基础XSS攻击应对

最新推荐文章于 2024-07-31 15:36:49 发布
最新推荐文章于 2024-07-31 15:36:49 发布
阅读量402 收藏 1
点赞数
分类专栏: 基础知识学习笔记 文章标签: web 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Lance_Lewu/article/details/107749975
版权

基础XSS应对方法 - 笔记

XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。
这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。

0 不要信任前端

用户可能在前端输入任何内容,不一定谁在什么时间就构造一个恶意串搞搞你。尽可能的不要信任 前端过来的数据,除非你非常知道这玩意儿不会造成伤害。

1 打开浏览器的XSS防护

能打开就打开吧,从 浏览器端 防止部分 反射型XSS 攻击。

2 配置CSP条款

内容安全策略(CSP,Content-Security-Policy),被誉为 防范XSS攻击的大杀器。通过在Meta头或其他位置配置的CSP条款,可以有效的阻止XSS脚本的运行。

如果你是小型站点或者在筹备开发的新站点,强烈建议配置CSP。一来可以防范XSS攻击,二来可以规范代码,一举两得。

如果你是已经上线的项目或者错综复杂的大项目,不太方便开启CSP,那么可以利用其中的 仅发送违规报告 的方式来查看配置好的CSP条款对你的项目运行有什么影响。在这个模式下,你一样可以配置CSP条款并应用到站点,但是条款不会被执行。仅仅是记录违规报告并发送到你指定的地址。你可以利用该方法检查配置条款对站点的影响,在不影响功能的前提下应开尽开。

如果受影响的功能可以用较小的 Effort 修好,那还是修好它然后打开 CSP 吧。

3 使用HttpUtility.HtmlEncode(str)编码字符串(C#)

HttpUtility.HtmlEncode(str)会将需要显示在页面上的文字进行转义,虽然你在页面上看到的是原样的字符串,HTML代码里也是原样的字符串。但是他们确实已经被转义过了。

我们可以认为经过转义的字符串是安全的。虽然其中可能包含攻击脚本,但已经不会被执行。

请注意:

  • 该方法不适用与 数据中必须包含HTML标签 的情况。如果你以来HTML标签来实现某些样式,请不要使用该方法。例如富文本编辑器。
  • 如果用户不会将字符串存回数据库,只是从数据库里提出来并显示,那无所谓。如果用户还需要编辑该字段并存回数据库。在存回数据库之前记得用 HTTPUtility.HtmlDecode(str) 解码。否则会出现递归编码,字符串将被破坏。

4 借助HtmlSanitizer或Jsxss来剔除或转义标签

HtmlSanitizer和Jsxss是非常棒的两个工具,你可以自定义规则,再由他们根据你定义的规则去剔除或转义标签。

HtmlSanitizer会直接干掉被你列入黑名单的标签。

Jsxss会对你认为有风险的标签进行转义。包含在其中的脚本不会被执行,而会被原样显示在页面上。这一点和HtmlEncode很像。

5 限制字符串长度

总有奇技淫巧可以绕过你的防范。比如 JsFuck。它通过六种字符就可以构造一个攻击脚本。这六种字符恰恰是比较常见常用的。或者用ASCII码转八进制,所有JS代码都可以被写成这种形式。怎么防范呢?

好在这两种方法重写的脚本都不会很短,尤其是JsFuck,alert(1)经过它的重写,长度居然达到了惊人的1227个字符。好在正儿八经的输入都不会这么长。限制一下可输入的字符串长度,截断它,就能解除一部分威胁。

6 剔除特征文本

上一节说到的JsFuck,他实在是太有特征了,你甚至可以在它的页面上找到组成它的基本串(写这玩意儿的大哥编译原理真的学的很好了)。

写个正则,匹配到这些基本串就移除。干掉了特征文本,也可以解除一部分威胁。

当然还有其他特征文本。找到,用正则一并收拾了。反正会给系统里写这玩意儿的也不是什么好鸟。

7 替换/转义特殊字符

这是第三节的补充,可能HTMLEncode的功能并不能满足你的要求,那就在它的基础上再写一点替换或转义的规则吧。

别光顾着写替换的规则,还要写怎么换回来。你肯定不希望到时候你的数据库里充斥着各种替换或转义来的乱码吧。

8 参考文档

浏览器XSS防护:https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Headers/X-XSS-Protection

