网站安全之存储型跨站脚本编制

最新推荐文章于 2024-06-19 01:27:23 发布
最新推荐文章于 2024-06-19 01:27:23 发布
阅读量3.7k 收藏 1
点赞数
分类专栏: 其它 文章标签: java 脚本 jsp 网站安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/owen_william/article/details/66477320
版权
本文探讨了存储型跨站脚本(XSS)的威胁,通过举例解释其工作原理。文中提出,如果不正确处理用户输入,可能导致恶意代码执行,影响用户体验甚至引发安全风险。针对此问题,文章列举了三种解决方案,包括使用特定框架的功能、字符串转义和依赖Spring等工具进行防御。最后,作者强调在开发早期重视此类安全问题的重要性,以避免后期修改的困难。
摘要由CSDN通过智能技术生成

1.  说明问题

     也许读者看到博客的标题,会觉得有点疑惑。什么叫存储型跨站脚本编制。这个名字有点高大上了。其实也是,我们在网站的有些文本框中输入javaScript的代码或html的标签代码,我们本想作为信息存储,但是这样的文本却成为了代码执行出来。可能这样说读者会有点迷惑。我们来看下面的一个例子。

1)        在系统的添加信息的文本框中输入” <img src=1 οnerrοr=alert(3)>.

2)        这条信息保存到数据库后,也会在网站的某个列表中显示出来,这时候,你没有对这条信息作处理,结果也就是变成了系统的可执行代码实现。页面会直接弹出一个‘3’的弹出框。


 这下读者应该知道它是谁了吧,也应该知道问题的严重性了吧。可别说,这样的问题也曾在大的IT公司出现过。轻者,可能是影响用户使用的体验感罢了,但是严重的话,作为黑客故意捣乱的话,那么结果大家就可想而知道了。下面笔者说明应该如何避免这样的问题出现我们的系统中。

2.  处理问题

     这个问题处理的方法有很多,可用使用第三方的框来协助我们解决这样的问题,下面笔者只介绍几个处理的方法。

1)        如果读者的系统是使用Ext的框架的话,那么就可以使用下面的方法。


                

        

        

    

  


        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        

    

      

        

            

              
                
                  Owen William
                
              
            

            

                关注
              
            

        

        

          
      

      

            

                专栏目录
          









                



	

		

			

				
					
什么是脚本 (XSS) 攻击?

				
			

			

				

					简介
				

				

					01-04
					
					2023
					
				

			

		

		

			
				
这一次,教会xss攻击!!!!!!!

			
		

	



                

              
                



	

		

			

				
					
Data Management 是指整个数据生命周期的管理,从收集、存储、分析和处理,一直到保护数据安全与隐私

				
			

			

				

					程序员光剑
				

				

					08-04
					
					1533
					
				

			

		

		

			
				
数据管理(Data Management)是指在不同存储环境中,对数据进行分类、整合、编制索引、结构化、加工、采集、分发等一系列流程,帮助企业快速准确地获取、整理、分析、处理并共享信息。数据管理不仅直接影响企业产品或服务的质量、效率及竞争力,还会直接影响公司的股价和市场占有率,因此数据管理也是企业竞争力的一大核心能力之一。数据管理系统可以分成四个层级:存储层、数据层、应用层、控制层。其中,存储层负责数据的入库、出库、保存;数据层将原始数据按照所需的格式化标准进行清洗、转换、规范化、结构化;

			
		

	



                


  
              

                


	

		

			

				
					
站点脚本编制问题解决

				
			

			

				

					06-12
				

			

		

		

			
				
基于OWASP组织提供的WEB项目中站点脚本编制问题解决方案。添加了pom依赖及相关jar包,适合在java web项目中使用!

