① 【論跨站腳本(XSS)攻擊的危害、成因及防範】跨站腳本攻擊
1 引言 在Web 2.0出現以前,跨站腳本(XSS)攻擊不是雀大那麼引人注目,但是在Web 2.0出現以後,配合流行的AJAX技術,XSS的危害性達到了十分嚴重的地步。比如,世界上第一個跨站腳本蠕蟲發生在MySpace網站,20小時內就傳染了一百萬個用戶,最後導致該網站癱瘓。因此我認為,XSS是在腳本環境下的溢出漏洞,其危害性絕不亞於傳統的緩沖區溢出漏洞。
2 XSS攻擊的定義
跨站腳本英文名稱是(Cross Site Script),為了與層疊樣式表(Cascading Style Sheets)區分,故命名為XSS。
XSS攻者鍵擊是指入侵者在遠程WEB頁面的HTML代碼中插入具有惡意目的的數據,用戶認為該頁面是可信賴的,但是當瀏覽器下載該頁面時,嵌入其中的腳本將被解釋執行。
3 跨站腳本漏洞的成因
3.1XSS成因概括
XSS其實就是Html的注入問題,攻擊者的輸入沒有經過嚴格的控制進入了資料庫最
終顯示給來訪的用戶,導致可以在來訪用戶的瀏覽器里以瀏覽用戶的身份執行Html代碼,數據流程如下:攻擊者的Html輸入―>web程序―>進入資料庫―>web程序―>用頃嫌豎戶瀏覽器。
3.2常規跨站漏洞
我們來看一段接收評論的代碼:
可以看到,從客戶端輸入的所有變數沒有經過任何過濾就直接進入了資料庫。攻擊者可以在表單中輸入:,點擊提交後,那麼其他用戶在瀏覽該頁面時就會不知不覺打開一個預先掛有木馬的頁面https://www.省略/muma.html,如果沒打相應的補丁,就會中馬。當然XSS的攻擊方式還有很多,比如通過跨站將上傳的圖片備份直接得到WebShell、結合AJAX技術通過蠕蟲攻擊等,因為這不是本文的重點,在這里就不一一列舉了。
3.3 UBB跨站漏洞
在很多論壇里發帖時,點擊圖片模樣的按鈕,在編輯區域就會出現[IMG][/IMG]的字樣,這是採用了一種UBB編碼的方式,如果攻擊者輸入[IMG] javascript:alert(」XSS」) [/IMG],它會默認將其轉換為,通過這種方式誘發的跨站漏洞稱為UBB跨站漏洞。
4 防範方法
4.1針對常規跨站漏洞
在常規的跨站漏洞中,正是因為攻擊者可以不受限制地引入「>」,導致了他可以操縱一個html標記,從而誘發了XSS攻擊。因此首先就要過濾掉「>」:
Replace(str,」」,」>」)
4.2針對UBB跨站漏洞
UBB跨站漏洞的防範相對來說比較復雜,首先攻擊者必須引入javascript或vbscript代碼來達到攻擊的目的,所以首先要過濾中javascript後面的冒號,將其用中文的冒號替代:
Replace(str,」:」,」:」)
但是HTML支持&#ASCII這樣的編碼,攻擊者又可以通過重新達到目的(58是冒號的十進制ASCII碼),所以必須過濾&符號:
Replace(str,」&」,」&」)
以上雖然已經過濾了來自標簽屬性的威脅,攻擊者還是可以通過觸發一個錯誤事件來達到目的。所以還需過濾掉以下字元:
Replace(str,」 」,」 」)//過濾空格
Replace(str,」=」,」=」)//過濾等號
Replace(str,」」」」,」"」)//過濾雙引號
5 結束語
通過以上分析我們看到,XSS是一種危害較大、較難防範,並且更加隱蔽的攻擊方式。其實只要明白其原理,再加上勤加思考防範的對策,就可以根治XSS漏洞。
參考文獻
[1]葉子青. ASP網路開發入門與實踐.人民郵電出版社,2006.
