于吉吉的技術(shù)博客

          建造高性能門戶網(wǎng)

            BlogJava :: 首頁 :: 新隨筆 :: 聯(lián)系 :: 聚合  :: 管理 ::
            65 隨筆 :: 6 文章 :: 149 評論 :: 0 Trackbacks
          對于的用戶輸入搜索出現(xiàn)XSS漏洞的問題,主要是由于開發(fā)人員對XSS了解不足,安全的意識不夠造成的。現(xiàn)在讓我們來普及一下XSS的一些常識,以后在開發(fā)的時候,每當(dāng)有用戶輸入的內(nèi)容時,都要加倍小心。

          一、什么是XSS
             XSS又叫CSS (Cross Site Script) ,跨站腳本攻擊。它指的是惡意攻擊者往Web頁面里插入惡意html代碼,當(dāng)用戶瀏覽該頁之時,嵌入其中Web里面的html代碼會被執(zhí)行,從而達(dá)到惡意 用戶的特殊目的。XSS屬于被動式的攻擊,因為其被動且不好利用,所以許多人常呼略其危害性
             在WEB2。0時代,強(qiáng)調(diào)的是互動,使得用戶輸入信息的機(jī)會大增,在這個情況下,我們作為開發(fā)者,在開發(fā)的時候,要提高警惕。

          二、XSS攻擊的主要途徑
            方法只是利用HTML的屬性,作各種的嘗試,找出注入的方法。現(xiàn)在對三種主要方式進(jìn)行分析。

            第一種:對普通的用戶輸入,頁面原樣內(nèi)容輸出。
            打開http://go.ent.163.com/goproducttest/test.jsp(限公司IP),輸 入:<script>alert('xss')</script> JS腳本順利執(zhí)行。當(dāng)攻擊者找到這種方法后,就可以傳播這種鏈接格式的鏈接   (http://go.ent.163.com/goproducttest/test.jsp?key=JSCODE)如:http: //go.ent.163.com/goproducttest/test.jsp?key=<script>alert('xss')& lt;/script>,并對JSCODE做適當(dāng)偽裝,如:
          http://go.ent.163.com/goproducttest/test.jsp?key=%3c%73%63%72%69%70 %74%3e%61%6c%65%72%74%28%27%78%73%73%27%29%3c%2f%73%63%72%69%70%74%3e,當(dāng)其 它用戶當(dāng)點此鏈接的時候,JS就運行了,造成的后果會很嚴(yán)重,如跳去一個有木馬的頁面、取得登陸用戶的COOKIE等。


            第二種:在代碼區(qū)里有用戶輸入的內(nèi)容
            這個已經(jīng)在上次跟貼漏洞討論會上強(qiáng)調(diào)過了,原則就是,代碼區(qū)中,絕對不應(yīng)含有用戶輸入的東西。

            第三種:允許用戶輸入HTML標(biāo)簽的頁面。
            意思就是,用戶可以提交一些自定義的HTML代碼,這種情況是最危險的。因為,IE瀏覽器默認(rèn)采用的是UNICODE編碼,HTML編碼可以 用&#ASCII方式來寫,又可以使用"\"連接16進(jìn)制字符串來寫,使得過濾變得異常復(fù)雜,如下面的四個例子,都可以在IE中運行。

          1,直接使用JS腳本。
          <img src="javascript:alert('xss')" />


          2,對JS腳本進(jìn)行轉(zhuǎn)碼。
          <img src="javascript:alert('xss')" />


          3,利用標(biāo)簽的觸發(fā)條件插入代碼并進(jìn)行轉(zhuǎn)碼。
          <img  onerror="alert('xss')" />


          4,使用16進(jìn)制來寫(可以在傲游中運行)
          <img STYLE="background-image: \75\72\6c\28\6a\61\76\61\73\63\72\69\70\74\3a\61\6c\65\72\74\28\27\58\53\53\27\29\29">

          以上寫法等于
          <img STYLE="background-image: url(javascript:alert('XSS'))">


          三、解決辦法
            最重要的一點,就是提高意識嚴(yán)格控制輸入和輸出。具體執(zhí)行的方式有以下幾點:

            第一、在輸入方面對所有用戶提交內(nèi)容進(jìn)行可靠的輸入驗證,提交內(nèi)容包括URL、查詢關(guān)鍵字、http頭、post數(shù)據(jù)等
            第二、在輸出方面,在用戶輸內(nèi)容中使用<XMP>標(biāo)簽。標(biāo)簽內(nèi)的內(nèi)容不會解釋,直接顯示。
            第三、嚴(yán)格執(zhí)行字符輸入字?jǐn)?shù)控制。
            第四、在腳本執(zhí)行區(qū)中,應(yīng)絕無用戶輸入。

          ----------------------------------------

          by 陳于喆
          QQ:34174409
          Mail: chenyz@corp.netease.com




          posted on 2010-09-26 19:21 陳于喆 閱讀(3199) 評論(5)  編輯  收藏 所屬分類: web安全

          評論

          # <script>alert("XSS")</script> 2012-02-03 15:53 對方
          哈哈重新出現(xiàn)大幅度奮斗奮斗<script>alert("XSS")</script>  回復(fù)  更多評論
            

          # re: XSS漏洞報告 2012-05-16 22:16 332
          <script>alert("XSS")</script>   回復(fù)  更多評論
            

          # re: XSS漏洞報告 2013-11-06 15:53 ss
          <script>alert("XSS")</script>   回復(fù)  更多評論
            

          # re: XSS漏洞報告[未登錄] 2014-01-11 20:39 123
          @對方
          哈哈重新出現(xiàn)大幅度奮斗奮斗<script>alert("XSS")</script>  回復(fù)  更多評論
            

          # re: XSS漏洞報告 2014-06-18 16:06 gwinel
          <script>alert("XSS")</script>  回復(fù)  更多評論
            


          只有注冊用戶登錄后才能發(fā)表評論。


          網(wǎng)站導(dǎo)航:
           
          主站蜘蛛池模板: 嘉祥县| 宣城市| 宁明县| 铁岭市| 马山县| 辽阳县| 青岛市| 雷山县| 依安县| 太湖县| 新宁县| 舒城县| 新巴尔虎左旗| 甘洛县| 大名县| 会泽县| 七台河市| 克什克腾旗| 镶黄旗| 祁东县| 涿州市| 万源市| 安塞县| 平陆县| 依兰县| 筠连县| 湛江市| 小金县| 吐鲁番市| 瑞金市| 中江县| 鸡泽县| 河北省| 河北区| 昌平区| 永胜县| 宜阳县| 克山县| 道真| 石阡县| 平原县|