XSS攻击防范

最新推荐文章于 2020-11-05 21:21:44 发布
最新推荐文章于 2020-11-05 21:21:44 发布
阅读量755 收藏
点赞数
分类专栏: php 文章标签: javascript microsoft csrf session 程序开发 服务器

XSS攻击防范

2009年4月22日
阅读评论 发表评论

最近一个朋友找我帮忙修复一个XSS注入漏洞,其实网站也是某上市互联网公司的中国站。现在XSS和CSRF攻击成为一个WEB软件工作者不得不重视的一个问题,很有必要深入研究下。

XSS漏洞很容易在大型网站中发现,在黑客圈内它非常流行。最著名的是2005年黑客Sammy Kamkar在myspace网站发布蠕虫病毒后,XSS就开始大行其道。FBI.gov、CNN.com、Time.com、Ebay、 Yahoo、Apple、Microsoft、Zdnet、Wired、Newsbytes,twitter都有这样那样的XSS漏洞。国内出现过XSS漏洞的网站有sohu,网易邮箱,校内网等,百度和著名电商网站淘宝也曾出现过XSS漏洞。

在商业产品中,平均每个月能够发现10-25个XSS漏洞。

假设你已经了解XSS的基本概念和类型,这里看看如何进行防范。先总结一下常见的XSS攻击手法:

依赖跨站漏洞,需要在被攻击网站的页面种入XSS脚本的手法

Cookie 盗取,通过javascript 获取被攻击网站种下的cookie,并发送给攻击者。
1.从cookie 中提取密码等隐私
2. 利用cookie 伪造session,发起重放攻击
Ajex 信息盗取,通过javascript 发起ajex 请求。
1. 从ajex 结果中获取隐私。
2. 模拟用户完成多页表单。

不依赖跨站漏洞的XSS攻击手法

1. 单向HTTP 动作,通过img.src 等方法发起跨站访问,冒充被攻击者执行特权操作。但是很难拿到服务器的返回值。
2. 双向HTTP 动作,如果服务器产生一段动态的script,那么可以用script.src 的方法发起跨站访问并拿到服务器的返回值。

XSS防范方法

XSS攻击防范主要是有程序漏洞造成的,要完全防止XSS安全漏洞主要依靠程序员较高的编程能力和安全意识,当然一些编程安全原则可以帮助大大减少XSS安全漏洞:

  1. 不信任用户提交的任何内容,对所有用户提交内容进行可靠的输入验证,包括对URL、查询关键字、HTTP头、REFER、POST数据等,仅接受指定长度范围内、采用适当格式、采用所预期的字符的内容提交,对其他的一律过滤。尽量采用POST 而非GET 提交表单;对”<”,”>”,”;”,”’”等字符做过滤;任何内容输出到页面之前都必须加以encode,避免不小心把html tag 弄出来。
  2. 实现Session标记(session tokens)、CAPTCHA系统或者HTTP引用头检查,以防功能被第三方网站所执行,对于用户提交信息的中的img 等link,检查是否有重定向回本站、不是真的图片等可疑操作。
  3. Cookie 防盗。避免直接在cookie 中泄露用户隐私,例如email、密码等等;通过使cookie 和系统ip 绑定来降低cookie 泄露后的危险。这样攻击者得到的cookie 没有实际价值,不可能拿来重放。
  4. 确认接收的的内容被妥善的规范化,仅包含最小的、安全的Tag(没有javascript),去掉任何对远程内容的引用(尤其是样式表和javascript),使用HTTP only的cookie。

