iis 7.5 php 防止跨站,iis安全---防范XSS跨站式脚本攻击

最新推荐文章于 2023-03-18 16:39:08 发布
最新推荐文章于 2023-03-18 16:39:08 发布
阅读量400 收藏
点赞数
文章标签: iis 7.5 php 防止跨站

iis安全---防范XSS跨站式脚本攻击

网站要怎么防范常见的XSS跨站式脚本攻击呢,我们先从XSS跨站式脚本攻击的原理来说起。

网站遭受XSS跨站式脚本攻击的基本原理

1.本地利用漏洞,这种漏洞存在于页面中客户端脚本自身。

其攻击过程如下所示:

A给B发送一个恶意构造了Web的URL。

B点击并查看了这个URL。

恶意页面中的JavaScript打开一个具有漏洞的HTML页面并将其安装在B电脑上。

具有漏洞的HTML页面包含了在B电脑本地域执行的JavaScript。

A的恶意脚本可以在B的电脑上执行B所持有的权限下的命令。

2反射式漏洞,这种漏洞和本地利用漏洞有些类似,不同的是Web客户端使用Server端脚本生成

页面为用户提供数据时,如果未经验证的用户数据被包含在页面中而未经HTML实体编码,客户

端代码便能够注入到动态页面中。

其攻击过程如下:

A经常浏览某个网站,此网站为B所拥有。B的站点运行A使用用户名/密码进行登录,并存储敏

感信息(比如银行帐户信息)。

C发现B的站点包含反射性的XSS漏洞。

C编写一个利用漏洞的URL,并将其冒充为来自B的邮件发送给A。

A在登录到B的站点后,浏览C提供的URL。

嵌入到URL中的恶意脚本在A的浏览器中执行,就像它直接来自B的服务器一样。此脚本盗窃敏

感信息(授权、信用卡、帐号信息等)然后在A完全不知情的情况下将这些信息发送到C的Web

站点。

3存储式漏洞,该类型是应用最为广泛而且有可能影响到Web服务器自身安全的漏洞,骇客将攻

击脚本上传到Web服务器上,使得所有访问该页面的用户都面临信息泄漏的可能,其中也包括

了Web服务器的管理员。

其攻击过程如下:

B拥有一个Web站点,该站点允许用户发布信息/浏览已发布的信息。

C注意到B的站点具有存储式的XXS漏洞。

C发布一个热点信息,吸引其它用户纷纷阅读。

B或者是任何的其他人如A浏览该信息,其会话cookies或者其它信息将被C盗走。

类型A直接威胁用户个体,而类型B和存储式漏洞所威胁的对象都是企业级Web应用。

网站遭受XSS跨站式脚本攻击的基本方式

1. DOM-based cross-site scripting

页面本身包含一些DOM对象的操作,如果未对输入的参数进行处理,可能会导致执行恶意脚本

。如下面一些DOM操作:

document.URL

document.URLUnencoded

document.location (and many of its properties)

document.referrer

window.location (and many of its properties)

举个例子,假如某个脆弱的页面的代码如下:

Welcome!

Hi

var pos=document.URL.indexOf("name=")+5;

document.write(document.URL.substring(pos,document.URL.length));

Welcome to our system

攻击者使用如下的URL访问时,则非常危险:

试了一下,貌似IE、FireFox等浏览器默认 对进

行了编码,阻止了脚本的执行。但是对于 DOM操作还是要更加谨慎啊,比如把上面的页面修改

一下,安全性就增强了不少:

var pos=document.URL.indexOf("name=")+5;

var name=document.URL.substring(pos,document.URL.length);

if (name.match(/^[a-zA-Z0-9]$/))

{

document.write(name);

}

else

{

window.alert("Security error");

