XSS攻击分析---(原理、危害、防御、应急响应)

最新推荐文章于 2024-09-24 09:57:36 发布
最新推荐文章于 2024-09-24 09:57:36 发布
阅读量659 收藏 16
点赞数 25
分类专栏: # 安全攻防 文章标签: xss 服务器 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/summoxj/article/details/138542009
版权

1、攻击原理

造成XSS漏洞的原因就是,对攻击者的输入没有经过严格的控制,使得攻击者通过巧妙的方法注入恶意指令代码到网页,进行加载并执行。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java, VBScript, ActiveX, Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到更高的权限(如执行一些操作)、个人网页内容、会话和cookie等各种内容。

  1)非持久型:

  通过 GET、POST、referer 等参数未加处理直接输出到页面执行。该类型是最为常见的,攻击者主要利用此类型通过email、热度非常大的论坛、或者有针对性的某一用户发送一个隐藏性的链接,让受害者进行点击触发。

  2)持久型:

  由攻击者输入恶意数据保存在数据库,再由服务器脚本程序从数据库中读取数据,然后显示在公共显示的固定页面上,那么所有浏览该页面的用户都会被攻击。该类型攻击性非常大,危险也非常大。

  3)DOM型:

  由Javascript 脚本动态创建、输出到页面造成的。该类型不容易发现,具有隐藏性的特点,必需手工去发现。

  4)浏览器漏洞造成:

  在某个浏览器版本造成的漏洞,由浏览于用户浏览历史、页面交互等方式,未加处理,所造成的。该漏洞攻击危害非常大,一旦存在,基本可以实现跨域操作,严重者可以以本地权限执行 javascript 脚本,访问读取本地文件。

2、常见场景:

 1)回帖,评论,用户输入在页面直接进行显示,没有进行过滤。

 2)用户反馈,客服提问,输入的恶意脚本在后台进行了执行,窃取后台管理员cookie等信息。

 3)搜索展示搜索结果的时候直接展示用户输入。

3、危害影响

1、攻击者可能利用XSS攻击获取业务系统服务器账号权限登

4、防御方法

1)htmlspecialchars() 函数:用于转义处理在页面上显示的文本。

2)htmlentities() 函数:用于转义处理在页面上显示的文本。

3)strip_tags() 函数:过滤掉输入、输出里面的恶意标签。

4)header() 函数:使用header("Content-type: application/json"); 用于控制 json 数据的头部,不用于浏览。

5)urlencode() 函数:用于输出处理 字符型参数带入页面 链接中。

6)intval() 函数:用于处理数值型参数输出页面中。

7)自定义函数:大多情况下,要使用一些常用的 html 标签以美化页面显示,如留言、小纸条。在这样的情况下,要采用白名单的方法使用合法的标签显示,过滤掉非法的字符。

5、研判思路

1、判读是否为规则误报

 1)基于漏洞特征检测:查看是否在请求中包含明文或转义/转码后的执行语句,比如<script>alert()</script>等;

 2)排除业务导致的误报:需要排除业务系统不规范导致的误报情况,比如业务请求中包含alert等字段时的误报

2、判断是否为恶意行为

 1)需要确认是否为分析和研究人员的测试行为;

 2)需要排除是否为内网已授权漏洞扫描器的扫描行为

3、判断是否攻击成功

1)如果来源IP为内网,则说明内网已存在失陷服务器,可以认为攻击成功,该告警的处置优先级高;

 2)如果来源IP为外网,返回值中包含攻击者已执行成功/获取到有效信息,则认为是攻击成功。

6、应急响应-事中处置

1、已失陷主机

 1)隔离和处置失陷机器:及时联系机器负责人,对感染的机器采取断网操作,并且修改相关账户的口令,下载杀毒软件或者专杀软件进行清除;

 2)内部通告和培训:及时进行内部通告和培训,增强企业员工安全意识,对不明邮件附件和不明站点可疑连接谨慎点击访问,从正规渠道下载程序,不安装来自不明来源的应用程序;

 3)端口限制:根据业务情况,在不影响的情况下可选择在安全策略中限制如下端口,3306(MYSQL)、1521(ORACLE)、1433(SQL SERVER)、5432(PG)、6379(REDIS)、9200(ES)

 4)漏洞修补:对存在漏洞的主机进行安全漏洞修复,及时对设备系统进行安全更新和应用安全补丁更新

2、已失陷账户

 1)修改密码:建议采用数字、符号及大小写字母混合的方式,设置8位以上的密码;

 2)账户封禁

 3)账户权限收回

3、外部攻击遏制

 1)封禁IP:在防火墙上配置IP黑名单,封堵攻击源主机

7、应急响应-事后加固

 1)更新网络安全管理措施:根据该事件中暴露的问题,针对性修订完善网络安全管理制度,做好攻击预警和处置,同时对攻击事件进行复盘,并更新网络安全突发事件应急预案;

 2)加强网络安全隐患修补:在消除该事件攻击影响的情况下,开展网络安全隐患排查和修补。例如,在权限管理方面,重点排查弱口令、账户权限、口令更新和共用等问题;在漏洞修补方面,及时更新系统、软件、硬件等漏洞补丁;

 3)自动化封禁:使用SOAR或其他自动化手段将此类告警外网源IP在第一时间进行边界防火墙的封禁;

