XSS攻击与防范小结

最新推荐文章于 2023-11-05 21:04:14 发布
最新推荐文章于 2023-11-05 21:04:14 发布
阅读量245 收藏
点赞数
分类专栏: webSafety 文章标签: web安全 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liyebing/article/details/84529906
版权

这篇博客的提纲如下:

一、故障梳理

二、故障解决方案

三、XSS小结

 

 

一、故障梳理

这要从最近出的一个故障说起。故障的过程大致如下:

数据流

 

A系统与B系统域名不同,A系统中的数据提交到A系统某个form表单,然后通过js函数提交到B系统后台,然后显示在B系统的IE浏览器上

这是整个数据流。

 

其中IE8开始,IE内置了XSS filter机制,当来源为跨站数据源,且数据源中含有疑似XSS攻击恶意数据(微软IE内置的正则来判断,例如,‘中文()’等)的时候,就会停止脚本的运行,直接跳转到空白页。

可以参考http://windows.microsoft.com/en-us/windows7/how-does-internet-explore-9-help-protect-me-from-cross-site-scripting-attacks   

 

本故障就是在A系统提交的数据中含有疑似XSS攻击的字符,导致IE误判,(别的浏览器都没事,IE就是个惹祸的怪胎。远离IE得永生!)无法将数据正确在B系统展示出来。展示了空白页。

 

二、故障解决方案

解决方案暂时想到的有两种:

1、在B系统的Response的Header里面加入标签X-XSS-Protection=0,阻止IE XSS filter生效。但是这样做有损系统安全性

2、在A系统提交的数据里面做XSS字符的过滤,将疑似XSS的字符从半角转换为全角字符。后面会有相应的代码实现

3、将数据的A系统进行彻底的编码(Base64等),然后在B系统进行相应的解码

 

这里选择方案2进行实现:

代码如下:

 

 public static String xssEncoder(String content){
        StringBuilder bulider=new StringBuilder();
        for(char c :content.toCharArray()){
            switch (c) {
                case '>':
                    bulider.append('>');// 全角大于号
                    break;
                case '<':
                    bulider.append('<');// 全角小于号
                    break;
                case '\'':
                    bulider.append('\\');
                    bulider.append('\'');
                    bulider.append('\\');
                    bulider.append('\'');
                    break;
                case '\"':
                    bulider.append('\\');
                    bulider.append('\"');// 全角双引号
                    break;
                case '&':
                    bulider.append('&');// 全角
                    break;
                case '\\':
                    bulider.append('\');// 全角斜线
                    break;
                case '#':
                    bulider.append('#');// 全角井号
                    break;
                case ':':
                    bulider.append(':');// 全角冒号
                    break;
                case '%':
                    bulider.append("\\\\%");
                    break;
                case '(':
                    bulider.append("(");
                    break;
                case ')':
                    bulider.append(")");
                    break;
                case ',':
                    bulider.append(",");
                    break;
                case '.':
                    bulider.append("。");
                    break;
                default:
                    bulider.append(c);
                    break;
            }
        }
        
        return bulider.toString();
    }

 

 

 

顺便提一下针对全站进行XSS防御的两种常用手段

1、配置Nginx的过滤正则脚本,对疑似XSS的脚本特征进行拦截

2、在系统配置拦截器,针对XSS数据进行清洗过滤,如http://my.oschina.net/hermer/blog/152834

 

三、XSS 小结

      这部分内容太多,做不好讲述。有很多web安全的书籍都讲得非常不错。这里就不泛泛而谈了

    

