Web应用安全防护-XXS

最新推荐文章于 2024-07-16 19:06:03 发布
最新推荐文章于 2024-07-16 19:06:03 发布
阅读量4.8k 收藏 12
点赞数 2
分类专栏: Web安全 文章标签: 安全 前端 p2p
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yuwusheng18/article/details/121737596
版权

XSS攻击 跨站脚本 安全防护 输入验证 Content-Security-Policy
关键词由CSDN通过智能技术生成

一、什么是XSS?

        XSS:  Cross Site Script ,跨站脚本攻击。恶意攻击者在页面中注入恶意Script代码,在用户浏览时,恶意代码会被执行,从而达到攻击的目的。

        恶意者通常会通过Web应用提交的内容提交Script代码,导致浏览器将用户输入的内容当成了代码执行。

二、XSS 攻击类型

1)持久性XSS

        将恶意代码保存在数据库中,谁加载到该数据谁则被攻击,常见博客、论坛中。而且是长期的威胁。

1)网站留言板功能,有浏览内容、联系方式等输入框

2)我们期望用户在输入框中输入正常数据,恶意攻击者输入script代码,在动态网站渲染数据时,将代码渲染出执行

3)窃取cookie

黑客--插入js脚本--> 服务器实例化到数据库《--管理员查看信息,执行恶意代码

思考: 如果将恶意脚本放入到服务器中。

(1)通过ajax 

(2)img加载外部数据源,但是数据源的地址是向黑客的地址发送相关的信息,如向黑客的地址发送cookie的信息

2)反射性XSS

         非持久性XSS,恶意代码没有保存到目标网站,而是通过印个引诱用户点击一个恶意链接

           参数--》Controller --> 回显

2)DOM性XSS

        不存储,不交互 

三、植入js代码攻击及危害分析

外在表现:

1.直接注入JaveScript代码

2.引用外部js文件

基本实现原理:

1.通过img标签的src发送数据

2.构造表单诱导用户输入账号密码

3.流量劫持,恶意跳转

四、预防策略

1、输入环节

限制输入框的长度、限制特殊字符限制,后端代码限制输入长度、处理特殊字符。Filter过滤器统一处理(自定义处理规则、使用Apache commom text、owasp AntiSamy)

流量网关(进行安全校验)--》业务网关,把校验放在流量网关进行校验

2.Cookie防护

cookie设置httponly,一般servlet容器默认httpOnlytrue

3、X-Frame-Options 响应头

4、输出环节

显示时对字符进行转义处理,OWASP ESAPI Java 显示时对字符转义处理,各种模板都有相关语法,通常情况下前段框架或者模板引擎都有转义的功能,默认开启

5、DOM型XSS

避免innerHTML、outerHtml、document.write()

6、富文本处理

禁止危险标签,如<iframe><form><script>

7、内容安全策略(CSP)

CSP之指定有效域

分类:

(1)Content-Security-Policy: 配置好后,不符合CSP的外部资源会被阻止加载

(2)Content-Security-Policy-Report-Only:表示不执行限制选项,知识记录违反记录的行为。配合report-uri使用

如何使用?

(1)在HTTP Header 上使用,在网关的filter中配置或者nginx中配置

(2)在HTML上使用

使用案例:

1)限制所有的外部资源,只能从当前域名加载,不包含子域名:

Content-security-Policy: defuault-src 'self'

2) 限制所有的外部资源,只能从当前域名及其子域名加载

Content-security-Policy:default-src *.xxxx.com  使用*通配符                     

3)   仅允许从指定域名加载

Content-security-Pilicy:default-src 'self';img-src *;media-src xxx.com yyy.com;script-src script.xxx.com                              

4) 仅允许通过HTTPS的方式从指定域名访问文档

Context-security-Policy:default-src https:xxxx.com

5) 发送违例报告

Content-Security-Policy:default-src 'self';report-uri http:xxxx.com/api

发送的json字符串如下:

{

        ”csp-report”: {

                "document-uri": ''

                "referece": ''

                "blocked-uri":'',

                "violated-directive": "style-src cdn,example.com",

                "original-policy":""