}

2. Reflected cross-site scripting

也被称为None-Persistent cross-site scripting,即,非持久化的XSS攻击,是我

们通常所说的,也是最常用,使用最广的一种方式。它通过给别人发送带有恶意脚本代码参数

的URL,当 URL地址被打开时,特有的恶意代码参数被HTML解析、执行。它的特点是非持久化

,必须用户点击带有特定参数的链接菜能引起。

3. Persistent cross-site scripting

持久化XSS攻击,指的是恶意脚本代码被存储进被攻击的数据库,当其他用户正常浏

览网页时,站点从数据库中读取了非法用户存入非法数据,恶意脚本代码被执行。这种攻击类

型通常在留言板等地方出现。

实施方式

我们来试一把Reflected cross-site scripting。当我们在某网站输入参数XXX,发现参数XXX

原样的出现在了页面源码中:

OK,可以开始做文章了,我们将XXX替换为:abc"/>

href=",返回的HTML代码如下:

抱玉于浮光
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
解决XSS跨站脚本攻击
01-22
这篇文档是针对XSS漏洞的防范的简单解析。
XSS防注入相关的解决方案web xss攻击 漏洞
宇飞林海的博客
05-26 4275
一、什么是 XSSXSS (Cross Site Scripting),即跨站脚本攻击,是一种常见于 Web 应用中的计算机安全漏洞。恶意攻击者往 Web 页面里嵌入恶意的客户端脚本,当用户浏览此网页时,脚本就会在用户的浏览器上执行,进而达到攻击者的目的。比如获取用户的 Cookie、导航到恶意网站、携带木马等。借助安全圈里面非常有名的一句话: 所有的输入都是有害的。 这句话把 XSS 漏洞的本质体现的淋漓尽致。大部分的 XSS 漏洞都是由于没有处理好用户的输入,导致恶意脚本在浏览器中执行。
跨站脚本攻击基础学习笔记
weixin_52034407的博客
03-18 181
跨站脚本攻击基础
.Net IIS 常用安全漏洞设置
oceanzh的博客
05-30 3293
安全选项 配置点 屏蔽 OPTIONS, TRACE Http响应   <system.webServer> <security>       <requestFiltering>         <verbsallowUnlisted="true">           <addverb="OPTIONS"allowed=&q
测试(绿盟)
weixin_43114209的博客
08-16 2535
测试(绿盟) 绿盟科技漏洞报告,IIS 修复 web.config 配置 <?xml version="1.0" encoding="UTF-8"?> <configuration> <system.webServer> <security> <requestFiltering> <requestLimits> &lt
如何防止XSS漏洞
zyn8823533的博客
02-14 2066
XSS跨站脚本攻击)是一种攻击攻击者通过注入恶意脚本代码,使得网站上的其他用户在浏览该网站时执行这些脚本代码,从而达到攻击的目的。CSP(内容安全策略):CSP可以限制浏览器中可以执行的代码,通过设置CSP策略,可以限制只允许加载来自特定域名的资源,防止恶意脚本的注入。安全编码:在编写代码时,要使用安全的编码方,例如对于用户输入的内容,使用htmlentities等转义函数进行处理。需要注意的是,以上方法并不是单独使用的,而是要结合使用,才能有效地防止XSS漏洞。
1、 web脚本攻击 2、 IIS安全设置
12-31
1、 web脚本攻击 2、 IIS安全设置 1. 地址栏中执行脚本  主机A在浏览器地址栏中输入“javascript:alert('xss')”确定后可以看到浏览器弹出了一个内容为xss的对话框,如图3-1-1所示。这说明在浏览器地址栏中输入可...
D盾守护网站安全,主动防御保护软件,IIS
12-02
禁止脚本连接本机的危险端口,如常见的Serv-U提权端口,防范通过第三方软件的网络端口进行提 权 禁止UDP向外发送,可有效防范UDP的DDOS攻击,如PHPDDOS等,有效限制网络带宽给恶意占用『组件限制』 禁止危险的组件...
Ddun-v2.1.5.7.zip
05-28
D盾专为IIS设计的一个主动防御的保护软件,以内外保护的方防止网站和服务器给入侵,在正常运行各类网站的情况下,越少的功能,服务器越安全的理念而设计!限制了常见的入侵方法,让服务器更安全! 功能介绍 一句话免疫...
