应用软件安全编程--18预防存储型 XSS

最新推荐文章于 2024-05-29 07:47:39 发布
最新推荐文章于 2024-05-29 07:47:39 发布
阅读量304 收藏
点赞数
分类专栏: 应用软件安全编程 文章标签: 安全 xss 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wzh305365294/article/details/134417893
版权

应用程序从数据库或其他后端数据存储获取不可信赖的数据,在未检验数据是否存在恶意代码的 情况下,便将其传送给了 Web 用户,应用程序将易于受到存储型 XSS 攻击。

对于预防存储型 XSS 的情况,示例给出了不规范用法(Java 语言)示例。

示例:

<%   .

Statement     stmt     =     conn.createStatement();

ResultSetrs = stmt.executeQuery("select * from users where id ="+ id);

String address = null;

if   (rs!=    null){

rs.next();

address = rs.getString("address");

 

%>

家庭地址:<%= address %〉

上面 JSP 代码片段的功能是根据一个已知雇员ID(eid)从数据库中查询出该雇员的姓名,并显示 在JSP 页面上。

如果 name 的值是由用户提供的,且存入数据库时没有进行合理的校验,那么攻击者就可以利用上 面的代码进行存储型 XSS 攻击。

为了避免存储型XSS 攻击,建议采用以下方式进行防御:

a)  与预防反射型 XSS 相同,对用户的输入进行合理验证(如年龄只能是数字),对特殊字符(如 〈、〉、"以及<script〉、javascript等)进行过滤。

b) 与预防反射型 XSS 相同,根据数据将要置于 HTML上下文中的不同位置(HTML   标签、HTML属性、JavaScript脚本、CSS、URL),对所有不可信数据进行恰当的输出编码。