内容安全策略:https://developer.mozilla.org/zh-CN/docs/Web/HTTP/CSP

HtmlDecode:https://docs.microsoft.com/zh-cn/dotnet/api/system.net.webutility.htmldecode?view=netcore-3.1

HtmlEncode:https://docs.microsoft.com/zh-cn/dotnet/api/system.net.webutility.htmlencode?view=netcore-3.1

HtmlSanitizer:https://github.com/mganss/HtmlSanitizer

JsXss:https://jsxss.com/zh/index.html

JsFuck:http://www.jsfuck.com/

写在后面

新手上路,经验不足。学习了新知识,在这里做做笔记。如果有不足的地方,还望大佬们不吝赐教。感谢。

Lance_Lewu
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XSS攻击理论基础
caoxinjian423的博客
09-02 233
1、XSS简介 XSS(Cross Site Scripting)攻击全称跨站脚本攻击,为了不与CSS(Cascading Style Sheets)混淆,故将跨站脚本攻击缩写为XSSXSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 通俗的来说就是我们的页面在加载并且渲染绘制的过程中,如果加载并执行了意料之外的程序或代码(脚本、样式),就可以认为是受到了 XSS攻击。通常黑客通过“HTML注入”篡改了网页,插入恶意脚本,从而在用户浏览网页时
xss植入_xss攻击入门
weixin_39725118的博客
12-21 246
XSS:Cross Site Scripting(跨站脚本攻击),通过插入恶意脚本,实现对用户游览器的控制。(XSS攻击)与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的。xss攻击可以分成两种类型:非持久型攻击持久型攻击1.非持久型xss攻击非持久型xss攻击是一次性的,仅对当次的页面访问产生影响。非持久型xss攻击要求用户访问一个被攻击者篡改后...
手摸手带你进行XSS攻击与防御
最新发布
公众号:该用户快成仙了
07-31 976
简单来说,通过设置CSP来控制浏览器加载页面时允许执行的资源来源,这样来减少XSS攻击
xss攻击如何防范详解
寂寥人生
07-09 246
xss攻击根本原因 其实就是输入内容和主要的script标签发生了混淆。 产生的主要影响 最简单的就是给你来一个alert("xx"),这样使得你页面只要有展示被xss攻击的字段内容的都会弹框,其次,高级点的它可以发送ajax到它自己服务器上,比如可以通过js获取你的cookie信息等。 解决思路 转化 就是入库前接收参数时把<>这种东西转成字符实体&gt&lt这种类型,这样浏览器就会把&gt&lt这种字符实体显示成<>,不会当作是html标签来进行解
XSS跨站脚本攻击(基础
HurryPotter
07-24 481
跨站脚本攻击xss: 介绍:由于Web应用程序对用户的输入过滤不足而产生的。攻击者利用网站漏洞把恶意的脚本代码(通常包括HTML代码和客户端JavaScript脚本)注入到网页之中,当其他用户浏览这些网页时,就会执行其中的恶意代码,对受害用户可能采取Cookie资料窃取、会话劫持、钓鱼欺骗等各种攻击。 XSS跨站脚本攻击本身对Web服务器没有直接危害,它借助网站进行传播,使网站的大量用户受到攻...
XSS攻击
weixin_45735361的博客
02-25 397
实验环境介绍 地址:https://xss-quiz.int21h.jp/ 该网址是一个可用于XSS攻击的靶场 探测XSS过程 1.构造一个不会被识别为恶意代码的字符串提交到页面中 2.使用浏览器审查工具进行代码审查,寻找构造的字符串是否在页面中显示 闭合文本标签利用XSS 简单的payload <script>alert(document.domain);</script...