PHP方面请参见PHP的安全防范工作

ASP.Net的可以用VS自带的XSSDetect来检测。

要更好的防范XSS和CSRF攻击等,除了加强程序开发的严谨度之外,还需要重视测试工作,通过专业的测试来减少问题发生的可能性,我们看到淘宝QA也重视XSS攻击测试了。

inetdemon 程序开发 互联网安全

wedge
关注
专栏目录
基于机器学习建模的 XSS 攻击防范检测
qq_61890005的博客
08-26 662
摘  要:为了解决网络流量中跨站脚本攻击频发且攻击危害性高的问题,研究了基于机器学习算法建模的跨站脚本检测技术,从复杂的网络流量数据中发掘跨网站脚本(Cross-Site Scripting,XSS)攻击,然后结合专家经验和安全业务知识对数据进行打标学习,并采用机器学习技术训练算法模型,实现了对 XSS 攻击的自动化和智能检测功能。测试表明,在安全领域引入机器学习算法,能够准确识别复杂多变、高危恶意的 XSS 攻击,提高了安全设备对威胁攻击的检测能力。内容目录:1  数据加工2  特征工程3  算法模型4 
XSSDetect Add-In for Visual Studio 2005
爱码农爱生活
03-17 91
XSSDetect Add-In for Visual Studio 2005 Sample Usage 1.    Launch Visual Studio 2.    Open a solution containing at least on C#, J# or VB.NET project 3.    Build the solution 4.    Cli...
XSS初探
weixin_30735745的博客
11-18 227
1 什么是XSS跨站脚本 跨站脚本是一种经常出现在Web应用程序中的计算机安全漏洞,是由于Web应用程序对用户输入过滤不足而产生的。攻击者利用网站漏洞把恶意的脚本代码注入到网页之中,当其他用户浏览这些网页时,就会执行其中的恶意代码,对受害者可能采取Cookie资料盗取、会话劫持、钓鱼欺骗等各种攻击。 XSS跨站脚本本身对WEB服务器没有直接危害,它借助网站进行传播,使网站的大量用户...
我在江北学安全(四) 渗透测试资源总览 和 XSS扫描系统原理
要不,单步调试走起?
10-15 4691
那个broken web application 后续会慢慢研究的。。。先把工作任务完成。。 工作任务1:搜索类似演示网站 http://code.google.com/p/websecurify/wiki/DemoSites 工作任务2:检索XSS自动化扫描工具,开源,了解检测原理 =====================================================
XSS漏洞检测手段
Kevin's Blog
05-05 8603
文章目录一、手工注入检测1.1 Cheat Sheet二、自动化工具检测2.1 BurpSuite之XSS Validator2.1.1 运行原理2.1.2 插件安装2.1.3 phantomjs安装2.1.4 下载xss.js2.1.5 配置XSS Validator2.1.6 配置Intruder模块2.1.7 XSS漏洞检测2.1.8 工具优缺点2.2 神器之XSSer2.2.1 工具介绍 ...
转跨站脚本攻击详解
weixin_30700977的博客
02-18 723
1 前言 近年来,随着Web2.0的大潮,越来越多的人开始关注Web安全,新的Web攻击手法层出不穷,Web应用程序面临的安全形势日益严峻。 跨站脚本攻击(XSS)就是常见的Web攻击技术之一,由于跨站脚本漏洞易于出现且利用成本低,所以被OWASP开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)列为当前的头号Web安...
Yii2的XSS攻击防范策略分析
10-21
XSS攻击防范策略是当下网络安全中的一个重要课题,而Yii2作为一款高性能的PHP框架,其内建的防范机制对于Web应用的安全起到了关键的作用。本文将详细分析Yii2框架中防止XSS攻击的策略,并探讨其原理与实施方法。 ...
基于机器学习建模的 XSS 攻击防范检测.docx
05-21
基于机器学习建模的 XSS 攻击防范检测.docx
XSS Cross Site Scripting
金溪的博客
09-17 528
描述   由于提交数据时,没有对用户提交的数据进行核查,过滤非法字符,导致攻击者可以提交恶意代码存储到数据库中,达到持久型跨站攻击。恶意的用户可通过跨站脚本漏洞执行JS代码,进行挂马、篡改页面或截取管理员账号信息等操作,严重危害了系统安全稳定运行。   解决方法      对所有用户提交内容进行可靠的输入验证,包括对URL、查询关键字、HTTP头、REFER、POST数据等,仅接受指...
