2. 程式人生 > >跨站腳本攻擊XXS(Cross Site Scripting)修復方案

跨站腳本攻擊XXS(Cross Site Scripting)修復方案

阿新 發佈:2017-10-31
prim 客戶端 密碼 腳本 node rim net 但是 fix

今天突然發現,網站被主頁莫名奇妙的出現了陌生的廣告。

通過排查發現是跨站腳本攻擊XXS(Cross Site Scripting)。以下為解決方案。

漏洞類型: Cross Site Scripting 漏洞描述:跨站腳本攻擊(Cross-site scripting,通常簡稱為XSS)發生在客戶端,可被用於進行竊取隱私、釣魚欺騙、偷取密碼、傳播惡意代碼等攻擊行為。 惡意的攻擊者將對客戶端有危害的代碼放到服務器上作為一個網頁內容, 使得其他網站用戶在觀看此網頁時,這些代碼註入到了用戶的瀏覽器中執行,使用戶受到攻擊。一般而言,利用跨站腳本攻擊,攻擊者可竊會話COOKIE從而竊取網站用戶的隱私,包括密碼。XSS攻擊使用到的技術主要為HTML和Javascript,也包括VBScript和ActionScript等。XSS攻擊對WEB服務器雖無直接危害,但是它借助網站進行傳播,使網站的使用用戶受到攻擊,導致網站用戶帳號被竊取,從而對網站也產生了較嚴重的危害。

  1. <strong>漏洞詳情:</strong>參數: s, 可被註入:
  2. {"assertList":[{"express":"htmlscripttext","source":"","val":"8976","var":"BODY"}],"inputIndex":4,"lockKey":"${FILENAME}${ARGNAME}101_para_reflect_xss","message":"para_reflect_xss","otherProperty":{},"pluginName":"","postBody":"","requestHeaders":{"Accept":"*/*","Connection":"keep-alive","Content-Type":"text/html","Host":"www.neterwork.com","Referer":"http://www.zihao123.com/","User-Agent":"Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;Alibaba.Security.Heimdall.937988)"},"ruleItemName":"para_reflect_xss","ruleName":"sts"}
  3. POC重現:http://www.zihao123.com/?s=

修復方案:

一:避免XSS的方法之一主要是將用戶所提供的內容輸入輸出進行過濾 ,可以利用下面這些函數對出現xss漏洞的參數進行過濾

  1. 1.PHPhtmlentities()或是htmlspecialchars()。
  2. 2.Pythoncgi.escape()。
  3. 3.ASPServer.HTMLEncode()。
  4. 4.ASP.NETServer.HtmlEncode()或功能更強的Microsoft Anti-Cross Site Scripting Library
  5. 5.Javaxssprotect(Open Source Library)。
  6. 6.Node.jsnode-validator

二:使用開源的漏洞修復插件。

實例:

避免XSS的方法之一主要是將用戶所提供的內容輸入輸出進行過濾,許多語言都有提供對HTML的過濾: 可以利用下面這些函數對出現xss漏洞的參數進行過濾:

  1. PHPhtmlentities()或是htmlspecialchars()。
  2. Pythoncgi.escape()。
  3. ASPServer.HTMLEncode()。
  4. ASP.NETServer.HtmlEncode()或功能更強的Microsoft Anti-Cross Site Scripting Library
  5. Javaxssprotect(Open Source Library)。
  6. Node.jsnode-validator

ASP漏洞代碼示例:

  1. &lt;%
  3. Dim param
  5. Set param=Request.QueryString(“dd”)
  7. response.write param
  9. %&gt;

修復範例:

  1. &lt;%
  3. Dim param
  5. Set param=Request.QueryString(“dd”)
  7. response.write Server.HTMLEnCode(param)
  9. %&gt;

PHP漏洞代碼示例:

  1. &lt;?php
  3. $aa=$_GET[‘dd‘];
  5. echo $aa.”123″;
  7. ?&gt;
  8. <strong>修復範例:</strong>
  1. &lt;?php
  3. $aa=$_GET[‘dd‘];
  5. echo htmlspecialchars($aa).”123″;
  7. ?&gt;

跨站腳本攻擊XXS(Cross Site Scripting)修復方案

相關推薦

攻擊XXS(Cross Site Scripting)修復方案

prim 客戶端 密碼 腳本 node rim net 但是 fix 今天突然發現,網站被主頁莫名奇妙的出現了陌生的廣告。 通過排查發現是跨站腳本攻擊XXS(Cross Site Scripting)。以下為解決方案。 漏洞類型: Cross Site Scriptin

Fortify漏洞之Cross-Site Scripting(XSS 攻擊

puts 私人 解決方案 sta 行為 sel getpara image 字母   書接上文,繼續對Fortify漏洞進行總結,本篇主要針對XSS跨站腳步攻擊漏洞進行總結如下: 1、Cross-Site Scripting(XSS 跨站腳本攻擊) 1.1、產生原因: 1.

