.net 跨站脚本攻击(XSS)漏洞的解决方案

最新推荐文章于 2024-06-28 08:30:00 发布
最新推荐文章于 2024-06-28 08:30:00 发布
阅读量7.8k 收藏 12
点赞数 4
分类专栏: 学习区4【ASP.Net、C#】 文章标签: XSS .NET
原文链接:https://www.lookweb.cn/develop/9.html
版权

1.跨站脚本攻击就是指恶意攻击者向网页中插入一段恶意代码,当用户浏览该网页时,嵌入到网页中的恶意代码就会被执行。一般用来盗取浏览器cookie

 

2.跨站脚本攻击漏洞,英文名称Cross Site Scripting,简称CSS又叫XSS。它指的是恶意攻击者向Web页面中插入一段恶意代码,当用户浏览该页面时,嵌入到Web页面中的恶意代码就会被执行,从而达到恶意攻击者的特殊目的。

 

危害:

1.恶意用户可以使用该漏洞来盗取用户账户信息、模拟其他用户身份登录,更甚至可以修改网页呈现给其他用户的内容。

解决方案:

1、避免XSS的方法之一主要是将用户所提供的内容输入输出进行过滤。ASP.NET的Server.HtmlEncode()或功能更强的Microsoft Anti-Cross Site Scripting Library。

2、整体网站的过滤处理,下面是通用处理方法。

 

首先在项目下创建一个XSSFilter类,这是ASP.NET创建网站时默认存储类的文件夹

 

 

using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.Text.RegularExpressions;

/// <summary>
///XSSFilter 的摘要说明
/// </summary>
public class XSSFilter
{
    public XSSFilter() { }

    private const string StrRegex = @"<[^>]+?style=[\w]+?:expression\(|\b(alert|confirm|prompt)\b|^\+/v(8|9)|<[^>]*?=[^>]*?&#[^>]*?>|\b(and|or)\b.{1,6}?(=|>|<|\bin\b|\blike\b)|/\*.+?\*/|<\s*script\b|<\s*img\b|\bEXEC\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\s+(TABLE|DATABASE)";
    public static bool PostData()
    {
        bool result = false;
        try
        {
            for (int i = 0; i < HttpContext.Current.Request.Form.Count; i++)
            {
                result = CheckData(HttpContext.Current.Request.Form[i].ToString());
                if (result)
                {
                    break;
                }
            }
        }
        catch (HttpRequestValidationException ex)
        {
            return true;
        }
        return result;
    }

    public static bool GetData()
    {
        bool result = false;
        try
        {
            for (int i = 0; i < HttpContext.Current.Request.QueryString.Count; i++)
            {
                result = CheckData(HttpContext.Current.Request.QueryString[i].ToString());
                if (result)
                {
                    break;
                }
            }
        }
        catch (HttpRequestValidationException ex)
        {
            return true;
        }
        return result;
    }

    public static bool CookieData()
    {
        bool result = false;
        try
        {
            for (int i = 0; i < HttpContext.Current.Request.Cookies.Count; i++)
            {
                result = CheckData(HttpContext.Current.Request.Cookies[i].Value.ToLower());
                if (result)
                {
                    break;
                }
            }
        }
        catch (HttpRequestValidationException ex)
        {
            return true;
        }
        return result;

    }

    public static bool referer()
    {
        bool result = false;
        return result = CheckData(HttpContext.Current.Request.UrlReferrer.ToString());
    }

    public static bool CheckData(string inputData)
    {
        if (Regex.IsMatch(inputData, StrRegex))
        {
            return true;
        }
        else
        {
            return false;
        }
    }
}