liyebing
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XSS攻击防范
weixin_45221091的博客
04-21 1623
前端安全系列之XSS攻击防范 1、使用textContent 2、使用HTML转义 把JS中的标签转成字符 3、对于链接跳转 禁止含有’javascript:'开头的字符 4、标签属性中含有恶意执行代码 javascript 5、如果用户输入的文本进行过滤很容易照成注入漏洞 6、什么是XSS攻击 Cross-Site Scripting(跨站脚本攻击) 为和CSS区分所以叫XSS攻击 7、XSS攻击的本质 而已代码未经过滤,混入正常代码中,浏览器无法分辨,导致恶意代码被执行; 8、在处理输入时,
防 XSS 攻击的实现
weixin_58207509的博客
12-10 613
XSS攻击 人们经常将跨站脚本攻击(Cross Site Scripting)缩写为CSS,但这会与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。因此,有人将跨站脚本攻击缩写为XSS。 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后
【原创】XSS攻击总结
yiran1919的博客
11-26 1389
一、XSS定义 xss的形成原理 xss 中文名是“跨站脚本攻击”,英文名“Cross Site Scripting”。 Cross-site scripting的英文首字母缩写本应为CSS,但因为CSS在网页设计领域已经被广泛指层叠样式表(Cascading Style Sheets),所以将Cross(意为“交叉”)改以交叉形的X做为缩写。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的脚本代码(HTML、JavaScript),当其它用户访问含有恶意代码的页面,恶意脚本就会被浏览器解析执行
XSS(跨站脚本攻击)详解 (下)
我不生产数据,只是数据的搬运工
02-03 783
XSS(跨站脚本攻击)详解 (下) Hack9月5日 XSS漏洞的简单攻击测试 反射型XSS: 先放出源代码 //前端 1.html:<html><head lang="en"> <meta charset="UTF-8"> ...
XSS如何防范
qq_45803050的博客
11-27 8105
XSS如何防范 题意分析 在 Web 安全领域中,XSS 和 CSRF 是最常见的攻击方式。下面我们首先简单了解一下什么是 XSS 和 CSRF 。 XSS,即 Cross Site Script,中译是跨站脚本攻击;其原本缩写是 CSS,但为了和层叠样式表(Cascading Style Sheet)有所区分,因而在安全领域叫做 XSS。XSS 攻击是指攻击者在网站上注入恶意的客户端代码,通过恶意脚本对客户端网页进行篡改,从而在用户浏览网页时,对用户浏览器进行控制或者获取用户隐私数据的一种攻击方式。攻击者
XSS 防御方法总结
weixin_33932129的博客
08-03 2772
1. XSS攻击原理 XSS原称为CSS(Cross-Site Scripting),因为和层叠样式表(Cascading Style Sheets)重名,所以改称为XSS(X一般有未知的含义,还有扩展的含义)。XSS攻击涉及到三方:攻击者,用户,web server。用户是通过浏览器来访问web server上的网页,XSS攻击就是攻击者通过各种办法,在用户访问的网页中插入自己的脚本,让其在用...
XSS攻击总结
醉等佳人归
08-14 474
文章目录1.XSS介绍2.XSS的分类3.反射型XSS4.存储型XSS5.DOM XSS 1.XSS介绍 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改
Web安全XSS攻击与防御小结
02-23
跨站脚本攻击(CrossSiteScripting),缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。攻击者对含有漏洞的服务器发起...
Yii2的XSS攻击防范策略分析
10-21
主要介绍了Yii2的XSS攻击防范策略,较为详细的分析了XSS攻击的原理及Yii2相应的防范策略,需要的朋友可以参考下
防范XSS攻击程序
07-29
对用户输入的所有数据进行拦截,检测是否含有XSS攻击关键字,如果存在XSS攻击关键字,对一些特殊字符,如:“<”、“>”、“&”等进行转义。 实现方案 自定义一个Filter拦截器,使用 Filter来过滤浏览器发出的...
XSS剖析(让你认识到xss的危害和防范
01-03
XSS全称:跨站脚本(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets)的缩写CSS混合,所以改名为XSS;攻击者会向web页面(input表单、URL、留言版等位置)插入恶意JavaScript代码,导致管理员/用户访问时触发,从而达到攻击者的目的。
【转】XSS的两种攻击方式及五种防御方式
tpriwwq的专栏
11-05 3995
XSS攻击介绍及防御方法
XSS总结
weixin_43263451的博客
08-03 734
XSS总结简介跨站脚本攻击是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。xss漏洞通常是通过php的输出函数将javascript代码输出到html页面中,通过用户本地浏览器执行的,所以xss漏洞关键就是寻找参数未过滤的输出函数。 分类反射型XSS反射型只是简单的将用户输入的数据”反射”给浏览器,...
xss漏洞知识总结
ma963852的博客
04-14 5627
漏洞原理 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。 未对用户的输入进行处理,浏览器将用户输入的内容当作脚本执行。恶意攻击者往Web页面里插入恶意JS代码,当用户浏览该页之时,嵌入其中Web里面的JS代码会被执行,从而达到恶意的特殊目的。是一种针对用户浏览器的攻击。 漏洞分类 Xss主要分为三种类型: (1)反射型 反射型xss又称非持久性xss,需要用户点击带有
XSS知识总结
qq_43842093的博客
11-07 6784
XSS基础 跨站脚本(英语:Cross-site scripting,通常简称为:XSS)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java,VBScript,ActiveX,Flash或者甚至
xss总结
Lkyqj的博客
07-30 789
xss跨站脚本攻击,(CrossSiteScripting),为区别层叠样式表(CascadingStyleSheets,CSS),所以改写为XSS类型一反射型特点1非持久型,不保存到正常的服务器数据库在中2反射型xss的被攻击对象是特定的,使用含有反射型xss的特质url类型二储存型特点1持久型,攻击脚本将被永久的存放在目标服务器的数据库或文件中,具有很高的隐蔽性2储存型xss非特定攻击用户,攻击者将存储型xss代码写进有xss的网站上后,只要有访问这个连接就会被攻击。...
xss攻击总结
hw1287789687的专栏
07-15 1543
xss攻击总结 原则用户输入什么,数据库就存储什么. 在前端显示时,需要escape.html标签的title属性也需要escape看一个title属性未escape得例子: html代码: 所以html标签的title属性也需要escape. 但是,如果使用jQuery的attr方法设置title,则不需要escape:setPreviewOrgFullName:function
xss攻击总结
weixin_40222803的博客
07-09 668
xss攻击可以分成两种类型:非持久型xss攻击:顾名思义,非持久型xss攻击是一次性的,仅对当次的页面访问产生影响。非持久型xss攻击要求用户访问一个被攻击者篡改后的链接,用户访问该链接时,被植入的攻击脚本被用户游览器执行,从而达到攻击目的。持久型xss攻击:持久型xss,会把攻击者的数据存储在服务器端,攻击行为将伴随着攻击数据一直存在。可以分为三类:反射型:经过后端,不经过数据库存储型:经过后端...
xss-dvwa靶场详情
最新发布
04-06
"XSS(DVWA靶场详情)" ...理解XSS攻击的原理和类型,以及如何有效地防范这些攻击,对于保障Web应用的安全至关重要。通过DVWA这样的靶场实践,安全专业人员和开发者能够更好地提升对抗XSS攻击的能力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值