欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

跨站式脚本(Cross-SiteScripting)XSS攻击原理分析

来源:本站整理 作者:佚名 时间:2016-07-03 TAG: 我要投稿
')")}
alert("XSS")'?>
XSS
 
 
a="get";
b="URL(""";
c="javascript:";
d="alert('XSS');"")";
eval(a+b+c+d);

危害 1、盗取各类用户帐号,如机器登录帐号、用户网银帐号、各类管理员帐号 2、控制企业数据,包括读取、篡改、添加、删除企业敏感数据的能力 3、盗窃企业重要的具有商业价值的资料 4、非法转账 5、强制发送电子邮件 6、网站挂马 7、控制受害者机器向其它网站发起攻击 防范 1、必须明确:一切输入都是有害的,不要信任一切输入的数据。 2、缓和XSS问题的首要法则是确定哪个输入是有效的,并且拒绝所有别的无效输入。 3、替换危险字符,如:"&", "", ""","'", "/", "?",";", ":", "%", "", "=", "+"。各种语言替换的程度不尽相同,但是基本上能抵御住一般的XSS攻击。 a.ASP中的Server.HTMLEncode:  b.ASP.NET的Server.HtmlEncode及Server.UrlEncode: String TestString = "This is a ."; String EncodedString = Server.HtmlEncode(TestString); Server.UrlEncode(Request.Url.ToString()); 4、有些网站使用过滤javascript关键字的办法来防止XSS,其实是很不明智的,因为XSS有时候根本就不需要javascript关键字或者对javascript关键字进行格式变化来躲过过滤。 5、为所有的标记属性加上双引号。应该说这也不是万全之策,只是在转义了双引号的前提下的一道安全保障。比如: 不加双引号时,onclick被执行了:  加上了双引号,onclick不会被执行:  6、将数据插入到innerText属性中,脚本将不会被执行。如果是innerHTML属性,则必须确保输入是安全的。如ASP.NET中:
private void Page_Load(Object Src, EventArgs e)
{
// Using InnerText renders the content safe–no need to HtmlEncode
Welcome1.InnerText = "haha";
// Using InnerHtml requires the use of HtmlEncode to make it safe
Welcome2.InnerHtml = "Hello, " + Server.HtmlEncode("haha");
}
 
7、使用IE6.0SP1的cookie选项HttpOnly,注意,HttpOnly只能阻止恶意脚本读取cookie,并不能阻止XSS攻击。比如在ASP.NET中:
HttpCookie cookie = new HttpCookie("Name", "ZhangChangrong");
cookie.Path = "/; HttpOnly";
Response.Cookies.Add(cookie);
8、使用IE的的Security属性,设置为restricted后,frame中的脚本将不能执行(仅限于IE)。如:  9、ASP.NET中的ValidateRequest配置选项。默认情况下,这个功能是开启的,这个功能将会检查用户是否试图在cookie、查询字符串以及HTML表格中设置HTML或脚本。如果请求包含这种潜在的危险输入,就会抛出一个HttpRequestValidationException异常。我在尝试试探当当网的XSS漏洞时发现这个异常信息,可以说当当网使用了ValidateRequest这个选项,或者从另一方面说,也许是无意中启用了这一选项,同时,将错误信息抛出给用户是非常不安全的。 a、给一个页面设置ValidateRequest选项:  b、在Machine.config中设置全局ValidateRequest选项,注意,如果在Web.config中重新设置,不会覆盖Machine.config中的这一设置: 
  c、让我们来目睹当当网给我们带来的这一盛况:

10、在一些必须使用到HTML标签的地方,比如公告栏,可以使用其他格式的标示代替,比如论坛中广泛使用的BBCode,用[i]...["i]来表示斜体。 11、然而,对于一些允许用户输入特定HTML的地方,强烈建议使用正则表达式进行匹配。比如: if (/^(?:["s"w"?"!","."'""]*|(?:"))*$/i) { #Cool, it's valid input } 发现问题 1、查找所有包含用户输入的入口。 2、跟踪流入应用程序的每一个数据。 3、确定数据是否与输出有关系。 4、如果与输出有关,它是不是原始数据,是不是经过处理的? 参考资料 Michael Howard, David LeBlanc. "Writing Secure Code" Mike Andrews, James A. Whittaker "How to Break Web Software" http://www.myhack58.com/wiki/Cross-site_scripting Klein, Amit (July 4, 2005). "DOM Based Cross Site Scripting or XSS of the Third Kind". Web Application Security Consortium. Retrieved on 2008-05-28. http://www..myhack58.com/xss.html
 

上一页  [1] [2] 

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载