資訊專欄INFORMATION COLUMN
摘要:危害實例微博年月日晚,新浪微博遭遇到蠕蟲攻擊侵襲,在不到一個小時的時間,超過萬微博用戶受到該蠕蟲的攻擊。此事件給嚴重依賴社交網絡的網友們敲響了警鐘。當用戶看到這樣的情況可以反饋,及時封堵惡意作者的攻擊。
什么是XSS
跨站腳本攻擊(Cross Site Scripting),為不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆,故將跨站腳本攻擊縮寫為XSS。惡意攻擊者往Web頁面里插入惡意Script代碼,當用戶瀏覽該頁之時,嵌入其中Web里面的Script代碼會被執行,從而達到惡意攻擊用戶的目的。
文章很多圖片都失效了,建議大家聽免費XSS視頻課程,PC訪問:https://www.imooc.com/learn/812
手記掃碼學習:
XSS的原理惡意攻擊者往Web頁面里插入惡意html代碼,當用戶瀏覽該頁之時,嵌入其中Web里面的 (html代碼/javascript代碼) 會被執行,從而達到惡意攻擊用戶的特殊目的。
XSS危害實例
微博
2011年6月28日晚,新浪微博遭遇到XSS蠕蟲攻擊侵襲,在不到一個小時的時間,超過3萬微博用戶受到該XSS蠕蟲的攻擊。此事件給嚴重依賴社交網絡的網友們敲響了警鐘。在此之前,國內多家著名的SNS網站和大型博客網站都曾遭遇過類似的攻擊事件,只不過沒有形成如此大規模傳播。雖然此次XSS蠕蟲攻擊事件中,惡意黑客攻擊者并沒有在惡意腳本中植入掛馬代碼或其他竊取用戶賬號密碼信息的腳本,但是這至少說明,病毒木馬等黑色產業已經將眼光投放到這個尚存漏洞的領域。
貓撲
曾經在貓撲大雜燴中存在這樣一個XSS漏洞,在用戶發表回復的時候,程序對用戶發表的內容做了嚴格的過濾,但是我不知道為什么,當用戶編輯回復內容再次發表的時候,他卻采用了另外一種不同的過濾方式,而這種過濾方式顯然是不嚴密的,因此導致了XSS漏洞的出現。試想一下,像貓撲這樣的大型社區,如果在一篇熱帖中,利用XSS漏洞來使所有的瀏覽這篇帖子的用戶都在不知不覺之中訪問到了另外一個站點,如果這個站點同樣是大型站點還好,但如果是中小型站點那就悲劇了,這將會引來多大的流量啊!更可怕的是,這些流量全部都是真實有效的!
詳情頁XSS防護措施業務描述
詳情頁都有需求展示來自用戶輸入的富文本即HTML內容。
【展現1】
【展現2】
歷史方法
轉義可以在客戶端完成也可以在服務端完成,反轉義通過Django的safe過濾器實現。
潛在問題
熟悉DOM的工作原理的同學肯定知道,如果在DOM中插入其他HTML內容會有潛在的安全問題,比如修改css、引入js等可以有權限操作頁面的內容。
【實例1】
這里顯示摘要內容,用戶可以輸入各種文本及圖片
如果用戶輸入的是這塊內容通過傳統的操作方式,最后用戶看不到這個頁面的任何內容,只能是一個空白頁。
【實例2】
這里顯示摘要內容,用戶可以輸入各種文本及圖片
如果用戶輸入的是上述內容,當前用戶的cookie就被悄悄的發送給hack.com了,而且當前用戶無任何感知。你懂得!
【實例3】
這里顯示摘要內容,用戶可以輸入各種文本及圖片
如果用戶輸入的是上述內容,那么恭喜你,所有用戶都被植入了這個腳本,相當于這個腳本可以操作任何他想要的東西。
【實例4】
這里顯示摘要內容,用戶可以輸入各種文本及圖片如果用戶輸入是上述內容,發現用戶看到的頁面已經亂掉了。因為div標簽沒有閉合。
解決方案
目標
過濾任何有執行能力的腳本或者影響頁面的CSS,保證頁面的安全。 - 方法  通過這樣的處理,任何script語句、style樣式等額外威脅都會當做文本處理,在一定程度上能糾正DOM配對不完整導致頁面亂掉的癥狀。當用戶看到這樣的情況可以反饋,及時封堵惡意作者的攻擊。文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/115397.html
摘要:危害實例微博年月日晚,新浪微博遭遇到蠕蟲攻擊侵襲,在不到一個小時的時間,超過萬微博用戶受到該蠕蟲的攻擊。此事件給嚴重依賴社交網絡的網友們敲響了警鐘。當用戶看到這樣的情況可以反饋,及時封堵惡意作者的攻擊。 什么是XSS 跨站腳本攻擊(Cross Site Scripting),為不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆,故將跨站腳本攻擊縮寫為XS...
摘要:危害實例微博年月日晚,新浪微博遭遇到蠕蟲攻擊侵襲,在不到一個小時的時間,超過萬微博用戶受到該蠕蟲的攻擊。此事件給嚴重依賴社交網絡的網友們敲響了警鐘。當用戶看到這樣的情況可以反饋,及時封堵惡意作者的攻擊。 什么是XSS 跨站腳本攻擊(Cross Site Scripting),為不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆,故將跨站腳本攻擊縮寫為XS...
摘要:網絡黑白一書所抄襲的文章列表這本書實在是垃圾,一是因為它的互聯網上的文章拼湊而成的,二是因為拼湊水平太差,連表述都一模一樣,還抄得前言不搭后語,三是因為內容全都是大量的科普,不涉及技術也沒有干貨。 《網絡黑白》一書所抄襲的文章列表 這本書實在是垃圾,一是因為它的互聯網上的文章拼湊而成的,二是因為拼湊水平太差,連表述都一模一樣,還抄得前言不搭后語,三是因為內容全都是大量的科普,不涉及技術...
摘要:禁止內聯腳本執行規則較嚴格,目前發現使用。典型的攻擊流程受害者登錄站點,并保留了登錄憑證。站點接收到請求后,對請求進行驗證,并確認是受害者的憑證,誤以為是無辜的受害者發送的請求。攻擊完成,攻擊者在受害者不知情的情況下,冒充受害者完成了攻擊。 隨著互聯網的發展,各種Web應用變得越來越復雜,滿足了用戶的各種需求的同時,各種網絡安全問題也接踵而至。作為前端工程師的我們也逃不開這個問題,今天一起...
閱讀 915·2021-10-27 14:14
閱讀 1740·2021-10-11 10:59
閱讀 1314·2019-08-30 13:13
閱讀 3151·2019-08-29 15:17
閱讀 2749·2019-08-29 13:48
閱讀 488·2019-08-26 13:36
閱讀 2080·2019-08-26 13:25
閱讀 857·2019-08-26 12:24