}

}

壮乡码农
关注
专栏目录
xxs和csrf的防御
zyq51的博客
09-11 732
一、关于xxs和csrf的防御 1.防御XSS攻击 HttpOnly 防止劫取 Cookie 用户的输入检查 服务端的输出检查 2.防御CSRF攻击 验证码 Referer Check Token 验证 二、详解 XSS 1 HttpOnly 防止劫取 Cookie HttpOnly 最早由微软提出,至今已经成为一个标准。浏览器将禁止页面的Javascript 访问带有 HttpOnly 属性的Cookie。 上文有说到,攻击者可以通过注入恶意脚本获取用户的 Cookie 信息。通常 Cookie 中都包含
Web应用安全
phoenix7670的博客
10-11 871
​ 目前,电子商务面临的一个最大挑战是交易的安全性问题。由美国Visa和MasterCard两大信用卡组织联合多家科技机构,共同制订了应用于互联网上的以银行卡为基础进行在线交易的安全标准,即安全电子交易(Secure Electronic Transaction,SET)。+
web安全---xxs攻击
weixin_49527298的博客
06-21 549
xss攻击是一种跨站脚本攻击,黑客通过在页面中写入恶意脚本,实现脚本攻击。 xss攻击的分类 1.反射型跨站攻击 个人理解:就是你在搜索框中写入《script>alent(“xss”)《script>之后,alent出那句程序,然后通过用户点击之后,就造成了xss攻击 防御:可以通过HTML转义防止xss攻击,或者当用户写入某些字符串之后,提交之后,要做一次检测,没有特殊字符之后再提交到服务器 2.存储型跨站攻击 个人理解:就是通过评论某一篇文章将恶意代码永远的保存到当前文章中,只要有.
xxs攻击的攻击和防范
最新发布
weixin_55357256的博客
07-16 621
随着网络技术的不断发展和应用场景的不断拓展,XSS 攻击的形式和手段也在不断变化和演进,因此,我们需要持续关注 XSS 攻击的发展动态,不断加强网络安全防护能力,为用户提供更加安全可靠的网络环境。跨站脚本攻击(Cross - Site Scripting,简称 XSS)是指攻击者在目标网站上注入恶意脚本代码,当用户访问被注入恶意脚本的页面时,恶意脚本在用户的浏览器中执行,从而达到窃取用户信息、篡改页面内容、劫持用户会话等目的的攻击方式。2. 攻击者构造包含恶意脚本的输入数据,并将其提交到目标网站的输入点。
Web安全防护
qq_38774121的博客
09-05 386
Web安全防护 XSS攻击 Cross Site Scripting 跨站脚本攻击 XSS攻击类型 反射型 存储型 XSS攻击注入点 HTML节点内容 节点内容是动态生成的,内容是用户输入的信息,极有可能造成XSS攻击 HTML属性 节点的属性由用户输入的,可能造成XSS攻击 Javascritp JS代码中,由后台注入的变量,或者是由用户输入的信息 富文本 避免XSS...
Web安全与防御措施
xiaoxiao3112的博客
02-17 3688
服务攻击:针对程序漏洞进行攻击常见的有: SQL注入攻击文件上传攻击XSS跨站脚本攻击CSRF(Cross-site request forgery)跨站请求伪造程序逻辑漏洞 暴力攻击:如DDOS,穷举密码等C段攻击 某台服务器被攻陷后通过内网进行ARP、DNS等内网攻击社会工程学 收集管理员等个人信息等资料尝试猜测其密码或者取得信任等 最基本原则 永远不要相信用户提交上来的数据(包括
web安全防范
宅神的博客
06-28 4674
web安全 安全永远是产品的最基础需求 这里总结几种常见攻击与防范 一.XSS XSS,跨站脚本攻击,原理是恶意攻击者往 Web 页面里插入恶意可执行网页脚本代码,当用户浏览该页之时,嵌入其中 Web 里面的脚本代码会被执行,从而可以达到攻击者盗取用户信息或其他侵犯用户安全隐私的目的。 1. 非持久性XSS 非持久型 XSS 漏洞,也叫反射型 XSS 漏...
web安全攻防实训笔记
weixin_65379378的博客
04-07 1189
1. Nmap的基本 Nmap + ip 6+ ip Nmap -A 开启操作系统识别和版本识别功能 – T(0-6档) 设置扫描的速度 一般设置T4 过快容易被发现 -v 显示信息的级别,-vv显示更详细的信息 192.168.1.1/24 扫描C段 192.168.11 -254 =上 nmap -A -T4 -v -iL ~/targets.txt (iL表示要扫描的目标位于一个文档中) --------------- 192.168.1.1/24 ...
web安全攻防渗透测试实训笔记
m0_65385236的博客
04-07 1384
1. Nmap的基本 Nmap + ip 6+ ip Nmap -A 开启操作系统识别和版本识别功能 – T(0-6档) 设置扫描的速度 一般设置T4 过快容易被发现 -v 显示信息的级别,-vv显示更详细的信息 192.168.1.1/24 扫描C段 192.168.11 -254 =上 nmap -A -T4 -v -iL ~/targets.txt (iL表示要扫描的目标位于一个文档中) --------------- 192.168.1.1/24 ...
web网络安全渗透
Kevinzkyy的博客
04-07 1128
1. Nmap的基本 Nmap + ip 6+ ip Nmap -A 开启操作系统识别和版本识别功能 – T(0-6档) 设置扫描的速度 一般设置T4 过快容易被发现 -v 显示信息的级别,-vv显示更详细的信息 192.168.1.1/24 扫描C段 192.168.11 -254 =上 nmap -A -T4 -v -iL ~/targets.txt (iL表示要扫描的目标位于一个文档中) --------------- 192.168.1.1/24 ...