解決SQL盲註和攻擊

replace req servlet get extends turn lac batis void 今天測試用IBM的AppScan,對系統進行測試,發現了系統的安全漏洞,分別是SQL盲註和跨站腳本攻擊,這兩種安全隱患都是利用參數傳遞的漏洞趁機對系統進行攻擊。截圖如下:

JAVA覆寫Request過濾XSS攻擊

getpara header term implement nbsp super exceptio stream elements 註:本文非本人原著。 demo的地址:鏈接:http://pan.baidu.com/s/1miEmHMo 密碼:k5ca 如何過濾

攻擊XSS(二)——session劫持

get 曾經 ole bsp 讀取 跨站腳本攻擊 不同 添加 返回 轉載自:http://www.cnblogs.com/dolphinX/p/3403027.html 在跨站腳本攻擊XSS中簡單介紹了XSS的原理及一個利用XSS盜取存在cookie中用戶名和密碼的小例子,

記錄一次網站漏洞修復過程(三):第二輪處理(攔截SQL註入、攻擊XSS)

cat nbsp ebe 嵌入 網頁 防止 記錄 用戶輸入 light 在程序編寫的時候采用參數化的SQL語句可以有效的防止SQL註入,但是當程序一旦成型,再去修改大量的數據庫執行語句並不是太現實,對網頁表單上輸入進行校驗是易於實現的方法。在webForm 頁面中開啟校驗屬

XSS攻擊

截取 inner 掛載點 site 斜線 谷歌 system coo 地址 閱讀目錄 1、簡介 2、原因解析 3、XSS攻擊分類   3.1、反射型xss攻擊   3.2、存貯型xss攻擊   3.3、DOMBasedXSS(基於dom的跨站點腳本攻擊) 4、XSS攻擊

攻擊(XSS)

包含 xss攻擊 輸入 htm 存儲型xss 結束 一個 服務端 但是 XSS攻擊通常指黑客通過"HTML註入"篡改了頁面,插入了惡意腳本,下面演示一個簡單的例子: <?php $input = $_GET("param"); echo "<div&g

Web安全之攻擊(XSS)

sca 各類 隱藏 word create 十六 請求 後臺 轉換成 XSS 簡介 跨站腳本攻擊,英文全稱是 Cross Site Script,本來縮寫是CSS,但是為了和層疊樣式表(Cascading Style Sheet,CSS)有所區別,所以在安全領域叫做“XSS

ASP.NET MVC與CSRF(攻擊

轉移 off end gis 帳戶 blank 表單 密碼 message CSRF 一 何為CSRF CSRF(Cross-site request forgery跨站請求偽造,也被稱成為“one click attack”或者session riding,通常縮寫為CS

【安全牛學習筆記】XSS-簡介、檢測和常見的攻擊利用手段

信息安全 security+ xss XSS攻擊WEB客戶端客戶端腳本語言 彈窗警告、廣告 Javascript 在瀏覽器中執行XSS(cross-site scripting) 通過WEB站點漏洞,向客戶端交付惡意腳本代碼,實現對客戶端的攻擊目的 註入客戶端腳本代碼

【安全牛學習筆記】XSS-簡介、檢測和常見的攻擊利用手段2

信息安全 security+ xss ╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋┃XSS ┃┃攻擊WEB客戶端

指令碼攻擊Cross-site scripting,通常簡稱為XSS)阿里雲防護

漏洞描述:        跨站指令碼攻擊(Cross-site scripting,通常簡稱為XSS)發生在客戶端,可被用於進行竊取隱私、釣魚欺騙、偷取密碼、傳播惡意程式碼等攻擊行為。 惡意的攻擊者將對客戶端有危害的程式碼放到伺服器上作為一個網頁內容, 使得其他網站使用

《xss剖析與防禦》實驗筆記

() 技術分享 ges image tro 漏洞 cnblogs xss漏洞 lis 1、書籍《xss跨站腳本剖析與防禦》上介紹的xss測試代碼 <img src="javascrpt:alert(‘xss‘);">, <table background

jqgrid漏洞解決

之間 cell == var 技術 gin eight escape != 問題描述:   jqgrid版本4.5.2   用戶輸入值為<script>alert(123)</script>時,jqgrid默認的展示方法會將字符串轉換為dom元素,於

預防(xss)

行處理 get 輸入 數據 pre class web 服務 客戶 對xss的防護方法結合在兩點上輸入和輸出,一是嚴格控制用戶表單的輸入,驗證所有輸入數據,有效監測到攻擊,go web表單中涉及到.二是對所有輸出的數據進行處理,防止已成功註入的腳本在瀏覽器端運行. 在Go中

onload public 跳轉 aid h+ file 客戶端 base 需要 實驗 一、 xss跨站腳本實驗 XSS全稱(cross site scripting)跨站腳本攻擊,是web程序最常見的漏洞。指攻擊者在網頁嵌入客戶端腳本如javascript,當用戶瀏覽網

DVWA-xss(漏洞)

漏洞 127.0.0.1 一個 reflect 編輯 請求 cal 指定位置 ESS 首先進入DVWA頁面,選擇low等級。 進入xxs(reflect)頁面。 我們在彈窗中進行測試,輸入xxs則結果如下: 然後再輸入<xss>xss腳本試一試。結果如下:

站點攻擊

瀏覽器 攻擊 () 解決 註入 family 腳本 方案 跨站 跨站點腳本攻擊 介紹 XSS是跨站腳本攻擊(Cross Site Scripting)的縮寫。XSS是因為有些惡意攻擊者往Web頁面中插入惡意Script代碼,當用戶瀏覽該頁面時,嵌入的Script代碼將會被

XSS

input 服務 漏洞 rsquo mys while mls 避免 quest 1.反射型 非持久化,需要用戶自己點擊才可以觸發 通常出現在搜索框 <?php $id=$_GET[‘id‘]; echo $id; ?> h