热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

了解:XSS跨站脚本攻击原理及常用的防护方法

XSS(CrossSiteScript)跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行

摘要


XSS(Cross Site Script)跨站脚本攻击。它指的是恶意攻击者往Web 页面里插入恶
意html 代码,当用户浏览该页之时,嵌入其中Web 里面的html 代码会被执行,从而
达到恶意用户的特殊目的。本文介绍了该攻击方式,并给出了一些防范措施。


原理


XSS 属于被动式的攻击。攻击者先构造一个跨站页面,利用script、

hello

 

以普通用户身份修改user value 为以上任何一个,当admin 浏览index.jsp 时,即
可悄无声息的修改admin value
这里演示了3 种跨站手法,1 是利用img、iframe 等tag 直接发起请求,这适用于
无法直接出script 的情况,其中http://tinyurldd.com/2xwfed 是一个redirect,指向
http://10.10.67.25:8080/testxss/doadmin.jsp?v=hacked2 ;2 是用script 提交post 表
单;3 是ajax 技术。

以上攻击能够成功有2 个原因:1. 应用程序没有对user value 做足够多的过滤,导
致用户有机会构造一个复杂的跨站语句来触发admin 的非预期行为;2. 应用程序在响
应admin value 修改请求时没有防范措施来识别这是不是出于用户主动。
漏洞1 很容易修复,只要像防止SQL Injection 那样对用户输入的所有内容都过滤即
可。漏洞2 才是问题的根源,即便我们修补了漏洞1,只要诱使admin 用户访问包含 src="http://tinyurldd.com/2xwfed"> 的页面,仍然能达到目的,而这是一件极容易
做到的事。

 

防范措施


这里给出一些防范XSS 攻击的措施。必须说明的是,对于XSS 攻击,并不像SQL
Injection 那样可以有一劳永逸的解决方案——只需要grep 一下所有的sql 调用。这是一
场长期的斗争,而且往往需要我们采取修改业务流程、产品设计等看似削足适履的手段。
先总结一下常见的攻击手法:
1. 依赖跨站漏洞,需要在被攻击网站的页面种入脚本的手法
1.1. COOKIE 盗取,通过Javascript 获取被攻击网站种下的COOKIE,并发送给攻击者。
1.1.1. 从COOKIE 中提取密码等隐私
1.1.2. 利用COOKIE 伪造session,发起重放攻击
1.2. Ajex 信息盗取,通过Javascript 发起ajex 请求。
1.2.1. 从ajex 结果中获取隐私。
1.2.2. 模拟用户完成多页表单。
2. 不依赖跨站漏洞的手法
搜狐公司研发中心版权所有,仅供技术交流,转载请保留上述文字
2.1. 单向HTTP 动作,通过img.src 等方法发起跨站访问,冒充被攻击者执行特权操作。
但是很难拿到服务器的返回值。
2.2. 双向HTTP 动作,如果服务器产生一段动态的script,那么可以用script.src 的方法
发起跨站访问并拿到服务器的返回值。
防范手法如下:
1. 防堵跨站漏洞,阻止攻击者利用在被攻击网站上发布跨站攻击语句
不可以信任用户提交的任何内容,首先代码里对用户输入的地方和变量都需要仔细
检查长度和对”<”,”>”,”;”,”’”等字符做过滤;其次任何内容写到页面之前都必须加以
encode,避免不小心把html tag 弄出来。
这一个层面做好,至少可以堵住超过一半的XSS 攻击。
2. COOKIE 防盗
首先避免直接在COOKIE 中泄露用户隐私,例如email、密码等等。
其次通过使COOKIE 和系统ip 绑定来降低COOKIE 泄露后的危险。这样攻击者得到的
COOKIE 没有实际价值,不可能拿来重放。
3. 尽量采用POST 而非GET 提交表单
POST 操作不可能绕开Javascript 的使用,这会给攻击者增加难度,减少可利用的
跨站漏洞。
4. 严格检查refer
检查http refer 是否来自预料中的url。这可以阻止第2 类攻击手法发起的http 请求,
也能防止大部分第1 类攻击手法,除非正好在特权操作的引用页上种了跨站访问。
5. 将单步流程改为多步,在多步流程中引入效验码
多步流程中每一步都产生一个验证码作为hidden 表单元素嵌在中间页面,下一步操
作时这个验证码被提交到服务器,服务器检查这个验证码是否匹配。首先这为第1 类攻
击者大大增加了麻烦。其次攻击者必须在多步流程中拿到上一步产生的效验码才有可能
发起下一步请求,这在第2 类攻击中是几乎无法做到的。
6. 引入用户交互
简单的一个看图识数可以堵住几乎所有的非预期特权操作。
7. 只在允许anonymous 访问的地方使用动态的Javascript。
8. 对于用户提交信息的中的img 等link,检查是否有重定向回本站、不是真的图片等
可疑操作。
9. 内部管理网站的问题
很多时候,内部管理网站往往疏于关注安全问题,只是简单的限制访问来源。这种
网站往往对XSS 攻击毫无抵抗力,需要多加注意。
安全问题需要长期的关注,从来不是一锤子买卖。XSS 攻击相对其他攻击手段更加
隐蔽和多变,和业务流程、代码实现都有关系,不存在什么一劳永逸的解决方案。此外,
面对XSS,往往要牺牲产品的便利性才能保证完全的安全,如何在安全和便利之间平衡
也是一件需要考虑的事情。