然后在Global.asax的Application_BeginRequest事件中添加如下代码:

void Application_BeginRequest(object sender, EventArgs e)
    {
        if (Request.Cookies != null)
        {
            if (XSSFilter.CookieData())
            {
                Response.Write("您提交的Cookie数据有恶意字符!");
                Response.End();
            }
        }
        if (Request.UrlReferrer != null)
        {
            if (XSSFilter.referer())
            {
                Response.Write("您提交的Referrer数据有恶意字符!");
                Response.End();
            }
        }
        if (Request.RequestType.ToUpper() == "POST")
        {
            if (XSSFilter.PostData())
            {
                Response.Write("您提交的Post数据有恶意字符!");
                Response.End();
            }
        }
        if (Request.RequestType.ToUpper() == "GET")
        {
            if (XSSFilter.GetData())
            {
                Response.Write("您提交的Get数据有恶意字符!");
                Response.End();
            }
        }
    }

https://www.lookweb.cn/develop/9.html

 

祁乐无穷7
关注
  • 4
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
XSS(跨站脚本攻击)详解
谢公子的博客
09-08 7万+
目录 XSS的原理和分类 XSS的攻击载荷 XSS可以插在哪里? XSS漏洞的挖掘 XSS的攻击过程 XSS漏洞的危害 XSS漏洞的简单攻击测试 反射型XSS: 存储型XSS: DOM型XSSXSS的简单过滤和绕过 ​XSS的防御 反射型XSS的利用姿势 get型 post型 利用JS将用户信息发送给后台 XSS的原理和分类 跨站脚本攻击XSS(Cros...
XSS跨站脚本攻击漏洞修复技巧
2401_84208172的博客
05-18 1196
跨站脚本攻击,又称XSS代码攻击,也是一种常见的脚本注入攻击。例如在下面的界面上,很多输入框是可以随意输入内容的,特别是一些文本编辑框里面,可以输入例如这样的内容,如果在一些首页出现很多这样内容,而又不经过处理,那么页面就不断的弹框,更有甚者,在里面执行一个无限循环的脚本函数,直到页面耗尽资源为止,类似这样的攻击都是很常见的,所以我们如果是在外网或者很有危险的网络上发布程序,一般都需要对这些问题进行修复。
.NET Framework漏洞(CVE-2017-8759)复现及后续渗透
sanc7ane的博客
02-25 7235
参考:!bhdresh 简介 CVE-2017-8759是一个新型的Office文档高级威胁攻击漏洞,该漏洞允许恶意人士在解析SOAP WSDL的定义内容期间注入任意代码。FireEye公司对该微软Office文档进行了分析,并发现攻击者能够利用代码注入方式下载并执行一份包含PowerShell指令的Visual Basic脚本。黑客在Offcie文档中嵌入新的Moniker对象,利用的是.net...
.NET 漏洞分析 | 某ERP系统存在SQL注入
最新发布
ahhacker86的专栏
06-28 605
此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他方面。
Asp.net安全架构之1:xss(跨站脚本)
weixin_34419321的博客
05-22 366
原理跨站脚本(Cross site script,简称xss)是一种“HTML注入”,由于攻击的脚本多数时候是跨域的,所以称之为“跨域脚本”。 我们常常听到“注入”(Injection),如SQL注入,那么到底“注入”是什么?注入本质上就是把输入的数据变成可执行的程序语句。SQL注入是如此,XSS也如此,只不过XSS一般注入的是恶意的脚本代码,这些脚本代码可以用来获取合法用户的数据,如Cooki...
警告:为了安全请不要随意将ASP.Net的validateRequest="false"
DanceFire的专栏
