安全|常见的Web攻击手段之XSS攻击

对于常规的Web攻击手段,如XSS、CRSF、SQL注入、(常规的不包括文件上传漏洞、DDoS攻击)等,防范措施相对来说比较容易,对症下药即可,比如XSS的防范需要转义掉输入的尖括号,防止CRSF攻击需要将cookie设置为httponly,以及增加session相关的Hash token码 ,SQL注入的防范需要将分号等字符转义,等等做起来虽然筒单,但却容易被忽视,更多的是需要从开发流程上来予以保障(这句话是给技术管理者的建议),以免因人为的疏忽而造成损失。

一、XSS介绍

XSS攻击的全称是跨站脚本攻击(Cross Site Scripting),为不跟层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS,它是Web应用程序中最常见到的攻击手段之一。跨站脚本攻击指的是攻击者在网页中嵌入恶意脚本程序,当用户打幵该网页时,脚本程序便开始在客户端的浏览器上执行,以盗取客户端cookie、用户名密码,下载执行病毒木马程序,甚至是获取客户端admin权限等。

1.1、XSS的原理

假设页面上有个表单,表单名称为nick,用来向服务端提交网站用户的昵称信息: <input type= "text" name= "nick" value= "xiaomaon> 表单nick的内容来自用户的输入,当用户输入的不是一个正常的昵称字符串,而是XSS漏洞测试<script>alert("我是小怪,我在做XSS漏洞测试,我怀疑你们的网站有XSS攻击安全漏洞")</script><!-时,由于某种原因,如nick服务端校验不通过,服务端重定向回这个页面,并且带上之前用户输入的nick参数,此时页面则变成下面的内容: <input type="text" name="nick" value=""/><script>alert ("我是小怪,我在做XSS漏洞测试,我怀疑你们的网站有XSS攻击安全漏洞") </script><!-/> 在输入框input的后面带上了一段脚本程序,当然,这段脚本程序只是弹出一个消息“我是小怪,我在做XSS漏洞测试,我怀疑你们的网站有XSS攻击安全漏洞”,如下图1所示,并不会造成什么危害,攻击的威力取决于用户输入了什么样的脚本, 只要稍微修改,便可使攻击极具危害性。

图1 XSS攻击的结果

攻击者可以对该URL采用URLEncode,如下图2所示,以迷惑用户,让它看起来像是一个正常的推广链接,并且以邮件群发或者其他形式进行推广,一旦用户点击,脚本将在客户端执行,对用户造成危害。

图2 URLEncode编码后的XSS链接地址

还有一种场景,用户在表单上输入一段数据后,提交给服务端进行持久化,其他页面需要从服务端将数据取出来展示。还是使用之前那个表单nick,用户输入昵称之后,服务端会将nick保存,并在新的页面中展现给用户,当普通用户正常输入zhangsan,页面会显示用户的nick为zhangsan:

<body>
    zhangsan
</body>

但是,如果用户输入的不是一段正常的nick字符串,而是<script>alert ("我是小怪,我在做XSS漏洞测试,我怀疑你们的网站有XSS攻击安全漏洞") </script>,服务端会将这段脚本保存起来,当有用户查看该页面时,页面会出现如下代码:

<body>
    <script>alert ("我是小怪,我在做XSS漏洞测试,我怀疑你们的网站有XSS攻击安全漏洞") </script>
</body>

同样,攻击的威力取决于用户输入的脚本,并且此种XSS攻击比前一种具有更为广泛的危害性,比如当一个恶意用户在一家知名博客网站上转载了一篇非常火的博文,文章中嵌入了恶意的脚本代码,其他人访问这篇文章时,嵌入在文章中的脚本代码便会执行,达到恶意攻击用户的目的。

1.2、XSS防范

XSS之所以会发生,是因为用户输入的数据变成了代码。因此,我们需要对用户输入的数据进行HTML转义处理,将其中的“尖括号”、“单引号”、“引号”之类的特殊字符进行转义编码:

HTML字符

HTML转义后的字符

<

&lt;

>

&gt;

&amp;

&quot;

如今很多开源的幵发框架本身默认就提供HTML代码转义的功能,如流行的jstl、Struts等,不需要开发人员再进行过多的开发。使用jstl标签进行HTML转义,将变量输出,代码如下: <c:out value= "${nick}" escapeXml="true" </c:out> 只需要将escapeXml设置为true,jstl就会将变量中的HTML代码进行转义输出。

二、总结

原本以为这个是最基本的,实际上很多网站没有做到,所以特意编写一下这个Web攻击的系列,系列内容包括XSS、CRSF、SQL注入、文件上传漏洞、DDoS攻击等。 文章内容来源于《大型分布式网站架构 设计与实践》一书。

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏我叫刘半仙

原帮你摆脱鼠标,提高工作效率的免费小工具

       一款只用键盘操作就能打开想要的软件的神器--ALTRun。在我刚开始学编程时,一次偶然的机会接触了ALTRun后,实在是爱不释手。它是一款快速启动...

44360
来自专栏知晓程序

如何让公众号粉丝使用小程序? | 小程序问答 #41

也许你已经知道,微信提供了「小程序关联公众号」的功能,而且小程序还能关联 50 个公众号。

20520
来自专栏王大锤

github for Mac 教程

39860
来自专栏网络

SEO之404页面应该怎么做?

404页面是什么? 404是网页反馈的状态码之一,4开头的状态码是指用户错误,5开头的是服务器错误。而404页面就是当用户提交信息后服务器无法回应或者反馈信息就...

25980
来自专栏Golang语言社区

高性能、高并发TCP服务器(多线程调用libevent)

本文讲述的TCP服务器是模仿memcache中的TCP网络处理框架,其中是基于libevent网络库的。 主线程只处理监听客户端的连接请求,并将请求平均分配给子...

40660
来自专栏地方网络工作室的专栏

将移动硬盘上的archlinux复制到笔记本电脑硬盘并引导

将移动硬盘上的archlinux复制到笔记本电脑硬盘并引导 每次安装archlinux我都非常痛苦,在同事的协助下才能完成。为了避免这个问题,我在我的移动硬盘上...

22780
来自专栏FreeBuf

CVE-2016-10277在MOTO X手机上的漏洞利用实践

CVE-2016-10277是存在于摩托罗拉系列手机的bootloader高危漏洞,可以通过内核命令注入劫持手机的启动流程,加载攻击者控制的initramfs,...

31470
来自专栏JAVA烂猪皮

分布式消息中间件 — MQ

消息队列(Message Queue,简称 MQ)是阿里巴巴集团中间件技术部自主研发的专业消息中间件。用于保证异构应用之间的消息传递。应用程序通过MQ接口进行互...

14830
来自专栏不止是前端

Vue:一个空白的Vue项目,开箱即用

431110
来自专栏MySQL

分布式消息中间件 — MQ

消息队列(Message Queue,简称 MQ)是阿里巴巴集团中间件技术部自主研发的专业消息中间件。用于保证异构应用之间的消息传递。应用程序通过MQ接口进行互...

56970

扫码关注云+社区

领取腾讯云代金券