Web安全的攻与防——XSS

最新推荐文章于 2022-07-03 14:05:38 发布
最新推荐文章于 2022-07-03 14:05:38 发布
阅读量183 收藏
点赞数
分类专栏: JavaScript Node.js 前端 Web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_37994110/article/details/88926594
版权
前端 同时被 3 个专栏收录
34 篇文章 1 订阅
订阅专栏
JavaScript
26 篇文章 0 订阅
订阅专栏
Node.js
9 篇文章 0 订阅
订阅专栏

1 XSS攻击

XSS攻击,指黑客通过“HTML”注入篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击行为。

接下来通过一个简单的示例展示XSS攻击的一种方式,服务器使用nodejs

假设我的web服务器上提供了这样一个网页,读取url中用户提交的名字,然后输出到页面中

var server = http
  .createServer(function(req, res) {
    if (req.url != "/favicon.ico") {
      var r = url.parse(req.url);
      var obj = querystring.parse(r.query);
      let name = obj.name;
      let html = `<div>服务器将用户输入的数据直接写到页面中</div>
            <div>大家好,我是${name}</div>`;
      res.writeHead(200, { "Content-Type": "text/html; charset=utf-8" });
      res.write(html);
      res.end();
    }
  })
  .listen(52052);

console.log("server is listening at port 52052");

正常的时候,我通过这样一个URL转到网页http://localhost:52052?name=bright,如下图
在这里插入图片描述
但是加入我输入这样一个URL呢?http://localhost:52052?name=<script>alert(‘this is a xss attack’)</script>
Chrome会检测url中的恶意代码,但是edge不会,edge下结果如下图:
在这里插入图片描述
可以看到用这个url可以在网页中注入我的HTML代码,并执行了其中的脚本。但是到目前为止,都只是我自己在自娱自乐,怎么作为传说中的黑客去攻击别人呢?假如我把这个链接用邮件或者其他方式发给了你,然后你又出于好奇打开了这个链接,那么在你的网页上就会执行我注入的脚本代码。想象一下这是一个银行的网站的话,那么我可以编写脚本,窃取你的银行账户信息(脚本中通过ajax模拟你的操作查询服务器,并将数据发给我的服务器),如果网站没有认证机制那么我甚至可以直接转账给其他银行账户。

反射型xss

上面的示例是反射型xss,反射型xss其实就是服务器把用户的数据直接输出给浏览器,在攻击的时候往往要构建一个url,然后诱使攻击目标点击这个url。

存储型xss

存储型xss会将客户的输入存储在服务器端,最典型的就是博客系统,假如我在博客的富文本编辑器中插入了<script>标签,其中加载了我编写的脚本代码,那么所有浏览我这篇博客的同学的浏览器中都会执行我的脚本。如果能在被攻击者的浏览器中执行我的代码,那我的代码就可以模拟被攻击者的大部分操作,控制被攻击者的账户,在其浑然不觉的情况下窃取数据,删除数据,甚至将这篇有问题的博客推荐给其好友并感染其好友(可以想象感染可能是1传10,10传100的指数型增长)。

当然这只是分析,像CSDN的markdown编辑器中script标签,img标签都是被过滤的,这是xss攻击的防御方面的,待会儿我们会着重分析。

DOM Based XSS

前两种都是服务器向客户端直接输出有问题的脚本。但是有时候并不是这么直接。

有时候我们会向DOM中通过innerHTML这种形式来动态改变dom,这种情况下,假如innerHTML中插入的数据是来自其他用户的输入,比如从服务器拿了一个数据,然后又将这个数据在JavaScript中写到页面中,这样就可能导致xss攻击。

XSS攻击的防御

xss攻击本质上是一种HTML注入,即攻击者想法设法的向服务器提供的网页中嵌入能够执行自己的脚本的html代码。

(1) HttpOnly

服务器在set-cookie的时候指定一个httponly的参数,这样可以保证cookie不会被脚本读取到,只能用于http请求。
Set-Cookie:token=123443243; expires= ${new Date()}; max-age=120; domain=localhost;httponly

(2) 输入检查

在用户输入的时候检查,判断用户的输入是不是可能导致xss攻击,过滤掉特殊字符比如<、>等,但是需要视情况而定,一律暴力过滤可能会影响原有功能。如果用户的输入并不会写入html文档中,那么就不会导致xss攻击。