推荐阅读
  • 2023年1月28日网络安全热点
    涵盖最新的网络安全动态,包括OpenSSH和WordPress的安全更新、VirtualBox提权漏洞、以及谷歌推出的新证书验证机制等内容。 ... [详细]
  • 本文详细介绍了如何利用Go语言和WebSockets技术构建一个高效的实时聊天系统。随着网络应用的日益复杂化,实时交互成为了提升用户体验的关键要素之一。通过本指南,开发者可以学习到最新的技术和最佳实践。 ... [详细]
  • 当unique验证运到图片上传时
    2019独角兽企业重金招聘Python工程师标准model:public$imageFile;publicfunctionrules(){return[[[na ... [详细]
  • 本文将详细介绍如何在ThinkPHP6框架中实现多数据库的部署,包括读写分离的策略,以及如何通过负载均衡和MySQL同步技术优化数据库性能。 ... [详细]
  • 本文探讨了浏览器的同源策略限制及其对 AJAX 请求的影响,并详细介绍了如何在 Spring Boot 应用中优雅地处理跨域请求,特别是当请求包含自定义 Headers 时的解决方案。 ... [详细]
  • 深入分析十大PHP开发框架
    随着PHP技术的发展,各类开发框架层出不穷,成为了开发者们热议的话题。本文将详细介绍并对比十款主流的PHP开发框架,旨在帮助开发者根据自身需求选择最合适的工具。 ... [详细]
  • 本文详细探讨了JavaScript中的闭包与柯里化技术,这两者是函数式编程的重要组成部分,对提升代码的灵活性和可维护性具有重要作用。 ... [详细]
  • 汇总了2023年7月7日最新的网络安全新闻和技术更新,包括最新的漏洞披露、工具发布及安全事件。 ... [详细]
  • 解决JavaScript中法语字符排序问题
    在开发一个使用JavaScript、HTML和CSS的Web应用时,遇到从SQLite数据库中提取的法语词汇排序不正确的问题,特别是带重音符号的字母未按预期排序。 ... [详细]
  • 本文详细分析了JSP(JavaServer Pages)技术的主要优点和缺点,帮助开发者更好地理解其适用场景及潜在挑战。JSP作为一种服务器端技术,广泛应用于Web开发中。 ... [详细]
  • 本文介绍了如何利用JavaScript或jQuery来判断网页中的文本框是否处于焦点状态,以及如何检测鼠标是否悬停在指定的HTML元素上。 ... [详细]
  • 1:有如下一段程序:packagea.b.c;publicclassTest{privatestaticinti0;publicintgetNext(){return ... [详细]
  • 前言--页数多了以后需要指定到某一页(只做了功能,样式没有细调)html ... [详细]
  • 本文介绍了多个关于JavaScript的书籍资源、实用工具和编程实例,涵盖从入门到进阶的各个阶段,帮助读者全面提升JavaScript编程能力。 ... [详细]
  • 探讨在特定情况下使用 Knockout.js 的 if 或 visible 绑定的最佳实践,特别是在处理未定义对象时的策略。 ... [详细]
author-avatar
mobiledu2502854077
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有