XSS 攻击
白菜执笔人的博客
03-03 817
Web安全攻防 学习笔记 一、XSS 攻击 1.1、实验环境介绍         地址:https://xss-quiz.int21h.jp/ 1.2、探测 XSS 过程 构造一个不会被识别为恶意代码的字符串提交到页面中 使用浏览器审查工具进行代码审查,寻找构造的字符串是否在页面中显示 1.3、闭合文本标签利用 XSS   ...
web--xss:web安全xss攻击、以及如何防范
05-18
XSS攻击基础在于,Web应用程序未能正确地过滤或编码用户输入的数据。当这些未经处理的数据被包含在动态生成的HTML页面中时,恶意脚本可能会被执行。XSS攻击主要有三种类型: 1. 反射型XSS:攻击者构造一个包含...
跨站脚本(XSS)攻击原理与应对措施
XSS攻击通常发生在用户的输入数据没有经过合适的过滤和转义处理的情况下。 ## 1.2 XSS攻击的原理 XSS攻击的原理是通过注入恶意脚本代码来攻击用户的浏览器端。攻击者通常利用网站的漏洞,注入一段恶意脚本代码到...
xss_talk:我的XSS演讲的幻灯片和演示应用程序
05-22
这个演示旨在帮助观众理解XSS攻击的工作原理,以及如何通过实际操作来预防这类攻击。幻灯片采用专业设计,以清晰、直观的方式呈现了XSS的基本概念和分类。演示应用程序则是基于PHP构建的,它模拟了真实环境中可能...
.net core xss攻击防御的方法
10-18
主要介绍了.net core xss攻击防御的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
XSS.zip_XSS_c xss
09-24
XSS攻击通常分为三种类型: 1. **反射型XSS(Non-Persistent XSS)**:也称为非持久性XSS,攻击代码包含在URL中,当用户点击链接或通过其他方式访问含有恶意代码的URL时,浏览器立即执行该脚本。 2. **存储型XSS...
XSS攻击JavaScript编码技术
# 第一章:XSS攻击基础 XSS(Cross-Site Scripting)攻击是一种常见的Web安全漏洞,被广泛应用于各种Web应用程序中。攻击者利用XSS漏洞向受害者的浏览器插入恶意脚本,从而在用户浏览器中执行恶意代码。本章将介绍...
什么是XSS攻击-如何解决XSS防御?
m0_46379377的博客
03-21 914
首先来说一下什么是XSS攻击:跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。 就目前而言,应对XSS攻击的主要手段还是编码与过滤两种(过滤输入,转义输出)。 编码,对一些特殊字符进行转换编码或者转义,让他们不直接出现在脚本中,从而使浏览器不会去执行这段脚本。(主要将符号 ...
XSS攻击解决方法
weixin_34261415的博客
06-08 88
2019独角兽企业重金招聘Python工程师标准>>> ...
web安全的威胁:sql注入、xss攻击
学无止境,向互联网致敬!
09-26 955
1、转义字符 2、过滤 php 自带过滤和转义函数 函数名 释义 介绍 htmlspecialchars 将与、单双引号、大于和小于号化成HTML格式 &转成& "转成" ' 转成' >转成> htmlentities() 所有字符都转成H
javascript防止xss攻击
小丑鱼家的猪猪
06-11 7967
javascript防止xss攻击 XSS(Cross Site Scripting),跨站脚本攻击,是一种允许攻击者在另外一个用户的浏览器中执行恶意代码脚本的脚本注入式攻击。本来缩小应该是CSS,但为了和层叠样式(Cascading Style Sheet,CSS)有所区分,故称XSS。 记录一下自己开发过程中遇到的问题 输入标签不是用文本框或者文本域的,比如用用div做可编辑标签,ht...
xss攻击理解
摘星辰Li
10-10 392
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。 XS...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值