在富文本编辑器中,过滤掉危险的标签比如script, base,JavaScript伪协议等,同时事件的触发也要严格禁止。可以用htmlparser分析得到的html代码,看是不是会执行恶意代码。使用标签的白名单而不是黑名单。

(3)输出检查

将特殊字符编码成html实体

Bright's Dream
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Web前端安全系列之:XSS
javagty6778的博客
03-03 147
Web` 击技术的发展也可以分为几个阶段。在 `Web 1.0` 时代,人们更多的是关注服务器端动态脚本的安全问题,比如将一个可执行脚本(俗称 `webshell`)上传到服务器上,从而获得权限。后续有出现了`SQL`注入,`SQL`注入的出现是`Web`安全史上的一个里程碑,`SQL`注入漏洞至今仍然是`Web`安全领域中的一个重要组成部分。再后续另一个里程碑的安全问题问世--`XSS`(跨站脚本击)。伴随着 `Web 2.0` 的兴起,`XSS`、`CSRF` 等击已经变得更为强大。
web安全XSS击原理及
weixin_43964148的博客
06-22 2732
[外链图片转存失败,源站可能有盗链机制,建议将图片保存下来直接上传(img-nHwrCkXL-1592795850369)(https://static01.imgkr.com/temp/e31bf9555c2e44eeb535ca5ad63dda63.png)] 一:什么是XSS击? XSS 即(Cross Site Scripting)中文名称为:跨站脚本击。XSS的重点不在于跨站点,而在于脚本的执行。那么XSS的原理是: 恶意击者在web页面中会插入一些恶意的script代码。当用户浏览该页面
常规web***测试漏洞描述及修复建议
weixin_33840661的博客
12-12 585
Apache样例文件泄漏 测试方法   在链接的根目录中添加examples或者docs目录进行访问判断! 漏洞描述  apache一些样例文件没有删除,可能存在cookie、session伪造,进行后台登录操作 修复建议  1、删除样例文件 2、对apache中web.xml进行相关设置 弱口令 测试方法   先手工尝试一些最基本的弱口令,如admin/admin、admin/123456、ad...
浅谈跨站脚本击与
飞奔的小土豆@1024
12-11 483
参考:OWASP关于xss修复建议   跨站脚本简称xss(cross-site scripting),利用方式主要是借助网站本身设计不严谨,导致执行用户提交的恶意js脚本,对网站自身造成危害。xss漏洞web渗透测试中最常见而又使用最灵活的一个漏洞,近期在拜读了《白帽子讲web安全》、《Web实战篇》、《XSS跨站脚本击剖析与御》等几部佳作后,决定整理关于Xss漏洞的一些知识,并以本篇作...
XSS漏洞
MingShenfree的博客
10-08 177
一,学习XSS的前提条件 1,html常见标签,javascript创建函数 2,DOM结构 3,cookie,token,session的含义 4,标签的事件 5,javascript伪协议 6,url编码,hex编码,url实体编码等 二,XSS含义及解释 XSS击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行击者...
XSS漏洞与SQL注入漏洞介绍及解决方案
weixin_33882452的博客
03-29 499
一、跨站脚本***(XSS)跨站脚本***的原理XSS又叫CSS (Cross Site Script) ,跨站脚本***。它指的是恶意***者往Web页面里插入恶意脚本代码,而程序对于用户输入内容未过滤,当用户浏览该页之时,嵌入其中Web里面的脚本代码会被执行,从而达到恶意***用户的特殊目的。跨站脚本***的危害:窃取cookie、放蠕虫、网站钓鱼...跨站脚本***的...
渗透测试常见漏洞描述及修复建议
Kak_Sky的博客
07-03 5100
常见漏洞漏洞描述与修复建议/安全建议
XSS跨站脚本击剖析与
04-28
第5章 XSS Worm,讲解了Web 2.0的最大威胁——跨站脚本蠕虫,剖析了Web 2.0相关概念和其核心技术,这些知识对于理解和预XSS Worm十分重要。第6章 Flash应用安全,就当前的Flash应用安全做出了深入阐述。第7章 深入...
Web应用安全XSS盗取cookiepayload.pptx
06-18
Web应用安全领域中,XSS(跨站脚本击)是一种常见的威胁,它涉及到击者通过注入恶意脚本到网页中,从而操控用户浏览器的行为。本文主要探讨的是XSS击中的一种常见手法——盗取Cookie,以及其工作原理、实例...
机器学习实现web击检测——XSS、SQL注入Webshell检测.zip