【Frontend Knowlodge Chart】 学习之安全相关
小荷才露尖尖角
10-20 164
安全相关 考查前端及系统安全方面的知识,需要对各种攻击手段和防范措施有基本的了解。 知识点 HTML转义符号、脚本转义符号。 参见百度百科:http://baike.baidu.com/view/73.htm 常见的XSS漏洞,及其避免方式。 Xss(跨站脚本攻击),简单来说,就是让不支持富文本的区域支持了富文本的执行,例如blog的标题是不支持富文本的,但由于页面显示时没去...
20145240《网络对抗》Web安全基础实践
weixin_33738578的博客
05-11 131
Web安全基础实践 实验后回答问题 (1)SQL注入攻击原理,如何防御 原理:SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,使非法数据侵入系统。 防御:使用正则表达式过滤传入的参数,对一些包含sql注入的关键字进行过滤;采用字符串过滤的方法;jsp中调用该函数检查是否包含非法字符,防止SQL从...
入侵前的信息刺探
收集盒 Book box
01-04 878
在入侵前,黑客都会对目标进行一次较为全面的检测,所谓不打没有把握的仗,入侵前的信息刺探很重要,通过对目标主机的检测,我们可以知道对方主机操作系统类型,开放了哪些网络服务,是否存在漏洞等信息。将搜集到的信息整理起来将会对后面的入侵工作起到事半功倍的效果,下面我们就来了解一下黑客在入侵前是如何进行踩点的。  确定目标主机的操作系统      入侵,首先应该知道目标主机使用的是什么系统吧,否则岂
XSS(跨站脚本)漏洞详解之XSS跨站脚本攻击漏洞的解决
热门推荐
飞上云端看彩虹
01-22 7万+
XSS(跨站脚本)漏洞详解 XSS的原理和分类 跨站脚本攻击XSS(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。XSS攻击针对的是用户...
XSS跨站脚本攻击剖析与防御笔记
super_m@n的博客
11-19 1301
读书笔记,希望某位小伙伴用得上 第一章XSS初探 1.概念:Cross-Site Scripting简称XSS,是由于WEB应用程序对用户的输入过滤不足而产生的,攻击者利用网站漏洞把恶意脚本注入到网站之中会导致cookie窃取、会话劫持(非法转账和强制发表日志邮件等)、钓鱼欺骗(盗号)、强制弹广告刷流量、网站挂马、篡改页面、获取用户其他重要信息、控制计算器、传播蠕虫等等危害 2.xss脚本简...
XSS扫描系统原理
xysoul的专栏
04-21 1万+
那个broken web application 后续会慢慢研究的。。。先把工作任务完成。。 工作任务1:搜索类似演示网站 http://code.google.com/p/websecurify/wiki/DemoSites 工作任务2:检索XSS自动化扫描工具,开源,了解检测原理 ===============================================
面试宝典-浏览器交互常见问题汇总
老男孩的博客
11-05 669
学习目标 一次完整的http服务过程 能够说出一次完整的http服务的几个阶段 能够说出html的渲染过程 能够说出常见的http请求状态码 http缓存控制 能够理解http缓存控制 主要是指浏览器缓存 知道强缓存和协商缓存 知道http强缓存的控制字段 知道协商缓存的配置方式和各自的优缺点 fetch与axios 理解fetch和axios分别是什么? 掌握fetch的优缺点 掌握axios的优缺点 浏览器内多个标签页之间的通讯 知道浏览器多个标签页通讯的常见使用场景
服务器日志记录中查找黑客踪迹
收集盒 Book box
09-02 999
网络发展到现在,安全问题层出不穷,在构建网络安全环境时,我们在技术手段、管理制度等方面都逐步加强,设置防火墙,安装入侵检测系统等等。但网络安全是个全方位的问题,忽略哪一点都会使得整个安全系统形同虚设。本文从分析Web服务器的日志记录中找出黑客入侵点,从而分析出漏洞,补上漏洞,防范
XSS攻击防范详解:原理、实例与分类
XSS跨站脚本攻击是Web安全领域中一种常见的威胁,它利用网站程序对用户输入的过滤不足,将恶意HTML代码注入到页面中,对用户和系统...通过严格的输入验证、正确编码输出和启用安全策略,可以有效降低XSS攻击的风险。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值