[2]韓國峰,柯華坤,王磊. ASP網站開發典型模塊與實例精講.電子工業出版社,2006.
② 如何防範XSS跨站腳本攻擊測試篇
不可信數據 不可信數據通常是來自HTTP請求的數據,以URL參數、表單欄位、標頭或者Cookie的形式。不過從安全形度來看,來自資料庫、網路伺服器和其他來源的數據往往也是不可信的,也就是說,這些數據可能沒有完全通過驗證。 應該始終對不可信數據保持警惕,將其視為包含攻擊,這意味著在發送不可信數據之前,應該採取措施確定沒有攻擊再發送。由於應用程序之間的關聯不斷深化,下游直譯程序執行的攻擊可以迅速蔓延。 傳統上來看,輸入驗證是處理不可信數據的最好辦法,然而,輸入驗證法並不是注入式攻擊的最佳解決方案。首先,輸入驗證通常是在獲取數據時開始執行的,而此時並不知道目的地所在。這也意味著我們並不知道在目標直譯程序中哪些字元是重要的。其次,可能更加重要的是,應用程序必須允許潛在危害的字元進入,例如,是不是僅僅因為sql認為Mr. O'Malley名字包含特殊字元他就不能在資料庫中注冊呢? 雖然輸入驗證很重要,但這始終不是解決注入攻擊的完整解決方案,最好將輸入攻擊作為縱深防禦措施,而將escaping作為首要防線。 解碼(又稱為Output Encoding) 「Escaping」解碼技術主要用於確保字元作為數據處理,而不是作為與直譯程序的解析器相關的字元。有很多不同類型的解碼,有時候也被成為輸出「解碼」。有些技術定義特殊的「escape」字元,而其他技術則包含涉及若干字元的更復雜的語法。 不要將輸出解碼與Unicode字元編碼的概念弄混淆了,後者涉及映射Unicode字元到位序列。這種級別的編碼通常是自動解碼,並不能緩解攻擊。但是,如果沒有正確理解伺服器和瀏覽器間的目標字元集,有可能導致與非目標字元產生通信,從而招致跨站XSS腳本攻擊。這也正是為所有通信指定Unicode字元編碼(字元集)(如UTF-8等)的重要所在。 Escaping是重要的工具,能夠確保不可信數據不能被用來傳遞注入攻擊。這樣做並不會對解碼數據造成影響,仍將正確呈現在瀏覽器中,解碼只能阻止運行中發生的攻擊。 注入攻擊理論 注入攻擊是這樣一種攻擊方式,它主要涉及破壞數據結構並通過使用特殊字元(直譯程序正在使用的重要數據)轉換為代碼結構。XSS是一種注入攻擊形式,瀏覽器作為直譯程序,攻擊被隱藏在HTML文件中。HTML一直都是代碼和數據最差的mashup,因為HTML有很多可能的地方放置代碼以及很多不同的有效編碼。HTML是很復雜的,因為它不僅是層次結構的,而且還包含很多不同的解析器(XML、HTML、JavaScript、VBScript、CSS、URL等)。 要想真正明白注入攻擊與XSS的關系,必須認真考慮HTML DOM的層次結構中的注入攻擊。在HTML文件的某個位置(即開發者允許不可信數據列入DOM的位置)插入數據,主要有兩種注入代碼的方式: Injecting UP,上行注入 最常見的方式是關閉現有的context並開始一個新的代碼context,例如,當你關閉HTML屬性時使用">並開始新的 可以終止腳本塊,即使該腳本塊被注入腳本內方法調用內的引用字元,這是因為HTML解析器在JavaScript解析器之前運行。 Injecting DOWN,下行注入 另一種不太常見的執行XSS注入的方式就是,在不關閉當前context的情況下,引入一個subcontext。例如,將改為 ,並不需要躲開HTML屬性context,相反只需要引入允許在src屬性內寫腳本的context即可。另一個例子就是CSS屬性中的expression()功能,雖然你可能無法躲開引用CSS屬性來進行上行注入,你可以採用x ss:expression(document.write(document.cookie))且無需離開現有context。 同樣也有可能直接在現有context內進行注入,例如,可以採用不可信的輸入並把它直接放入JavaScript context。這種方式比你想像的更加常用,但是根本不可能利用escaping(或者任何其他方式)保障安全。從本質上講,如果這樣做,你的應用程序只會成為攻擊者將惡意代碼植入瀏覽器的渠道。 