RailsCase27 Cross Site Scripting 跨站点脚本攻击

最新推荐文章于 2024-01-22 16:00:51 发布
最新推荐文章于 2024-01-22 16:00:51 发布
阅读量1.1k 收藏
点赞数
分类专栏: RailsCasts Rails

跨站点脚本是开发过程中经常需要考虑的安全问题。此种情形发生在允许用户直接输入html、javascript脚本时。在下述的website中,我们并没有过滤输入的内容,导致一些安全漏洞。

Our site, showing the comments box.

如果在输入框中输入由<script>包围的内容,当页面被加载的时候,脚本将被执行,每次均将在前端展示。例如,如果输入<script>alert(’hello’)</script>并保存,每次浏览此页面时,都将看到alert的窗口。

嵌入页面的javascript脚本如下:
terminal 
<h2>Comments</h2>
  <p>I'll start on this now - Paul</p>
  <p><script>alert('hello!');</script></p>
<hr/>

跨站点脚本可能被用于恶意的攻击。例如,可以读取站点上其他用户的cookie。将用户的cookie发送到远程服务器和alert内容一样的容易。cookie中的session id可被用来劫持其他用户的session。

The cookie information shown by JavaScript.

上述展示了cookie中的session key。

预防攻击

为了预防此种攻击,需要在页面呈现内容前,过滤用户的输入内容。之前,我们直接从数据库中获取comment的内容并输入到html stream中。Rails提供了输出前过滤内容的方法,h方法。

ruby 
<% @task.comments.each do |comment| %>
  <p><%= h(comment.content) %></p>
<% end %>

此时,当加载页面时,可以看出脚本不再执行。h方法过滤了尖括号(“<”和“>”)(将尖括号用html这种的转义字符标识)以便内容可正常显示。

The comments are now safely escaped.