铱迅网站防火墙(Web应用防火墙) 1.2.02.zip
07-14
防止URL SQL注入、群注、XSS跨站 防止关键文件下载(如.mdb,web.config文件) 防止缓冲区溢出 防止远程文件包含 防止机器人爬虫、自动攻击 封锁攻击者IP,支持设定阻断时间 信任脚本控制(白名单) 软件...
IIS中常见的十八个安全漏洞
07-09
IIS中常见的十八个安全漏洞
与http头安全相关的安全选项
hl1293348082的专栏
04-10 598
由于HTTP是一个可扩展的协议,各浏览器厂商都率先推出了有效的头部,来阻止漏洞利用或提高利用漏洞的难度。了解它们是什么,掌握如何应用,可以提高系统的安全性。 下面就简单介绍一下这些安全头的含义以及效果。 X-Frame-Options X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 <frame>,<iframe> 或者 <object> 中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌到别人的网站中去,也从而避免了
(原创)攻击学习之(1) - 跨站脚本(Cross-Site Scripting)
weixin_34032621的博客
09-06 411
声明:本文仅供学习研究之用,对于本文提到的某些网站XSS漏洞,请读者发扬高尚的人道主义精神不要去危害他人,同时希望相应的网站能够尽快修补XSS漏洞。 简介 XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。 使用过ASP的同...
xss介绍
songxiaomianbao的博客
08-24 783
详情介绍: XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容...
网站防止XSS攻击
changNet的专栏
07-19 1006
防止XSS攻击 名词解释:XSS 全称(Cross Site Scripting) 跨站脚本攻击, 是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的. 比如获取用户的Cookie,导航到恶意网站,携带木马等。 1、鹏云留学: XSS 是如何发生的呢 假如有下面一个textbox
XSS(Cross Site Scripting)-跨站脚本攻击
Ricardo_MLi的博客
11-15 873
XSS(Cross Site Scripting)-跨站脚本攻击XSS介绍XSS攻击目的及原理解决方案 XSS介绍 XSS跨站脚本攻击(Cross Site Scripting)的缩写。为了和层叠样表CSS(Cascading Style Sheets)加以区分,因此将跨站脚本攻击缩写为XSSXSS是因为有些恶意攻击者往Web页面中插入恶意Script代码,当用户浏览该页面时,嵌入的Scr...
v-html跨站脚本攻击,iis安全---防范XSS跨站脚本攻击
weixin_31464715的博客
06-22 391
iis安全---防范XSS跨站脚本攻击原文:网站要怎么防范常见的XSS跨站脚本攻击呢,我们先从XSS跨站脚本攻击的原理来说起。网站遭受XSS跨站脚本攻击的基本原理1.本地利用漏洞,这种漏洞存在于页面中客户端脚本自身。其攻击过程如下所示:A给B发送一个恶意构造了Web的URL。B点击并查看了这个URL。恶意页面中的JavaScript打开一个具有漏洞的HTML页面并将其安装在B电脑上。具有漏...
XSS跨站脚本攻击及漏洞防御
weixin_67757219的博客
02-06 139
XSS 的定义跨站脚本攻击(cross-site scripting,简称 XSS),是黑客用来潜入 Web 应用程序的最普遍的应用程序层攻击之一。攻击者往Web页面里插入恶意html代码,当用户浏览该页面时,嵌入Web里的html代码会被执行,从而达到恶意攻击用户的特殊目的。XSS 的目的盗走客户端 cookies(相当于我们打开房间的钥匙),或者任何可以用于在 Web 站点确定客户身份的其他敏感信息。获取这些信息后,黑客就有了合法用户的身份,从而可以冒充用户与站点交互。XSS 的危害。
jsp如何防止xss跨站脚本攻击
最新发布
06-07
JSP 可以通过以下几种方防止 XSS 跨站脚本攻击: 1. 输入检查和过滤:在 JSP 页面中对用户输入的数据进行检查和过滤,例如过滤掉 HTML 标签和 JavaScript 代码等。 2. 输出编码:在 JSP 页面中输出变量时,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值