本文介紹的規則旨在防止上行和下行XSS注入攻擊。防止上行注入攻擊,你必須避免那些允許你關閉現有context開始新context的字元;而防止攻擊跳躍DOM層次級別,你必須避免所有可能關閉context的字元;下行注入攻擊,你必須避免任何可以用來在現有context內引入新的sub-context的字元。 積極XSS防禦模式 本文把HTML頁面當作一個模板,模板上有很多插槽,開發者允許在這些插槽處放置不可信數據。在其他地方放置不可信數據是不允許的,這是「白名單」模式,否認所有不允許的事情。 根據瀏覽器解析HTML的方式的不同,每種不同類型的插槽都有不同的安全規則。當你在這些插槽處放置不可信數據時,必須採取某些措施以確保數據不會「逃離」相應插槽並闖入允許代碼執行的context。從某種意義上說,這種方法將HTML文檔當作參數化的資料庫查詢,數據被保存在具體文職並與escaping代碼context相分離。 本文列出了最常見的插槽位置和安全放置數據的規則,基於各種不同的要求、已知的XSS載體和對流行瀏覽器的大量手動測試,我們保證本文提出的規則都是安全的。 定義好插槽位置,開發者們在放置任何數據前,都應該仔細分析以確保安全性。瀏覽器解析是非常棘手的,因為很多看起來無關緊要的字元可能起著重要作用。 為什麼不能對所有不可信數據進行HTML實體編碼? 可以對放入HTML文檔正文的不可行數據進行HTML實體編碼,如 標簽內。也可以對進入屬性的不可行數據進行實體編碼,尤其是當屬性中使用引用符號時。但是HTML實體編碼並不總是有效,例如將不可信數據放入 directlyinascript insideanHTMLcomment inanattributename <...NEVERPUTUNTRUSTEDDATAHERE...href="/test"/> inatagname 更重要的是,不要接受來自不可信任來源的JavaScript代碼然後運行,例如,名為「callback」的參數就包含JavaScript代碼段,沒有解碼能夠解決。 No.2 – 在向HTML元素內容插入不可信數據前對HTML解碼 這條規則適用於當你想把不可信數據直接插入HTML正文某處時,這包括內部正常標簽(div、p、b、td等)。大多數網站框架都有HTML解碼的方法且能夠躲開下列字元。但是,這對於其他HTML context是遠遠不夠的,你需要部署其他規則。 ...... ...... 以及其他的HTML常用元素 使用HTML實體解碼躲開下列字元以避免切換到任何執行內容,如腳本、樣式或者事件處理程序。在這種規格中推薦使用十六進制實體,除了XML中5個重要字元(&、<、 >、 "、 ')外,還加入了斜線符,以幫助結束HTML實體。 &-->& <-->< >-->> "-->" '-->''isnotrecommended /-->/ ESAPI參考實施 Stringsafe=ESAPI.encoder().encodeForHTML(request.getParameter("input")); No.3 – 在向HTML常見屬性插入不可信數據前進行屬性解碼 這條規則是將不可信數據轉化為典型屬性值(如寬度、名稱、值等),這不能用於復雜屬性(如href、src、style或者其他事件處理程序)。這是及其重要的規則,事件處理器屬性(為HTML JavaScript Data Values)必須遵守該規則。 content insidesinglequotedattribute 除了字母數字字元外,使用小於256的ASCII值&#xHH格式(或者命名的實體)對所有數據進行解碼以防止切換屬性。這條規則應用廣泛的原因是因為開發者常常讓屬性保持未引用,正確引用的屬性只能使用相應的引用進行解碼。未引用屬性可以被很多字元破壞,包括[space] % * + , - / ; < = > ^ 和 |。 ESAPI參考實施 String safe = ESAPI.encoder().encodeForHTMLAttribute( request.getParameter( "input" ) ); No.4 – 在向HTML JavaScript Data Values插入不可信數據前,進行JavaScript解碼 這條規則涉及在不同HTML元素上制定的JavaScript事件處理器。向這些事件處理器放置不可信數據的唯一安全位置就是「data value」。在這些小代碼塊放置不可信數據是相當危險的,因為很容易切換到執行環境,因此請小心使用。
