用户Cookie资料,从而获取用户隐私信息。

    (3)、获取客户端信息,如用户的浏览历史、真实IP等。

    (4)、强制弹出广告页面等。

    (5)、进行大量的客户端攻击,如DDoS攻击。

       。。。。。。

 

3、XSS攻击防范方案

 (1)相对完整的输入过滤体系。

    凡是有输入的地方,必须得对非法字符做过滤处理。

      过滤”<”和”>”等标记,如果HTML内容中有针对某些不能严格过滤的字符,则要对这些标签进行转义处理。(如将”<”转义为”<”)

      过滤特殊字符:&、回车和空格等。


      关于常用的一些字符串过滤方案,我们可以写一个常用的过滤器(filter)去执行。这里有一篇相关博文可以借鉴。http://blog.csdn.net/catoop/article/details/50338259

 

  (2)web表单做各类输入校验

       表单中的各项输入分别在客户端和服务器端做相关正则表达式的校验,避免非法字符的输入。

 

  (3)输出检查

     除了(1)和(2)中的常见输入检查以外,还需要对输出的变量进行编码处理(htmlencode)或者对一些输出内容进行转义操作(escape等)。还有对富文本的内容要进行严格输出,因为富文本中的插入图片或者代码的标签比较多,应该严格控制标签的输出。

 

jeffry_xu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java防止xss攻击附相关文件下载
08-25
首先说一下思路,防止这种类似于注入攻击,就是使用拦截器(Filter)处理特殊字符或过滤特殊字符 今天介绍一个方法,利用覆盖Servlet的getParameter方法达到处理特殊字符的目的来解决(防止)Xss攻击 web.xml,需要的朋友可以参考下
xss过滤总结
weixin_42109829的博客
12-04 2990
一。简述 一。简述 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序. 例如: 1.盗用cookie,获取敏感信息。 2.利用植入Flash,通过crossdomain权限设置进一步获取更高权限;或者利用Java等得到类似的操作。 3.利用iframe、frame、XMLHttpRequest或上述Flash等方式,以...
xss漏洞常见攻击方式
最新发布
qq_64020439的博客
03-06 911
xss属于被动式的攻击攻击者先构造一个钓鱼网站或者是跨站网站,一般是利用Javascript方式来进行的。当用户访问该网站时,如果用户已经在该网站登录后,那么攻击者就会获取到用户的cookie,从而使得攻击者可以伪造成该用户来访问网站。
XSS过滤速查表
Fizz`s Blog
11-12 2894
初见于Freebuf,放在这里收藏一下。 就是OWASP的速查表 不过是中文的 1.介绍 这篇文章的主要目的是给专业安全测试人员提供一份跨站脚本漏洞检测指南。文章的初始内容是由RSnake提供给 OWASP,内容基于他的XSS备忘录:http://ha.ckers.org/xss.html。目前这个网页已经重定向到OWASP网站,将由OWASP维护和完善它。OWASP
xss攻击
IABQL的博客
08-13 791
程序中如何实现,写一个过滤器,拦截所有获取的参数,将特殊字符转换一下。:使用 Js 脚本语言,因为浏覧器默认支持脚本语言执行,如果在表单提交的时候,提交一些脚本参数,可能浏览直接进行执行。userName参数后面带了一个脚本参数,它打开了另一个页面,这个页面是一个高仿页面,那么就可能盗取信息。比如在评论区中,如果没有做XSS防御处理,那么有人评论了一个带有javascript。像一些特殊字符,比如<、>如果不进行特殊字符处理的话,很就可能受到 XSS 攻击。脚本的评论,那么这个脚本会被浏览器解析执行。...
预防XSS攻击,(参数/响应值)特殊字符过滤
weixin_34200628的博客
12-17 1505
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phi...
xss过滤特殊字符
BusyMonkey
06-19 5960
xss过滤特殊字符
XSS过滤
bylfsj的博客
09-26 497
XSS Bypass: 脚本标签: <object data=”data:text/html,<script>alert(1)</script>”> <object data=” data:text/html;base64,Jmx0O3NjcmlwdCZndDthbGVydCgxKSZsdDsvc2NyaXB0Jmd0Ow==”> <a h...
1.java处理xss攻击 2.layer处理xss攻击
01-20
xss攻击处理的几种方式
php处理xss攻击过滤.rar
01-18
PHP开发时,在网页端容易发起的xss攻击,针对于这类攻击提供一个封装的helper类方法进行内容过滤,减少受到的xss攻击。包含示例和封装方法。
springboot2.x使用Jsoup防XSS攻击的实现
10-15
主要介绍了springboot2.x使用Jsoup防XSS攻击的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
XSS跨站脚本攻击
02-25
跨站脚本(crosssitescript)为了...XSS攻击的危害包括:1、盗取各类用户帐号,如机器登录帐号、用户网银帐号、各类管理员帐号2、控制企业数据,包括读取、篡改、添加、删除企业敏感数据的能力3、盗窃企业重要的具有商
防止XSS攻击封装
weixin_30682415的博客
08-12 372
<?php if (!function_exists('remove_xss')) { //使用htmlpurifier防范xss攻击 function remove_xss($string){ //composer安装的,不需要此步骤。相对index.php入口文件,引入HTMLPurifier.auto.php核心文件 // ...
xss攻击详解
剁椒鱼头没剁椒的博客
11-15 7422
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。
xss跨站脚本攻击
m0_67265464的博客
03-06 201
概述: 主要指攻击者可以再页面中插入恶意脚本代码,当受害者访问这些页面时,浏览器会解析并执行这些恶意代码,从而达到窃取用户身份、钓鱼、传播恶意代码和控制用户浏览器等行为 产生原因: 由于web程序对用户的输入过滤不足、,导致用户输入的恶意HTML/Javascript 代码注入到网页中,混淆原有语义,产生新的恶意语句。在其他用户访问网页时,浏览器就会触发恶意的网页代码,从而达到XSS攻击的目的 分类: 反射型:恶意代码并没有保存在目标网站,通过引诱用户点击一个链接到目标网站的恶意链接来实施攻击 输入: 输
XSS各种过滤手段,如何绕过写payload-学习笔记
ZhangAweio的博客
04-12 951
XSS全称是Cross Site Scripting即跨站脚本,当目标网站目标用户浏览器渲染HTML文档的过程中,出现了不被预期的脚本指令并执行时,意思就是说可以任意执行js代码,包括js的而已代码。
XSS漏洞
zjdda的博客
05-30 409
简单介绍XSS漏洞的原理、分类、危害以及防御
XSS攻击
nsxqf的博客
09-29 941
1.定义 XSS又叫CSS  (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的,比如关不完的网站、盗取用户的 cookie 信息从而伪装成用户去操作。 它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据...
cnn检测xss攻击
12-03
为了检测XSS攻击,CNN(卷积神经网络)可以被用于建立一个有效的模型。 CNN是一种专门用于处理图像识别和计算机视觉问题的深度学习模型。我们可以将网页内容视为一种图像,通过CNN来识别其中是否存在恶意脚本。首先...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值