			
		

	





	

		

			

				
					
站点脚本编制

				
			

			

				

					ilsld的博客
				

				

					10-11
					
					1686
					
				

			

		

		

			
				
项目安全检测出现 “站点脚本编制” 的问题,以下解决方法是网上搜索整理。
用过滤器过滤所有url
1.过滤器
@Slf4j
@WebFilter(filterName = "urlFilter", urlPatterns = "/*")
public class webFilter implements Filter {
    /**
     *
     * @param filterConfig The configuration information associated with the
 

			
		

	



		

			
		



	

		

			

				
					
Web安全基础学习:XSS脚本漏洞之存储XSS

					
最新发布

				
			

			

				

					qq_51862722的博客
				

				

					06-19
					
					1138
					
				

			

		

		

			
				
存储XSS漏洞:指像留言板、用户名称、日志信息等一些会存储在服务器端的信息,当攻击者在存在存储XSS漏洞的功能点进行注入之后,任何浏览器端加载该信息的时候都会将其中的恶意代码解析,进而触发XSS攻击。该方法甚至可以在管理员审核留言或查看系统信息时触发,进而造成管理员敏感信息的泄露。因为其存储在服务器端,因此造成的危险程度、攻击范围比反射更大更广。留言板、评论区、用户头像、个性签名、登录日志、博客等。

			
		

	





	

		

			

				
					
dvwa-XSS(存储脚本)

				
			

			

				

					qq_74806534的博客
				

				

					02-13
					
					355
					
				

			

		

		

			
				
存储的不同之处在于它可以将用户构造的有害输入直接存储起来,不需要攻击者构造链接诱使受害人点击触发,而是目标网站的用户只要访问插入恶意代码的网站就能触发,相比较反射xss更为隐蔽,危害更大,受害者也会更多。

			
		

	





	

		

			

				
					
java 站点脚本编制_站点脚本编制

				
			

			

				

					weixin_28881575的博客
				

				

					02-16
					
					690
					
				

			

		

		

			
				
站点脚本编制”攻击是一种隐私违例,可让攻击者获取合法用户的凭证,并在与特定 Web 站点交互时假冒这位用户。这个攻击立足于下列事实:Web 站点中所包含的脚本直接将用户在 HTML 页面中的输入(通常是参数值)返回,而不预先加以清理。 如果脚本在响应页面中返回由 JavaScript 代码组成的输入,浏览器便可以执行输入中的代码。 因此,有可能形成指向站点的若干链接,且其中一个参数是由恶意的 ...

			
		

	





	

		

			

				
					
站点脚本编制描述及解决方法

					
热门推荐

				
			

			

				

					xrdlqy的专栏
				

				

					02-04
					
					2万+
					
				

			

		

		

			
				
原文地址:http://www.ibm.com/developerworks/cn/security/s-csscript/#2
 

简介: 站点脚本编制可能是一个危险的安全性问题,在设计安全的基于 Web 的应用程序时应该考虑这一点。本文中,Paul 描述了这种问题的本质、它是如何起作用的,并概述了一些推荐的修正策略。
当今的大多数网站都对 Web 页面添加了动态内容,从而使用户能获

			
		

	





	

		

			

				
					
XSS脚本攻击理论和实战 XSS构造脚本+手动XSS+利用BEef自动化XSS(网络安全学习13)

				
			

			

				

					Until_U的博客
				

				

					07-06
					
					5724
					
				

			

		

		

			
				
CONTENTS

1 XSS简介

2 构造XSS脚本

2.1 常用的HTML标签

2.2 常用java script方法

2.3 构造XSS脚本

3 反射XSS

4 存储XSS

5 kali渗透获取cookie

6 自动化XSS

6.1 BEef简介

6.2 BEef的主要功能

6.3 BEef实战

1 XSS简介

(1)XSS相关概念


脚本( cross site script )为了避免与样式css混淆,所以简称为XSS。
   XSS是一种经常出现...

