2. 程式人生 > >Web 攻擊之 XSS 攻擊及防禦策略

Web 攻擊之 XSS 攻擊及防禦策略

阿新 發佈:2018-11-19

XSS 攻擊

介紹

  1. XSS 攻擊,從最初 netscap 推出 javascript 時,就已經察覺到了危險。 我們常常需要面臨跨域的解決方案,其實同源策略是保護我們的網站。糟糕的跨域會帶來危險,雖然我們做了訪問控制,但是網站仍然面臨著嚴峻的 XSS 攻擊考驗。
  2. 攻擊定義: Cross-Site Scripting(跨站指令碼攻擊)簡稱 XSS,是一種程式碼注入攻擊。攻擊者通過在目標網站上注入惡意指令碼,利用信任執行程式碼。利用這些惡意指令碼,攻擊者可獲取使用者的敏感資訊,危害網站。
  3. 在部分情況下,由於輸入的限制,注入的惡意指令碼比較短。但可以通過引入外部的指令碼,並由瀏覽器執行,來完成比較複雜的攻擊策略。
  4. 這些惡意網頁程式通常是JavaScript,但實際上也可以包括Java,VBScript,ActiveX,Flash或者甚至是普通的HTML。

攻擊來源

  1. 使用者的 UGC 資訊
  2. 來自第三方的連結
  3. URL引數
  4. POST引數
  5. Referer(可能來自不可信的來源)
  6. Cookie(可能來自其他子域注入)

攻擊結果

  1. 盜用cookie,獲取敏感資訊。
  2. 利用植入Flash,通過crossdomain許可權設定進一步獲取更高許可權;或者利用Java等得到類似的操作。
  3. 利用iframe、frame、XMLHttpRequest或上述Flash等方式,以(被攻擊)使用者的身份執行一些管理動作,或執行一些一般的如發微博、加好友、發私信等操作。
  4. 利用可被攻擊的域受到其他域信任的特點,以受信任來源的身份請求一些平時不允許的操作,如進行不當的投票活動。
  5. 在訪問量極大的一些頁面上的XSS可以攻擊一些小型網站,實現DDoS攻擊的效果。

攻擊分類

  1. 儲存型 XSS:
    1. 你的應用或者API將未淨化的使用者輸入儲存下來了,並在後期在其他使用者或者管理員的頁面展示出來。 儲存型XSS一般被認為是高危或嚴重的風險。
    2. 攻擊過程:
      1. Bob擁有一個Web站點,該站點允許使用者釋出資訊/瀏覽已釋出的資訊。
      2. Charly注意到Bob的站點具有型別C的XSS漏洞。
      3. Charly釋出一個熱點資訊,吸引其它使用者紛紛閱讀。
      4. Bob或者是任何的其他人如Alice瀏覽該資訊,其會話cookies或者其它資訊將被Charly盜走。
  2. 反射型 XSS:
    1. 你的應用中包含未驗證的或未編碼的使用者輸入,並作為HTML或者其他未啟用CSP頭的一部分輸出。成功的攻擊將在受害者的瀏覽器上執行任意HTML或JS程式碼。 一般而言,使用者需要點選連結或與其他攻擊者控制頁面做互動,例如:水坑攻擊、惡意行為或其它。
    2. 攻擊過程:
      1. Alice經常瀏覽某個網站,此網站為Bob所擁有。Bob的站點執行Alice使用使用者名稱/密碼進行登入,並存儲敏感資訊(比如銀行帳戶資訊)。
      2. Charly發現Bob的站點包含反射性的XSS漏洞。
      3. Charly編寫一個利用漏洞的URL,並將其冒充為來自Bob的郵件傳送給Alice。
      4. Alice在登入到Bob的站點後,瀏覽Charly提供的URL。
      5. 嵌入到URL中的惡意指令碼在Alice的瀏覽器中執行,就像它直接來自Bob的伺服器一樣。此指令碼盜竊敏感資訊(授權、信用卡、帳號資訊等然後在Alice完全不知情的情況下將這些資訊傳送到Charly的Web站點。
  3. DOM 型 XSS
    1. 會動態的將攻擊者可控的內容加入頁面的JavaScript框架、單頁面程式或API存在這種型別的漏洞。理想的來說,你應該避免將攻擊者可控的資料傳送給不安全的JavaScriptAPI。
    2. 攻擊過程:
      1. 攻擊者構造出特殊的 URL,其中包含惡意程式碼。
      2. 使用者開啟帶有惡意程式碼的 URL。
      3. 使用者瀏覽器接收到響應後解析執行,前端 JavaScript 取出 URL 中的惡意程式碼並執行。
      4. 惡意程式碼竊取使用者資料併發送到攻擊者的網站,或者冒充使用者的行為,呼叫目標網站介面執行攻擊者指定的操作。

