xss防御 xss xss-种类,xss-防御技术

跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。

XSS_xss -种类


xss

XSS攻击分成

两类,一类是来自内部的攻击,主要指的是利用程序自身的漏洞,构造跨站语句,如:dvbbs的showerror.asp存在的跨站漏洞。

另一类则是来自外部的攻击,主要指的自己构造XSS跨站漏洞网页或者寻找非目标机以外的有跨站漏洞的网页。如当我们要渗透一个站点,我们自己构造一个有跨站漏洞的网页,然后构造跨站语句,通过结合其它技术,如社会工程学等,欺骗目标服务器的管理员打开。

XSS_xss -防御技术

1.基于特征的防御

XSS漏洞和著名的SQL注入漏洞一样,都是利用了Web页面的编写不完善,所以每一个漏洞所利用和针对的弱点都不尽相同。这就给XSS漏洞防御带来了困难:不可能以单一特征来概括所有XSS攻击。

传统XSS防御多采用特征匹配方式,在所有提交的信息中都进行匹配检查。对于这种类型的XSS攻击,采用的模式匹配方法一般会需要对“javascript”这个关键字进行检索,一旦发现提交信息中包含“javascript”,就认定为XSS攻击。这种检测方法的缺陷显而易见:骇客可以通过插入字符或完全编码的方式躲避检测:

躲避方法1)在javascript中加入多个tab键,得到

xss防御 xss xss-种类,xss-防御技术

;

躲避方法2) 在javascript中加入(空格)字符,得到

;

躲避方法3) 在javascript中加入(回车)字符,得到

;

躲避方法4)在javascript中的每个字符间加入回车换行符,得到

躲避方法5)对"javascript:alert'XSS')"采用完全编码,得到

上述方法都可以很容易的躲避基于特征的检测。而除了会有大量的漏报外,基于特征的

还存在大量的误报可能:在上面的例子中,对上述某网站这样一个地址,由于包含了关键字“javascript”,也将会触发报警。

2 .基于代码修改的防御

和SQL注入防御一样,XSS攻击也是利用了Web页面的编写疏忽,所以还有一种方法就是从Web应用开发的角度来避免:

步骤1、对所有用户提交内容进行可靠的输入验证,包括对URL、查询关键字、HTTP头、POST数据等,仅接受指定长度范围内、采用适当格式、采用所预期的字符的内容提交,对其他的一律过滤。

步骤2、实现Session标记(session tokens)、CAPTCHA系统或者HTTP引用头检查,以防功能被第三方网站所执行。

步骤3、确认接收的的内容被妥善的规范化,仅包含最小的、安全的Tag(没有javascript),去掉任何对远程内容的引用(尤其是样式表和javascript),使用HTTP only的cookie。

当然,如上操作将会降低Web业务系统的可用性,用户仅能输入少量的制定字符,人与系统间的交互被降到极致,仅适用于信息发布型站点。并且考虑到很少有Web编码人员受过正规的安全培训,很难做到完全避免页面中的XSS漏洞。

3.综论

XSS攻击作为Web业务的最大威胁之一,不仅危害Web业务本身,对访问Web业务的用户也会带来直接的影响,如何防范和阻止XSS攻击,保障Web站点的业务安全,是定位于业务威胁防御的入侵防御产品的本职工作。

XSS_xss -工作流程


xss

1)恶意用户,在一些公共区域

(例如,建议提交表单或消息公共板的输入表单)输入一些文本,这些文本被其它用户看到,但这些文本不仅仅是他们要输入的文本,同时还包括一些可以在客户端执行的脚本。如:

this.document = "*********";

2)恶意提交这个表单

3)其他用户看到这个包括恶意脚本的页面并执行,获取用户的cookie等敏感信息。

  

爱华网本文地址 » http://www.aihuau.com/a/8103390103/84072.html

更多阅读

二战日本太平洋岛屿防御技术研究 二战防御重机枪配置

前言迄今为止,已经有上百本着作在描述二战太平洋战场美、日之间惨烈的岛屿攻防战。几乎所有的作者都竭尽所能的渲染日军在防御战中所展现出之娴熟的伪装技巧、精妙的野战工事配置、对地形令人印象深刻的利用、不断增强的阵地间配合及

航天工业编制 航天科技集团事业编制

中国航天科工集团。航天二院:对外称防御技术研究院/长峰机电技术研究设计院。北京。防空导弹研制。其中210所(西安长峰机电研究所)在西安。含中国航天科工集团中心医院、706所(北京计算机技术及应用研究所)、204所、17所(北京控制与电子技

硬盘的主要指标和基本性能参数 技术性能指标和参数

硬盘的主要技术指标和基本性能参数是衡量一块硬盘优劣的关键所在,因此了解一些硬盘的主要性能参数十分必要。1.硬盘的种类和技术接口硬盘不但有众多的品牌,而且按照尺寸和使用范围的不同,可以分为不同的种类。①按尺寸分类硬盘的尺寸指

广州车展新车 北京车展新车观察(3)

吉利汽车:刮目相看 4月19日,一场关于BMBS的“爆胎安全控制与生命呵护”对话活动在北京沙河机场举行,同时也拉开了吉利此次北京车展的序幕,该技术是世界上惟一受专利保护的汽车类主动防御技术。吉利展位面积1500平方米,有23款车型参展。

声明:《xss防御 xss xss-种类,xss-防御技术》为网友潇洒不放纵分享!如侵犯到您的合法权益请联系我们删除