最新发布
05-06
在网络安全领域,Web击是常见的威胁之一,包括跨站脚本击(XSS)、SQL注入击和Webshell击。这些击手段对网站的安全性构成严重威胁,因此,使用机器学习来实现Web击检测已经成为一种有效的御策略。本文...
Web应用安全XSS篡改页面(实验).docx
06-19
"Web应用安全XSS篡改页面(实验)" 本节课将介绍Web应用安全中的一种常见击手法:跨站脚本击(Cross-Site Scripting,XSS)。XSS击是指击者在Web应用程序中注入恶意脚本,然后当用户访问该Web应用程序时...
WEB漏洞测试(二)——HTML注入 & XSS
qq_28241149的博客
02-28 2万+
上一篇介绍了我们安装BWAPP来完成我们的漏洞测试 在BWAPP中,将HTML Injection和XSS做了非常详细的分类,那么为什么要将两个一起讲呢?归根结底,我觉得这两个分明是一个玩意,充其量是击的方式不一样。 我们先来介绍一下这两种漏洞的原理,简单说:当用户在输入框输入内容,后台对输入内容不做处理直接添加入页面的时候,用户就可以刻意填写HTML、JavaScript脚
关于HTML 代码注入XSS击问题解决
热门推荐
帅大叔的博客
10-19 3万+
大部分的网站一般都有评论功能或留言功能,或类似可以让用户写东西的地方。如果后台不经过处理,又把数据返回前端,这就会出问题了。网页解析器会把用户的信息也当成html代码给解析了。如果用户写的是一些恶意的 js 脚本这是很危险的。专业术语叫:XSS 击一、举个例子:假设后台和前台都没有对用户的信息,进行处理。我们输入如下的代码:<script> var body= document.body;
nodejs使用Buffer对象进行base64的编码和解码
weixin_37994110的博客
03-30 2万+
编码 流程:先将待编码的字符串转成Buffer对象,然后将Buffer中的内容用Base64编码导出编码后的base64字符串 代码: let str = "我是待编码的字符串" console.log(str) // 输出: 我是待编码的字符串 let buffer = Buffer.from(str, 'utf-8') var base64Str = buffer.toString('ba...
Nodejs中复制文件的四种方法
weixin_37994110的博客
04-06 1万+
1 copyFile fs.copyFile(src, dest[, flags], callback) Node v8.5.0以后可用,用法如下: fs.copyFile('./src/index.js','./dist/index.js',function(err){ if(err) console.log('something wrong was happened') else co...
webpack4, babel-loader8, babel7综合使用
weixin_37994110的博客
05-12 796
安装 npm install --save-dev babel-loader @babel/core @babel/preset-env webpack 使用 安装上面所示的插件,其中babel-loader是webpack的loader,用于打包时处理js文件,@babel/core是babel的核心功能,@babel/preset-env是babel预置的一系列转换ECMAScript...
Nodejs中的事件循环、定时器、nextTick()以及与EventEmitter的关系详解
weixin_37994110的博客
04-10 483
参考资料:The Node.js Event Loop, Timers, and process.nextTick() 什么是事件循环? 事件循环允许nodejs完成非阻塞的IO操作(尽管JavaScript是单线程的)。 简单来说,在nodejs中,遇到IO操作或者网络连接等阻塞性的行为的时候,将这个操作交给nodejs底层的线程池去处理,而不会阻塞主线程。当线程池中的任务完成之后,会将结果和回...
node js实现文件夹的复制、清除
weixin_37994110的博客
04-06 382
let fs = require("fs"); // 将将源文件路劲拷贝到目的路劲 function cpyFile(target, source) { let sdata = fs.readFileSync(source, { flag: "r" }); fs.writeFileSync(target, sdata, { flag: "w" }); } // 递归删除某一个文件夹下的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值