 4)保持网络安全设备特征库更新:日常运维过程中需要保持特征库为最新版本

____-7
关注
专栏目录
XSS (跨站脚本攻击) 详解
TechEnthusiast的博客
08-07 200
XSS(Cross-Site Scripting)是一种常见的web应用程序漏洞,允许攻击者将恶意脚本注入到其他用户浏览的网页中。当受害者浏览这些被注入恶意脚本的页面时,脚本会在用户的浏览器中执行,可能导致各种安全问题。XSS攻击之所以危险,是因为它能够绕过同源策略(Same-Origin Policy),这是浏览器的一种安全机制,用于限制不同源之间的交互。
07-XSS之攻击与防御1
08-03
1、论安全响应中心的初衷 2、安全应急响应中心之威胁情报探索 3、论安全漏洞响应机制扩展 4、企业级未授权访问漏洞防御实践 5、浅谈企业SQL注入漏洞的危害与防
网络安全应急响应----6、挖矿攻击应急响应
热门推荐
七天
03-21 1万+
文章目录一、挖矿木马简介1、挖矿流程2、挖矿木马的传播方式二、常见的挖矿木马三、挖矿木马应急响应方法3.1、隔离被感染的服务器/主机3.2、确认挖矿进程3.3、系统排查3.3.1、判断挖矿木马挖矿时间3.3.2、了解网络部署环境3.3.3、系统排查3.4、挖矿木马清除四、挖矿木马防御 一、挖矿木马简介 挖矿: 每隔一个时间点,比特币系统会在系统节点上生成一个随机代码,互联网中的所有计算机都可以去寻找此代码,谁找到此代码,就会产生一个区块。而比特币的发行是基于奖励的,每促成一个区块的生成,该节点便获得相应
一次勒索病毒应急响应复盘
Innocence_0的博客
10-02 163
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
Web安全漏洞分析-XSS(上)
qq_61861243的博客
11-27 876
http是无状态的,一次请求结束,连接断开服务器再收到请求,无法识别此连接是哪个用户为了需要辨别访问用户,需要一种记录用户的方式。
XSS攻击冷门花样玩法总结
xysoul的专栏
04-29 1605
前言 什么是冷门,就是很少有人知道,而且不方便利用,危害性有的大,有的小。但对攻击者来说,它有一个“优点”——能让网站管理员不经意之间中招,一个小小的细节,就能完成攻击。本文里总结的攻击方式比较冷门,但危害和影响并不小,值得我们关注。 0×01 Apache||Nginx访问日志的Attack 网站管理员有时为了更好的维护网站,会在服务器上开启日志,为了更快一步的发现安全问题,并
网络安全-XSS原理、攻击及防御
msb_114的博客
06-04 704
跨站脚本攻击(全称Cross Site Scripting,为和CSS(层叠样式表)区分,简称为XSS)是指恶意攻击者在Web页面中插入恶意javascript代码(也可能包含html代码),当用户浏览网页之时,嵌入其中Web里面的JavaScript代码会被执行,从而达到恶意攻击用户的目的。XSS是攻击客户端,最终受害者是用户,当然,网站管理员也是用户之一。XSS漏洞通常是通过php的输出函数将javascript代码输出到html页面中,通过用户本地浏览器执行的,所以xss漏洞关键就是。
XSS攻击原理危害,说的太详细了!(值得收藏)
weixin_45840241的博客
06-04 1138
攻击者利用用户输入片段,拼接特殊格式的字符串,突破原有位置的限制,形成了代码片段。通过 HTML 转义,可以防止部分 XSS 攻击。(不同情况下,需要采用不同的转义规则)如果数据是以 json 的形式,内联到 html 中 , 插入 json 的地方不能用 escapeHTML() 转义, 这样会破坏json格式。如果 json 中包含字符串时, 会闭合前一个标签,通过增加一个标签,就可以完成注入。对于链接跳转,如或,要检验其内容,禁止以。
Web-安全渗透全套教程XSS跨.zip
05-22
7. 应急响应和修复:讲解发现XSS漏洞后,如何及时修补,防止攻击发生。 视频"Web-安全渗透全套教程XSS跨.mp4"很可能是该教程的主要教学内容,涵盖上述各个知识点,通过实战演示和讲解,帮助学习者掌握XSS攻防的核心...
信息安全-网络安全漏洞防护技术原理与应用
我的个人博客
09-05 4755
网络安全漏洞防护技术原理与应用、网络安全漏洞概述、网络安全漏洞分类与管理、网络安全漏洞扫描技术与应用、网络安全漏洞处置技术与应用、网络安全漏洞防护主要产品与技术指标
【车联网安全】车端网络攻击及检测的框架/模型
最新发布
#7的博客
09-24 1494
本文主要调研了车联网安全的一些攻击及检测的模型/框架,对国家标准进行了调研,并汇总上述调研内容。
Rootkit介绍
#7的博客
04-24 1370
本文主要介绍了Rootkit相关知识。
【云安全】云原生安全攻防
#7的博客
09-24 1229
本文主要介绍了云原生场景下的安全风险。
渗透测试流程
#7的博客
05-07 1229
本文主要介绍了渗透测试的场景流程,及子流程的分析
【车联网安全】车端知识调研
#7的博客
09-24 1175
本文主要对车端知识以及车端攻防场景进行调研总结。
【云安全】云服务安全攻防
#7的博客
09-20 1083
本文主要介绍了场景的云服务攻击场景。
渗透测试流程-信息收集-C段+旁站
#7的博客
04-09 1015
主要介绍了旁站、C段信息收集
揭示XSS攻击原理危害防御策略
XSS攻击危害性显著,具体表现在以下几个方面: 1. 数据安全威胁:攻击者能够盗取用户的个人账号信息,如登录密码、网银账户、管理员权限等,对企业造成重大经济损失。 2. 企业数据掌控:攻击者可能获取并篡改企业...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值