04-11 1万+
ASP.Net 1.1后引入了对提交表单自动检查是否存在XSS跨站脚本攻击)的能力。当用户试图用之类的输入影响页面返回结果的时候,ASP.Net的引擎会引发一个 HttpRequestValidationExceptioin。默认情况下会返回如下文字的页面: Server Error in /YourApplicationPath
XSS(跨站脚本)漏洞详解之XSS跨站脚本攻击漏洞的解决
热门推荐
飞上云端看彩虹
01-22 7万+
XSS(跨站脚本)漏洞详解 XSS的原理和分类 跨站脚本攻击XSS(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。XSS攻击针对的是用户...
SpringBoot 解决跨站脚本漏洞XSS)问题
ideal-lingyun
06-25 2798
SpringBoot 解决跨站脚本漏洞XSS)问题
ASP源码—修补跨站脚本攻击漏洞.zip
11-03
这个"ASP源码—修补跨站脚本攻击漏洞.zip"压缩包文件显然是针对ASP应用的安全性,特别是修复跨站脚本(Cross-Site Scripting, XSS)攻击的解决方案跨站脚本攻击是网络安全领域中常见的一种攻击方式,它发生在...
JAVA项目实践,URL存在跨站漏洞,注入漏洞解决方案.docx
10-26
### JAVA项目实践:URL存在的跨站漏洞与注入漏洞解决方案 #### 一、跨网站脚本(XSS)概述 跨网站脚本(Cross-site scripting,通常简称为XSS跨站脚本攻击)是一种常见的安全漏洞攻击方式,尤其针对网站应用程序。...
.net core xss攻击防御的方法
01-03
XSS攻击全称跨站脚本攻击 ,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的...
XSS漏洞解决方案实例
08-30
跨网站脚本(Cross-site scripting,通常简称为XSS或跨站脚本或跨站脚本攻击)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。
ASP.NET跨站脚本攻击漏洞修补文件aspx版 v1.0
03-16
跨站脚本攻击漏洞修补文件aspx版,使用方法:1.将App_Code目录拷贝到web根目录   假如已经存在App_Code目录,那直接把App_Code目录里的360safe.cs文件拷贝到当前的App_Code目录即可。   2.将Global.asax文件拷贝到web根目录   假如已经存在Global.asax文件,那直接复制指定代码到Global.asax看,具体代码请参阅压缩包内的使用说明。 运行环境:
ASP.NET导出excel
06-05
8. **安全性**:考虑安全问题,如防止跨站脚本攻击(XSS)、SQL注入等。同时,确保文件名安全,避免使用可能引起路径遍历漏洞的特殊字符。 9. **用户体验**:提供清晰的提示信息,告知用户导出进度和结果,避免用户长...
AppScan安全测试漏洞检测工具10.4版本
12-25
通过这种方式,它能够在开发早期发现潜在的安全问题,如SQL注入、跨站脚本(XSS)等,从而降低了修复成本。 2. **动态分析**:AppScan的动态分析功能允许在应用程序运行时进行扫描,监测实际的用户交互。这有助于...
漏洞解决方案-跨站脚本攻击
smart的博客
08-11 6071
漏洞解决方案-跨站脚本攻击跨站脚本攻击1.风险分析2.详细描述3.解决方案 跨站脚本攻击 1.风险分析 跨站脚本可能造成用户信息泄露(包括我行内部行员的用户名、密码泄露),配置更改,cookie窃取等造成危害,甚至能够用于对Web服务器进行DOS攻击。黑客也可利用获取的用户信息对我行系统进行进一步攻击。 2.详细描述 跨站脚本发生在以下两种情况: 数据通过不可靠的源进入Web application,大多数情况下是web request。 包含在动态内容中的数据在没有经过安全检测就发送给网络用户。
关于在线文本编辑器防XSS注入攻击问题
weixin_30443731的博客
02-07 1507
跨站脚本攻击,又称XSS代码攻击,也是一种常见的脚本注入攻击。例如在下面的界面上,很多输入框是可以随意输入内容的,特别是一些文本编辑框里面,可以输入例如<script>alert('这是一个页面弹出警告');</script>这样的内容,如果在一些首页出现很多这样内容,而又不经过处理,那么页面就不断的弹框,更有甚者,在里面执行一个无限循环的脚本函数,直到页面耗尽资...
.net解决Xss攻击
imherer的博客
09-11 1366
首先要明白什么是Xss攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。 数据来源...
WEB漏洞-XSS跨站脚本漏洞解决方案参考
weixin_61503139的博客
01-10 614
WEB漏洞-XSS跨站脚本漏洞解决方案-CSDN博客Java使用过滤器防止XSS脚本注入_防注入 参数过滤-CSDN博客
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值