Rails也提供了  sanitize 方法,允许设置白名单,白名单中的标签将不被过滤。

防止攻击的另外一种方式

与内容在浏览器展现前,过滤内容不同,可以在将数据存储在数据库前将数据进行过滤。在控制器中,h方法是不可行的,可用CGI::escapeHTML()实现此功能。      

ruby 
def create
    @task = Task.find(params[:task_id])
    @comment = @task.comments.new(params[:comment])
    @comment.content = CGI::escapeHTML(params[:comment][:content])
    @comment.save
    redirect_to task_path(@task)
  end
  1. http://en.wikipedia.org/wiki/Session_hijacking
原文地址:http://railscasts.com/episodes/27-cross-site-scripting?view=asciicast
dazhi_100
关注
专栏目录
脚本攻击XSS(Cross Site Scripting)总结
野原新之助
01-31 1135
XSS是指开发者在开发网页时,对用户的输入没有进行安全过滤,导致用户在可以输入内容的地方,插入脚本语句,执行恶意脚本代码,可以对数据库、服务器、用户等造成影响和危害,危险等级很高,也很常见。
Rails宝典之第二十七式: CSS(Cross Site Scripting)
hideto
08-01 64
这次你将看到escape用户输入的任何HTML是多么重要 假设博客上有一个comment表单,我们输入如下内容: [code] Testing alert('test') [/code] 提交我们的comment,如果浏览器弹出alert框,说明该博客没有对用户输入的comment进行escape Hacker可以利用这个弱点来做CSS攻击: [code] Got your...
XSS(Cross Site Scripting脚本攻击
Eason_LYC安全白帽子的成长博客
05-13 2945
XSS最为全面的知识点梳理总结,并有公开靶场配合知识点练习。含金量十成十
XSS脚本攻击(Cross Site Scripting)
weixin_43732943的博客
12-02 756
XSS:脚本攻击(Cross Site Scripting),为不和 CSS混淆,故将脚本攻击缩写为XSS。 XSS是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。
XSS(Cross Site Scripting ) 脚本攻击
qq_45866940的博客
09-01 327
XSS(Cross Site Scripting ) 脚本攻击 恶意攻击者往Web页面中插入了恶意Script代码,用户浏览该页面时,嵌入Web里面的代码被执行,达到恶意攻击用户的目的 XSS分为:存储行,反射型,DOM型XSS 反射型XSS攻击 攻击流程: 1.黑客发送带有XSS脚本的链接 2.用户点击恶意链接,访问目标服务器 3.网站将XSS同正常网页返回到用户浏览器 4.用户浏览器解析了XSS恶意代码,向恶意服务器发起请求 5.黑客从自己搭建的恶意服务器拿取用户信息 反射型XSS:非持久化,需要
XSS脚本攻击(Cross-site scripting
qq_49841288的博客
07-24 1407
通过网页开发时,对用户输入信息过滤不足,将恶意代码注入网页中。恶意代码通常是JavaScript,但也包括Java、VBScript、ActiveX、Flash或者普通的HTML。因特网的可用资源通过简单字符串来表示,这些字符串被称作URL(统一资源定位器)。DOM是一种与平台、语言无关的应用程序接口(API)它可以动态地访问程序和脚本,更新其内容、结构和www文档的风格(HTMl和XML文档是通过说明部分定义的)。文档可以进一步被处理,处理的结果可以加入到当前的页面。......
Web渗透测试-Xss脚本攻击(Cross Site Scripting)
aming小老弟
01-29 4759
Xss通用明文 &&表单劫持 脚本攻击漏洞概念, 漏洞原理和危害, 掌握反射型、存储型XSS漏洞利用方法 每天一个网安开发小技巧——XSS扫描器 – 自动刷SRC w13scan的xss扫描功能进行优化 灵感注入xray所引起的基于语义的扫描技术。 xss扫描之前是w3afxss payload,通常在以下几个部分。 Xsstrike,Xray,Awvs中的检测技巧以及检测参数 XSStrike 先说说Xss
XSS(Cross Site Scripting脚本攻击
weixin_45760365的博客
03-31 1276
XSS(Cross Site Scripting脚本攻击
Xss脚本攻击(Cross Site Script)
xuyunpeng3189的博客
01-22 945
原理: XSS攻击的核心思想就是在HTML页面中注入恶意代码服务器过滤不严格导致攻击者输入的恶意js代码被web前端执行XSS攻击中,一般有三个角色参与:攻击者、目标服务器、受害者的浏览 危害: 获取管理员cookie/提权,网站篡改,敏感信息泄露,钓鱼,网站挂马,客户端攻击,传播蠕虫 防御: 对用户输入和web输出均进行过滤,过滤特殊字符,",#,特殊标签,JS动作等等;限制用户输入数据的类型/长度;黑白名单;通过使cookie和系统IP绑定,来降低cookie泄露后的危险;httponly:禁
asp防范站点脚本攻击的的方法
10-30
站点脚本攻击(Cross-Site Scripting,简称XSS)是一种常见的网络安全漏洞,它允许攻击者在受害者的浏览器上执行恶意脚本。ASP(Active Server Pages)是一种微软开发的服务器端脚本语言,用于创建动态网页。由于...
