摘要:我把這個(gè)領(lǐng)域的東西寫(xiě)成了一個(gè)系列,以后還會(huì)繼續(xù)完善下去安全一同源策略與跨域安全二攻擊安全三攻擊
上文說(shuō)完了CSRF攻擊,本文繼續(xù)研究它的兄弟XSS攻擊。
什么是XSS攻擊
XSS攻擊全名(Cross-Site-Script)跨域腳本攻擊,為了跟CSS(Cascading-Style-Sheet)區(qū)分開(kāi)來(lái),所以縮寫(xiě)是XSS。
XSS攻擊的原理
上一節(jié)說(shuō)道的CSRF攻擊是利用的是“偽請(qǐng)求”,這一節(jié)的XSS的原理是利用腳本注入的方式。
主要是依靠一切可能的手段,將瀏覽器中可以執(zhí)行的腳本(javascript)植入到頁(yè)面代碼中,從而獲取用戶(hù)cookie甚至賬號(hào)密碼等敏感數(shù)據(jù)使用戶(hù)造成的一定的損失。
通常利用的是目標(biāo)網(wǎng)站的發(fā)帖、發(fā)布產(chǎn)品等需要用戶(hù)輸入的地方,將腳本混淆到html輸入中,上傳到服務(wù)器,再誘導(dǎo)別的用戶(hù)打開(kāi)此頁(yè)面,執(zhí)行腳本的一個(gè)過(guò)程。
XSS攻擊的方法
xss漏洞是對(duì)web客戶(hù)端(瀏覽器)的攻擊,所以說(shuō)植入的代碼基本上以javascript和html標(biāo)簽(有時(shí)也有結(jié)合css樣式的xss向量)為主。
一般有四種方法:
頁(yè)面標(biāo)簽附帶腳本
Dom 屬性附帶腳本
請(qǐng)求地址附帶腳本
回車(chē)空格突破過(guò)濾限制
舉兩個(gè)小李子:
XSS攻擊防御的手段
因?yàn)閄SS的根本就是向網(wǎng)站插入腳本代碼,并使它運(yùn)行的一種手段。防御方法分為兩種,服務(wù)端防御和客戶(hù)端防御。
服務(wù)端防御:
1. HttpOnly
可以限制javascript不能讀取cookie,防止會(huì)話(huà)ID泄露
2.處理富文本
過(guò)濾掉富文本中的敏感標(biāo)簽如(script、iframe、form),還有敏感詞(javascript:) 等等
客戶(hù)端防御:
1. 輸入檢查
防止輸入敏感字段,如javascript、cookie等等
2. 檢查輸出
腳本都是通過(guò)混淆在HTML當(dāng)中,被當(dāng)成html代碼的一部分才得到執(zhí)行。
可以通過(guò)編碼轉(zhuǎn)義的辦法,使得混淆在其中的腳本被當(dāng)成文本處理,不會(huì)被執(zhí)行。
編碼轉(zhuǎn)義的話(huà),有三種方法:
*1. HTML encode*
將字符轉(zhuǎn)換成HTMLEntities,一般會(huì)轉(zhuǎn)(&、<、>、"、"、/)這6個(gè)字符。一般是在html標(biāo)簽屬性輸出的時(shí)候使用
*2. JavaScriptEncode*
使用”“對(duì)特殊字符進(jìn)行轉(zhuǎn)義。
一般在script標(biāo)簽輸出、事件輸出、CSS輸出
*3. URL Encode*
使用URLEncode的方法。
參考:
XSS的原理分析與解剖
跨站腳本攻擊(XSS)——常見(jiàn)網(wǎng)站攻擊手段原理與防御
XSS攻擊及防御
XSS攻擊的解決方法
【相關(guān)】
web安全,是一個(gè)很重要的技能,也是一個(gè)領(lǐng)域的知識(shí)。我把這個(gè)領(lǐng)域的東西寫(xiě)成了一個(gè)系列,以后還會(huì)繼續(xù)完善下去:
web安全一:同源策略與跨域
web安全二:CSRF 攻擊
web安全三:XSS 攻擊
文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請(qǐng)注明本文地址:http://specialneedsforspecialkids.com/yun/11347.html