③ <script>alert('XSS')</script>
☺ <script>alert('XSS')</script> 是 js 腳本語言,在瀏覽器中的效果是彈窗, 彈窗內容是 'xss'; 這也是 xss 的常舉示例。
④ xss注入漏洞產生的原因xss注入過程步驟是什麼防範xss注入的方法有哪些
對於的用戶輸入中出現XSS漏洞的問題,主要是由於開發人員對XSS了解不足,安全的意識不夠造成的。現在讓我們來普及一下XSS的一些常識,以後在開發的時候,每當有用戶輸入的內容時,都要加倍小心。請記住兩條原則:過濾輸入和轉義輸出。
一、什麼是XSS
XSS又叫CSS (Cross Site Script) ,跨站腳本攻擊。它指的是惡意攻擊者往Web頁面里插入惡意html代碼,當用戶瀏覽該頁之時,嵌入其中Web裡面的html代碼會被執行,從而達到惡意的特殊目的。XSS屬於被動式的攻擊,因為其被動且不好利用,所以許多人常呼略其危害性。
在WEB2.0時代,強調的是互動,使得用戶輸入信息的機會大增,在這個情況下,我們作為開發者,在開發的時候,要提高警惕。
二、XSS攻擊的主要途徑
XSS攻擊方法只是利用HTML的屬性,作各種的嘗試,找出注入的方法。現在對三種主要方式進行分析。
第一種:對普通的用戶輸入,頁面原樣內容輸出。
打開http://go.ent.163.com/goprocttest/test.jsp(限公司IP),輸 入:<script>alert(『xss』)</script>, JS腳本順利執行。當攻擊者找到這種方法後,就可以傳播這種鏈接格式的鏈接 (http://go.ent.163.com/goprocttest/test.jsp?key=JSCODE)如:http: //go.ent.163.com/goprocttest/test.jsp?key=<script>alert(『xss』)& lt;/script>,並對JSCODE做適當偽裝,如:
http://go.ent.163.com/goprocttest/test.jsp?key=%3c%73%63%72%69%70 %74%3e%61%6c%65%72%74%28%27%78%73%73%27%29%3c%2f%73%63%72%69%70%74%3e,當其 它用戶當點此鏈接的時候,JS就運行了,造成的後果會很嚴重,如跳去一個有木馬的頁面、取得登陸用戶的COOKIE等。
第二種:在代碼區里有用戶輸入的內容
原則就是,代碼區中,絕對不應含有用戶輸入的東西。
第三種:允許用戶輸入HTML標簽的頁面。
用戶可以提交一些自定義的HTML代碼,這種情況是最危險的。因為,IE瀏覽器默認採用的是UNICODE編碼,HTML編碼可以用&#ASCII方式來寫,又可以使用」/」連接16進制字元串來寫,使得過濾變得異常復雜,如下面的四個例子,都可以在IE中運行。
1,直接使用JS腳本。
<img src=」javascript:alert(『xss』)」 />
2,對JS腳本進行轉碼。
<img src=」javascript:alert(『xss』)」 />
3,利用標簽的觸發條件插入代碼並進行轉碼。
<img onerror=」alert(『xss』)」 />
4,使用16進制來寫(可以在傲遊中運行)
<img STYLE=」background-image: /75/72/6c/28/6a/61/76/61/73/63/72/69/70/74/3a/61/6c/65/72/74/28/27/58/53/53/27/29/29″>
以上寫法等於<img STYLE=」background-image: url(javascript:alert(『XSS』))」>
三、XSS攻擊解決辦法