			
		

	





	

		

			

				
					
IBM Security Appscan漏洞--存储站点脚本编制

				
			

			

				

					YouXu
				

				

					03-16
					
					9205
					
				

			

		

		

			
				
未对用户输入正确执行危险字符清理 ,添加XSS过滤器

			
		

	





	

		

			

				
					
xss站点脚本编制漏洞/antisamy策略过滤

				
			

			

				

					09-07
				

			

		

		

			
				
XSS站点脚本注入攻击过滤器,包括antisamy官方提供的各种策略xml文件。
antisamy-slashdot.xml 策略 
antisamy-ebay.xml 策略
antisamy-myspace.xml 策略
antisamy-anythinggoes.xml 策略

			
		

	





	

		

			

				
					
安全漏洞】安全漏洞处理--站点脚本编制

				
			

			

				

					
				

				

					11-21
					
					214
					
				

			

		

		

			
				
这里并没有写的很完全,如果你的系统中加了这段代码,还是出现问题,那么你就要去看看源文件了,看存在哪些特殊的字符,在这段代码中进行补充就可以了;注意:1、404.jsp页面或者其他页面的输出错误路径语句,也会检测到站点脚本编制错误,要把输出路径语句删除或者屏蔽。通过修改原始请求参数,可获取正常的响应结果,并且可以在响应的内容中获取到修改原始参数添加的那部分脚本。对修改原始请求参数添加的脚本进行过滤,找到关键词后对关键词进行替换或者直接报错跳转到异常页面。响应的内容中获取到修改原始参数添加的那部分脚本

			
		

	





	

		

			

				
					
java 站点脚本编制_AppScan站点脚本编制修复

				
			

			

				

					weixin_39720807的博客
				

				

					02-13
					
					194
					
				

			

		

		

			
				
查了下百度,站点脚本编制其实也就是在url后加入参数和js脚本实现一些坏坏的事情,至少appscan就是这么干的。那么主要的工作就是把恶意代码给过滤了,作为javaweb开发,明显第一步想到的是过滤器。网上很多都是将request对象 传入HttpServletRequestWrapper的子类 ,主要是将获取信息的方法过滤了一下,主要有:getParameterValues,getParame...

			
		

	





	

		

			

				
					
《appscan教程》 三 sql注入站点脚本编制

				
			

			

				

					程序猿学社的博客
				

				

					08-30
					
					2183
					
				

			

		

		

			
				
sql注入站点脚本编制


package com.cloudtech.web.filter;
 
import java.io.IOException;
 
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servle...

			
		

	





	

		

			

				
					
站点脚本编制  解决方案( IBM)

				
			

			

				

					收集盒  Book box
				

				

					11-21
					
					4012
					
				

			

		

		

			
				
站点脚本编制







修订建议





一般

若干问题的补救方法在于对用户输入进行清理。 通过验证用户输入未包含危险字符,便可能防止恶意的用户导致应用程序执行计划外的任务,例如:启动任意 SQL 查询、嵌入将在客户端执行的 Javascript 代码、运行各种操作系统命令,等等。 建议过滤出所有以下字符:
[1] |(竖线符号)
[2] & (& 符

			
		

	





	

		

			

				
					
站点脚本编写综合教程

				
			

			

				

					aboutmn的博客
				

				

					08-28
					
					1034
					
				

			

		

		

			
				
第一部分:概述
什么是XSS?
站点脚本(XSS)是一种代码注入攻击,它使攻击者可以在用户的浏览器中执行恶意JavaScript。
攻击者不会直接针对其受害者。 相反,他利用受害者访问的网站中的漏洞来使网站为他提供恶意JavaScript。 对于受害者的浏览器而言,恶意JavaScript似乎是网站的合法部分,因此该网站充当了攻击者的无意帮凶。
如何注入恶意JavaScript
攻击者在受害者的浏览器中运行其恶意JavaScript的唯一方法是将其注入受害者打开的网站页面。 如果如果网站部队用户输入进行过

			
		

	





	

		

			

				
					
【XSS脚本存储XSS(持久

				
			

			

				

					
				

				

					08-23
					
					1785
					
				

			

		

		

			
				
【XSS脚本存储XSS

			
		

	





	

		

			

				
					

				
			

			

				

					
				

			

		

		

			
				

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值