web安全攻防渗透测试实战指南
jhf223344的博客
04-05 9031
1. Nmap的基本 Nmap + ip 6+ ip Nmap -A 开启操作系统识别和版本识别功能 – T(0-6档) 设置扫描的速度 一般设置T4 过快容易被发现 -v 显示信息的级别,-vv显示更详细的信息 192.168.1.1/24 扫描C段 192.168.11 -254 =上 nmap -A -T4 -v -iL ~/targets.txt (iL表示要扫描的目标位于一个文档中) --------------- 192.168.1.1/24 --exclude 19...
Web 安全防范
coco1118的博客
09-23 115
CSRF 是什么?如何防范? CSRF(Cross-site request forgery)通常被叫做「跨站请求伪造」,可以这么理解:攻击者盗用用户身份,从而欺骗服务器,来完成攻击请求。 防范措施: 1.使用验证码 2.给每一个请求添加令牌 token 并验证 XSS 是什么?如何防范? XSS(Cross Site Scripting),跨站脚本攻击,攻击者往 Web 页面里插入恶意 ...
二、Web安全防范
qq_24892029的博客
06-08 1069
Web安全防范
基本Web安全防范
MaiYo_
08-19 1572
防止跨站脚本攻击XSS 使用freemarker ?html 转义字符串 防止session劫持 1.通过发放令牌并在拦截器中验证令牌的方式 2.令牌增加用户IP与浏览器环境,验证用户授权时环境,与当前访问环境是否一致 3.将JSESSIONID的cookie设置为HttpOnly,方式:Tomcat context.xml 文件中配置 4.将其他cookie也设置为HttpOnly,
web 安全防护(2)
weixin_34357267的博客
05-25 95
二)使用认证和授权保护apach 例)[root@localhost ~]# cd /etc/httpd/ [root@localhost httpd]# touch passwd_auth [root@localhost httpd]# htpasswd -c /etc/httpd/passwd_auth zhangsan New password: Re-t...
Web安全防护基础篇:HTML Injection - Reflected (GET)
success_error的专栏
12-30 3665
Web安全防护基础篇:HTML Injection - Reflected (GET) 现在大部分的网站数据提交用到了Form表单,而如果程序员在未对表单提交的数据进行验证时,会有那些危害性呢? 本文案例为Form表单的Get方式提交,分为安全等级为低等,中等,高等三个层次进行说明。 1:安全等级-低等(未进行任何字符处理) 例如: form action="SCRIPT_NAME
Web 安全 XSS
weixin_62319197的博客
06-30 913
XSS 又叫CSS (Cross Site Scripting) 跨站脚本攻击为了和网页开发中的css区分开来,一般叫作XSS。XSS主要是前端的漏洞。 在存在XSS漏洞的网页中 几乎可以实现JavaScript能实现的一切。例如 盗取用户cookie,黑掉网页,跳转到某网站,蠕虫,黑客只需要在页面中写入js代码即可。xss就是攻击者在网页中写入恶意的脚本代码,以此达到攻击目的 一般为JavaScript 有少数是ActionScript VBScript 所以说要想学懂XSS漏洞,必须学会XSS。攻击者
Web安全漏洞及安全防护
学以致用 知行合一
05-17 3053
搭建一个Web应用不仅要考虑其功能与性能的完善性,更要考虑其安全性。Web应用搭建好以后,在暴露于外网的情况下是否是安全的?是否会遭受攻击者的攻击?是否对敏感数据、敏感代码及敏感后台等敏感信息都进行了安全防护?若这些都做到了,是否就万无一失了?若出现了网络攻击事件,是否又有人愿意为其买单? 攻防是一个不断演进的对抗过程。随着黑客攻击技术的发展,其危害足以使一个正常运行的网站遭受灭顶之灾。为了保障Web系统的正常运行,网站所有者及运维人员均希望通过良好的防护手段,抵御来自互联网的攻击行为。...
java -xxm -xxs
04-29
java -xxm -xxs 命令是指Java虚拟机启动参数,用于设置Java进程的内存和堆栈大小。 其中,-xxm参数用于设置最大Java堆内存大小。Java堆是存放对象实例的内存区域,当Java应用程序需要创建对象时,会在堆内存中分配空间。-xxm参数的单位是MB,可以通过指定一个整数值来设置最大堆内存大小。例如,java -xxm1024m命令就表示将Java应用程序的最大堆内存大小设置为1024MB(即1GB)。 另外,-xxs参数用于设置线程栈的大小。线程栈是每个线程私有的内存区域,用于保存线程执行时的局部变量以及方法调用的参数和返回值等信息。-xxs参数的单位也是MB,可以通过指定一个整数值来设置线程栈大小。例如,java -xxs2m命令表示将线程栈大小设置为2MB。 通过设置合适的堆内存和线程栈大小,可以优化Java应用程序的性能和稳定性。如果堆内存过小,会导致频繁进行垃圾回收,降低程序的性能;如果线程栈过小,可能会导致栈溢出等异常。因此,在设置堆内存和线程栈大小时,需要根据具体的应用程序需求、系统资源情况以及性能测试结果等进行调整。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值