asp.net初级 Web原则 xss漏洞

1.XSS (Cross-Site Scripting) 跨站脚本攻击,
是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript),
当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的, 比如获取用户的Cookie,导航到恶意网站,携带木马等。

2.     Dom-Based XSS漏洞      
威胁用户个体

Stored XSS(存储式XSS漏洞)  
 威胁的将是大量的用户

3.asp中默认对请求对象的数据进行了校验,如果数据中含有潜在xss攻击的字符,则会报错。对于一些cms系统等确实需要提交Html内容的地方要关闭它,在页面顶部的Page中加入ValidateRequest="false"这个属性。

4.在显示的时候如果需要对内容在显示之前进行HtmlEncode,除了可以使用HttpUtility.HtmlEncode进行手动编码的话,还可以使用Literal控件显示,如果修改Literal的Mode属性为Encode那么就会自动进行HtmlEncode然后显示。

5.xss漏洞修复

不要轻信用户提交上来的数据。

注意:  攻击代码不一定在<script></script>中

    1. 将重要的cookie标记为http only,   这样的话Javascript
      中的document.cookie语句就不能获取到cookie了.

    2. 只允许用户输入我们期望的数据。 例如: 年龄的textbox中,只允许用户输入数字。 而数字之外的字符都过滤掉。

    3. 对数据进行Html Encode 处理

    4. 过滤或移除特殊的Html标签, 例如: <script>, <iframe> ,  &lt; for
      <, &gt; for >, &quot for

    5. 过滤JavaScript 事件的标签。例如 "onclick=", "onfocus" 等等。

asp.net初级 Web原则 xss漏洞,布布扣,bubuko.com

时间: 2024-08-24 09:13:07

asp.net初级 Web原则 xss漏洞的相关文章

Web应用进行XSS漏洞测试

转自:http://www.uml.org.cn/Test/201407161.asp 对 WEB 应用进行 XSS 漏洞测试,不能仅仅局限于在 WEB 页面输入 XSS 攻击字段,然后提交.绕过 JavaScript 的检测,输入 XSS 脚本,通常被测试人员忽略.下图为 XSS 恶意输入绕过 JavaScript 检测的攻击路径. 常见的 XSS 输入 XSS 输入通常包含 JavaScript 脚本,如弹出恶意警告框:<script>alert("XSS");<

WEB安全:XSS漏洞与SQL注入漏洞介绍及解决方案

对web安全方面的知识非常薄弱,这篇文章把Xss跨站攻击和sql注入的相关知识整理了下,希望大家多多提意见. 对于防止sql注入发生,我只用过简单拼接字符串的注入及参数化查询,可以说没什么好经验,为避免后知后觉的犯下大错,专门参考大量前辈们的心得,小小的总结一下,欢迎大家拍砖啊 一.跨站脚本攻击(XSS) 跨站脚本攻击的原理 XSS又叫CSS (Cross Site Script) ,跨站脚本攻击.它指的是恶意攻击者往Web页面里插入恶意脚本代码,而程序对于用户输入内容未过滤,当用户浏览该页之时

Java Web开发 - 持久型/存储型XSS漏洞

1.什么是XSS漏洞攻击? XSS是跨站脚本攻击(Cross Site Scripting)的简称,之所以叫XSS而不是CSS相比大家都能明白了吧,那就是为了跟层叠样式表(Cascading Style Sheets,CSS)区别. 2.XSS漏洞攻击的原理 恶意攻击者往web页面中插入恶意HTML代码,当用户浏览该web页面时,嵌入到该web页面的恶意HTML代码就会被执行,从而达到恶意攻击用户的特殊目的. XSS漏洞又分为两类,一类是持久型/存储型XSS,另一类是反射型XSS: 1)持久型/

记一次WEB开发产生的XSS漏洞经历

项目采用的SSM,页面用的jsp格式(导致XSS产生的最大原因),其中用了很多EL表达式如${pageContext.request.contextPath},取根路径.${param.xx},取URL参数. 在第三方测评的时候,由于页面上使用了很多这种语法,所以被爆出了大量的XSS漏洞. 解决办法.使用JSTL标签库的c标签解决了EL表达式容易被XSS注入的问题. <!-- c标签输出的变量会自动转义特殊字符 --> <c:out value="${param.xx}&quo

Atitit.&#160;Xss&#160;漏洞的原理and应用xss木马

Atitit. Xss 漏洞的原理and应用xss木马 1. XSS漏洞1 2. XSS的用途2 2.1. 盗取cookie2 2.2. 刷新流量 刷分3 2.3. DOS 窃取隐私”.“假冒身份”.“WEB蠕虫3 2.4. 广告植入 弹窗 .信息收集 .流量转发 甚至是路由劫持3 2.5. 钓鱼攻击,高级的钓鱼技巧.3 2.6. 删除目标文章.恶意篡改数据.嫁祸.3 2.7. 劫持用户Web行为,甚至进一步渗透内网.3 2.8. 爆发Web2.0蠕虫.3 2.9. 蠕虫式的DDoS攻击.3 2

XSS漏洞攻击原理与解决办法

转自:http://www.frostsky.com/2011/10/xss-hack/ 对于的用户输入中出现XSS漏洞的问题,主要是由于开发人员对XSS了解不足,安全的意识不够造成的.现在让我们来普及一下XSS的一些常识,以后在开发的时候,每当有用户输入的内容时,都要加倍小心.请记住两条原则:过滤输入和转义输出. 一.什么是XSS XSS又叫CSS (Cross Site Script) ,跨站脚本攻击.它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里

我是如何黑盒测试XSS漏洞的?

在挖掘SRC中,很多人挖洞都是挖掘的XSS漏洞,随着Web安全的普及,人类越来越注重自身网站的安全. 来一篇简单的黑盒测试XSS漏洞的一点方法和个人的一些见解 一般测试XSS漏洞,一般是简单测试下,而不是直接深层次的绕过代码直接去碰,测试XSS常规的XSS测试语句是: "><img/src/onerror=alert(1)> 屡试不爽 先讲一个简单的,在测试XSS漏洞的时候,当我们使用这个语句的时候,一般浏览器/网站自身都有过滤和防护 所以很无奈,这种payload遇到大型网站

腾讯大牛亲授 Web 前后端漏洞分析与防御技巧

第1章 课程介绍介绍安全问题在web开发中的重要性,并对课程整体进行介绍1-1 Web安全课程介绍1-2 项目总览 第2章 环境搭建本章节我们会搭建项目所需要的环境2-1 环境搭建上2-2 环境搭建下 第3章 前端XSS系统介绍XSS攻击的原理.危害,以真实案例讲解XSS带来过的损失,最后以实战代码讲解如何防御XSS攻击3-1 XSS介绍3-2 XSS攻击类型3-3 HTML内容和属性转义3-4 JS转义3-5 富文本 上3-6 富文本 下3-7 CSP3-8 PHP-XSS 第4章 前端CSR

2020/1/29 PHP代码审计之XSS漏洞

0x00 XSS漏洞简介 人们经常将跨站脚本攻击(Cross Site Scripting)缩写为CSS,但这会与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆.因此,有人将跨站脚本攻击缩写为XSS. 跨站脚本攻击是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的. xss漏洞通常是通过php的输出函数将javascript代码输出到html页面中,通过用户本地浏览器执行