c) 与预防反射型 XSS 相同,设置 HttpOnly 属性。

奔跑的老人吴
关注
专栏目录
xss-demo-master.zip
04-21
1. 存储XSS:此类攻击发生在服务器端,攻击者将恶意脚本提交到服务器,存储数据库或其他存储介质中,当其他用户访问含有恶意脚本的页面时,脚本会被执行。例如,在论坛发帖中嵌入JavaScript代码,其他查看该帖子...
商业编程-源码-cooco许愿墙.zip
06-20
在IT行业中,商业编程是指为商业应用开发软件的过程,它强调代码的可维护性、可扩展性和商业化特性。许愿墙是一种常见的社交功能,用户可以在上面发布自己的愿望或者祝福,它通常包含用户交互、数据存储和显示等功能...
存储XSS攻击的解决方法
weixin_43901818的博客
08-21 1万+
为了避免存储XSS攻击建议采用以下方式进行防御 1.对从数据库或其它后端数据存储获取不可信赖的数据进行合理验证(如年龄只能是数字),对特殊字符(如`<、>、以及<script>、javascript等进行过滤)。 2.设置HttpOnly属性,避免攻击者利用跨站脚本漏洞进行Cookie劫持攻击。在java EE中,给Cookie添加HttpOnly代码: response.setHeader(“Set-Cookie”,“cookiename=value; Path=/;Domai
Java中的10种方法防止XSS攻击
热门推荐
qq_28245087的博客
06-29 1万+
这些方法包括输入验证和过滤、安全的HTML和URL编码、Content Security Policy(CSP)的使用、安全的模板引擎和富文本编辑器、用户输入的验证和限制、安全的Cookie设置以及防止跨站点请求伪造(CSRF)。通过实施这些方法,可以降低XSS攻击的风险,保护应用程序和用户的数据安全。通过使用安全的Cookie设置,您可以增加Web应用程序的安全性,保护用户的身份验证和敏感信息免受攻击和滥用。通过验证和限制用户输入,您可以增加应用程序的安全性和可靠性,防止潜在的安全漏洞和错误数据的影响。
XSS 防御方法总结
一起记录GIS学习
07-21 4594
1.XSS攻击原理 XSS原称为CSS(Cross-Site Scripting),因为和层叠样式表(Cascading Style Sheets)重名,所以改称为XSS(X一般有未知的含义,还有扩展的含义)。XSS攻击涉及到三方:攻击者,用户,web server。用户是通过浏览器来访问web server上的网页,XSS攻击就是攻击者通过各种办法,在用户访问的网页中插入自己的脚本,让其在用户访问网页时在其浏览器中进行执行。攻击者通过插入的脚本的执行,来获得用户的信息,比如cookie,发送到攻击者自.
XSS跨站脚本安全漏洞防护
Zyw907155124的博客
06-05 1852
存储XSS是指应用程序通过Web请求获取不可信赖的数据,并且在未检验数据是否XSS代码的情况下,将其数据库存储XSS可以持续攻击用户,在用户提交了包含XSS代码的数据存储数据库后,每当用户在浏览网页查询对应数据库中的数据时,那些包含XSS代码的数据就会在服务器解析并加载,当浏览器读到XSS代码后,会当做正常的HTML和JS解析并执行,于是发生存储XSS攻击。如果address的值是由用户提供的,且数据库时没有进行合理的校验,那么攻击者就可以利用上面的代码进行存储XSS攻击
存储XSS攻击预防措施完整教程
2301_76418831的博客
05-03 1199
存储 XSS 攻击(Stored XSS Attack)是指攻击者将恶意代码存储到服务器端,然后通过用户访问被攻击的网站时触发恶意代码,从而进行攻击。
商业编程-源码-安全天使文章发布系统(Sarticle) v1.5 无分类版.zip
06-22
安全天使文章发布系统(Sarticle) v1.5 是一款专为商业编程设计的文章管理系统,它提供了无分类版的简化功能,适用于中小企业或个人博客进行内容管理。该系统的重点在于提供一个安全、稳定且易用的平台,帮助用户...
efucms-含有存储XSS漏洞的源码包.zip
12-31
存储XSS是一种常见的Web应用安全问题,攻击者可以利用此漏洞在网站上注入恶意脚本,当其他用户访问受影响页面时,这些脚本会被执行,可能导致敏感信息泄露、用户会话劫持甚至完全控制用户浏览器。 描述中的"亲测...
XSS原理与防御措施
广工最菜的琛
12-22 535
XSS 欢迎关注驿外残香 | HC的博客 XSS概念 XSS又称CSS,全称Cross Site Script,跨站脚本攻击。 其原理是攻击者针对有XSS漏洞的网站构建或输入恶意的Script代码,当其它用户点击恶意链接或者浏览该网站时,这段Script代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie、破坏页面结构、重定向到其它网站等。 与CSRF攻击之间的区别是: CSRF攻击是通过...
【转】XSS的两种攻击方式及五种防御方式
tpriwwq的专栏
11-05 4210
XSS攻击介绍及防御方法
Java代码漏洞检测-常见漏洞与修复建议
最新发布
dzqxwzoe的博客
05-29 2466
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
代码漏洞说明
m0_37607945的博客
12-01 2041
1. 代码注入:命令注入 命令注入是指,在应用程序执行的命令中包含来源于不可信数据时,程序本身没有对这些不可信数据做正确、合理的验证和过滤,导致系统执行恶意命令。 例1:以下代码通过Runtime.exec()方法调用Windows的dir命令,列出目录列表。 package com.syn; import java.io.*; public class DirList { public static void main(String[] args) { String dir =
xss】Java编写filter实现防止XSS攻击
qq_37634156的博客
04-08 4931
前言 名词解释 XSS攻击全称跨站脚本攻击(Cross Site Scripting),为了与重叠样式表CSS区分,换了另一个缩写XSSXSS攻击的核心是将可执行的前端脚本代码(一般为JavaScript)植入到网页中,听起来比较拗口,用大白话说就是攻击者想让你的浏览器执行他写的JS代码。 一般XSS分为两种: 反射 实现方式: 1、攻击者将JS代码作为请求参数放置URL中,诱导用户点击,比如: http://localhost:8080/test?name=<script
正确采取Xss攻击防御措施
zollty的专栏
01-13 2167
灵魂拷问:到底怎么做防XSS攻击才是最佳方案?网上那些拦截器方案靠谱吗? Xss攻击说明: 1、攻击者准备 恶意html/javascript代码片段,该代码最终会被嵌入到被攻击服务器加载的页面上。 2、恶意html/js代码,在用户不知情的情况下被执行,以该登录用户的身份执行敏感操作或获取敏感数据后发送给攻击者。 举例如下: 有个文章编辑页面,可以编写任意html/js代码。攻击者在里面嵌入了恶意js。 文章被提交保后,下次显示出来时,执行该恶意js,从而获...
Java-如何防止XSS攻击
了解➔熟悉➔掌握➔精通
01-02 7774
分享一个大牛的人工智能教程。零基础!通俗易懂!风趣幽默!希望你也加入到人工智能的队伍中来!请轻击http://www.captainbed.net XSS攻击通常指的是利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页的程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、VBScript、ActiveX、Flash或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和co
【项目】 Java 过滤器 解决存储xss攻击问题
冯浩月
12-22 3644
攻击者可以通过构造URL注入JavaScript、VBScript、ActiveX、HTML或者Flash的手段,利用跨站脚本漏洞欺骗用户,收集Cookie等相关数据并冒充其他用户。通过精心构造的恶意代码,可以让访问者访问非法网站或下载恶意木马,如果再结合其他攻击手段(如社会工程学、提权等),甚至可以获取系统的管理权限
XSS漏洞原理与防护措施
qq_50905066的博客
03-27 9382
xss漏洞,既跨站脚本攻击 xss分类: 大致可以分为储与反射。 储:最直接的危害类,跨站代码存储在服务器(数据库)。 反射:反射跨站脚本漏洞,最普遍的类。用户访问服务器-跨站链接-返回跨站代码。 如图 图中所示位储xss攻击流程。攻击者要先搭建起恶意服务器。构建xss恶意脚本,通过留言,评论,注册等各种正常服务器可以上传的位置上传恶意脚本。 服务器会将恶意脚本保数据库中,当正常用户访问服务器并查看了该恶意脚本时,服务器会将xss的恶意脚本返回至用户浏览器。 这时用
PHP安全开发:防范存储XSS漏洞策略
"E077-PHP应用安全-针对存储XSS漏洞的安全开发" 本课程聚焦于PHP应用中的安全问题,特别是针对存储跨站脚本(Cross-Site Scripting,简称XSS)漏洞的防范策略。存储XSSXSS攻击的一种类,攻击者通过在用户...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

奔跑的老人吴

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值