XSS.rar_XSS_cross scripting_cross site java_cross site scripting
09-14
XSS,全称为"Cross Site Scripting",是一种常见的网络安全漏洞,它允许攻击者在用户的浏览器中注入恶意脚本。这种攻击方式通常发生在Web应用中,攻击者利用网站未能充分过滤或转义用户输入的数据,将恶意代码嵌入到...
脚本攻击XSS(Cross Site Script)的原理与常见场景分析
10-18
脚本攻击(XSS,Cross Site Scripting)是一种常见的网络安全漏洞,它允许恶意攻击者在用户浏览器中注入并执行恶意脚本攻击者通常通过在网页上插入恶意HTML或JavaScript代码来实现这一目标。当用户访问这些被...
xss脚本【反射型---Reflected Cross Site Scripting (XSS)】
weixin_71169068的博客
03-29 715
网站脚本(Cross-site scripting,XSS) 又称为脚本攻击,是一种经常出现在Web应用程序的安全漏洞攻击,也是代码注入的一种。XSS是由于Web应用程序对用户的输入过滤不足而产生的,攻击者利用网站漏洞把恶意的脚本代码注入到网页之中,当其他用户浏览这些网页时,就会执行其中的恶意代码,对受害者用户可能采取Cookie窃取、会话劫持、钓鱼欺骗等各种攻击。这类攻击通常包含了HTML以及用户端脚本语言。
基于深度学习的行人分类.zip
09-21
深度学习是机器学习的一个子领域,它基于人工神经网络的研究,特别是利用多层次的神经网络来进行学习和模式识别。深度学习模型能够学习数据的高层次特征,这些特征对于图像和语音识别、自然语言处理、医学图像分析等应用至关重要。以下是深度学习的一些关键概念和组成部分: 1. **神经网络(Neural Networks)**:深度学习的基础是人工神经网络,它是由多个层组成的网络结构,包括输入层、隐藏层和输出层。每个层由多个神经元组成,神经元之间通过权重连接。 2. **前馈神经网络(Feedforward Neural Networks)**:这是最常见的神经网络类型,信息从输入层流向隐藏层,最终到达输出层。 3. **卷积神经网络(Convolutional Neural Networks, CNNs)**:这种网络特别适合处理具有网格结构的数据,如图像。它们使用卷积层来提取图像的特征。 4. **循环神经网络(Recurrent Neural Networks, RNNs)**:这种网络能够处理序列数据,如时间序列或自然语言,因为它们具有记忆功能,能够捕捉数据中的时间依赖性。 5. **长短期记忆网络(Long Short-Term Memory, LSTM)**:LSTM 是一种特殊的 RNN,它能够学习长期依赖关系,非常适合复杂的序列预测任务。 6. **生成对抗网络(Generative Adversarial Networks, GANs)**:由两个网络组成,一个生成器和一个判别器,它们相互竞争,生成器生成数据,判别器评估数据的真实性。 7. **深度学习框架**:如 TensorFlow、Keras、PyTorch 等,这些框架提供了构建、训练和部署深度学习模型的工具和库。 8. **激活函数(Activation Functions)**:如 ReLU、Sigmoid、Tanh 等,它们在神经网络中用于添加非线性,使得网络能够学习复杂的函数。 9. **损失函数(Loss Functions)**:用于评估模型的预测与真实值之间的差异,常见的损失函数包括均方误差(MSE)、交叉熵(Cross-Entropy)等。 10. **优化算法(Optimization Algorithms)**:如梯度下降(Gradient Descent)、随机梯度下降(SGD)、Adam 等,用于更新网络权重,以最小化损失函数。 11. **正则化(Regularization)**:技术如 Dropout、L1/L2 正则化等,用于防止模型过拟合。 12. **迁移学习(Transfer Learning)**:利用在一个任务上训练好的模型来提高另一个相关任务的性能。 深度学习在许多领域都取得了显著的成就,但它也面临着一些挑战,如对大量数据的依赖、模型的解释性差、计算资源消耗大等。研究人员正在不断探索新的方法来解决这些问题。
机械制造工艺学课程设计手柄座设计“手柄座”零件的机械加工工艺规程及工艺装备.doc
09-21
机械制造工艺学课程设计手柄座设计“手柄座”零件的机械加工工艺规程及工艺装备.doc
电子设计论文通用红外遥控开关电子设计论文通用红外遥控开关
09-21
电子设计论文通用红外遥控开关电子设计论文通用红外遥控开关
软考-信息管理师考试知识汇总思维导图
09-21
软考--信息管理师考试知识汇总思维导图,包含项目十大管理领域知识点汇总提取,项目整合管理、项目范围管理、项目时间管理、项目成本管理、项目质量管理、项目人力资源管理、项目沟通管理、项目风险管理、项目采购管理、项目干系人管理等章节所有知识点通过思维导图的形式汇总出来,看图就理解本章所有的知识块以及他们之间的联系。归纳总结,帮助考试复习记忆,加深对 本章节内容的理解。适合时间少,没时间完整看完教材的人,在段时间内帮助理解记性,是考试前冲刺的好帮手。软考高级越来越难考了,为了方便大家能考过,希望大家早点准备,好好考复习资料,多看,多想,多记忆,多思考,多归纳总结。
STM32F103C8T6+CUBEMX+AHT20+中断(DMA)+BT04蓝牙
最新发布
09-21
STM32F103C8T6+CUBEMX+AHT20+中断(DMA)+BT04蓝牙
Java开发中防范XSS脚本攻击策略
XSS(Cross-Site Scripting攻击是Web应用程序普遍面临的一种安全威胁。它允许攻击者在受害者的浏览器中执行恶意脚本,通常通过注入恶意代码到合法的网页中实现。在Java开发环境中,了解并实施有效的防范策略至关...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值