請記住兩條原則:過濾輸入和轉義輸出。
具體執行的方式有以下幾點:
第一、在輸入方面對所有用戶提交內容進行可靠的輸入驗證,提交內容包括URL、查詢關鍵字、http頭、post數據等
第二、在輸出方面,在用戶輸內容中使用<XMP>標簽。標簽內的內容不會解釋,直接顯示。
第三、嚴格執行字元輸入字數控制。
四、在腳本執行區中,應絕無用戶輸入。
⑤ XSS是什麼
1、XSS是跨站腳本攻擊(Cross Site Scripting),為不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆,故將跨站腳本攻擊縮寫為XSS。
2、惡意攻擊者往Web頁面里插入惡意html代碼,當用戶瀏覽該頁之時,嵌入其中Web裡面的html代碼會被執行,從而達到惡意攻擊用戶的特殊目的。
3、XSS攻擊分成兩類,一類是來自內部的攻擊,主要指的是利用程序自身的漏洞,構造跨站語句,如:dvbbs的showerror.asp存在的跨站漏洞。
4、另一類則是來自外部的攻擊,主要指的自己構造XSS跨站漏洞網頁或者尋找非目標機以外的有跨站漏洞的網頁。如當要滲透一個站點,自己構造一個有跨站漏洞的網頁,然後構造跨站語句,通過結合其它技術,如社會工程學等,欺騙目標伺服器的管理員打開。
⑥ php防止sql注入以及xss跨站腳本攻擊
1.post數據
封裝轉義函數 防sql注入 eag:addslashes($username);addslashes($password);
eag:防止sql注入函數封裝
function deepslashes($data){
#判斷$data的表現形式 並且需要處理空的情況
if(empty($data)){
return($data);
}
#高級簡寫 return is_array($data) ? array_map('deepslashes',$data) : addslashes($data);
#初級寫法
if(is_array($data)){
#遞歸循環遍歷處理多維數組
foreach ($data as $v) {
return deepslashes($v);
}
}else{
#單一變數
return addslashes($data);
}
#初級寫法
}
2.get數據
指url 傳參數導致sql發生改變
解決方案
①強制轉換,使用函數intval 或者 數據類型 的關鍵字int
②隱式轉換,通過運算,只需要+0即可
3.xss跨站腳本攻擊
指惡意攻擊向web頁面插入html、js標簽導致頁面出現錯誤
解決方案
轉義標簽'<' '>'即可,有以下php函數可解決
htmlspecialchars 函數 和 htmlentites函數
eag:
function deepslashes($data){
#判斷$data的表現形式 並且需要處理空的情況
if(empty($data)){
return($data);
}
return is_array($data) ? array_map('deepslashes',$data) : htmlspecialchars ($data);
}
⑦ 最近網上流行的XSS是什麼意思
最近網上流行的XSS是小學生的惡稱,罵小學生的。
一是指某些人的想法、思維方式、對事物的認知和思考能力如孩子般幼稚、單純、天真。
二是特指某類相對於同齡的人,在游戲競技或者社交網路中, 態度傲慢、技術水準較差、拒絕與隊友溝通、獨斷專行、忽視團隊合作、甚至喜歡惡語相向的網遊玩家。
三是指對沒有接觸過社會或社會經驗不足。
(7)xss寫入一句話腳本擴展閱讀:
1、小學生技術菜,愛罵人,玻璃心(說他一句就掛機送人頭,不管說什麼,比如:中路的你不要再送了,然後他就說「我就送」,接著就開始了。)小學生的心思就像星空,摸不著猜不透。
2、大噴子(網路中對喜歡肆意謾罵、地域黑、招黑、互黑等網友的一種廣泛性定義。),不分青紅皂白就開噴。
3、說話不經過大腦考慮,以自我為中心,可能是在家被寵慣了。
4、沒有接觸過社會大家庭或接觸社會經驗不足。比如:參加工作,你要是不讓新人上,永遠都是新人。這也是小學生。