攻擊預防

  1. 渲染前處理: 在渲染前對服務端返回的資料,進行明確的資料型別處理。像文字(.innerText),還是屬性(.setAttribute),還是樣式(.style)等等
  2. 對 HTML 各個內容做相應的語義轉換規則。詳情可以檢視 XSS (Cross Site Scripting) Prevention Cheat Sheet
  3. 為了避免客戶端XSS,最好的選擇是避免傳遞不受信任的資料到JavaScript和可以生成活動內容的其他瀏覽器A PI。如 location、onclick、onerror、onload、onmouseover 等,a 標籤的 href 屬性,JavaScript 的 eval()、setTimeout()、setInterval() 等,都能把字串作為程式碼執行。如果不可信的資料拼接到字串中傳遞給這些 API,很容易產生安全隱患,請務必避免。
  4. HTTP-only Cookie: 禁止 JavaScript 讀取某些敏感 Cookie,攻擊者完成 XSS 注入後也無法竊取此 Cookie。
  5. 使用CSP是對抗XSS的深度防禦策略。具體可檢視內容安全策略

防禦檢測

  1. 使用通用 XSS 攻擊字串手動檢測 XSS 漏洞。jaVasCript:/*-//*\/'/*"/**/(/* */oNcliCk=alert() )//%0D%0A%0d%0a//\x3csVg/

  2. 使用掃描工具自動檢測 XSS 漏洞。
    1. Arachni、Mozilla HTTP Observatory、w3af

攻擊案例總結

  1. 新浪微博
  2. 百度貼吧

相關推薦

Web 攻擊 XSS 攻擊防禦策略

XSS 攻擊 介紹 XSS 攻擊,從最初 netscap 推出 javascript 時,就已經察覺到了危險。 我們常常需要面臨跨域的解決方案,其實同源策略是保護我們的網站。糟糕的跨域會帶來危險,雖然我們做了訪問控制,但是網站仍然面臨著嚴峻的 XSS 攻擊考驗。 攻擊定義: Cross-Site

web安全XSS攻擊原理防範

閱讀目錄 一:什麼是XSS攻擊? 二:反射型XSS 三:儲存型XSS 四:DOM-based型XSS 五:SQL注入 六:XSS如何防範? 1. cookie安全策略 2. X-XSS-Protection設定 3. XSS防禦HTML編碼 4. XSS 防禦HTML Attrib

WEB攻擊XSS攻擊與防護

分享一下我的偶像大神的人工智慧教程!http://blog.csdn.net/jiangjunshow 也歡迎轉載我的文章,轉載請註明出處 https://blog.csdn.net/aabbyyz XSS的背景與介紹 背景 隨著網際網路的發展,網站

web安全 xss攻擊

xss攻擊的全稱是Cross-Site Scripting (XSS)攻擊,是一種注入式攻擊。基本的做法是把惡意程式碼注入到目標網站。由於瀏覽器在開啟目標網站的時候並不知道哪些指令碼是惡意的,所以瀏覽器會無差別執行惡意指令碼,從而導致使用者資訊和一些敏感資訊被盜取和洩漏

WEB攻擊 CSRF 攻擊防禦策略

介紹 是一種挾制使用者在當前已登入的Web應用程式上執行非本意的操作的攻擊方法。 釋義: 跨站請求攻擊,簡單地說,是攻擊者通過一些技術手段欺騙使用者的瀏覽器去訪問一個自己曾經認證過的網站並執行一些操作(如發郵件,發訊息,甚至財產操作如轉賬和購買商品)。由於瀏覽器曾經認證過,所以被訪問的網站會認為是真正的使

Web攻擊手段--XSS攻擊預防策略

XSS(Cross Site Scripting)攻擊的全稱是跨站指令碼攻擊,跨站指令碼攻擊的方式是惡意攻擊者在網頁中嵌入惡意指令碼程式,當用戶開啟網頁的時候指令碼程式便在客戶端執行,盜取客戶的cookie及使用者名稱和密碼,下載執行病毒及木馬程式,甚至獲得客戶端的admi

Web 安全漏洞 XSS 攻擊

編者說:作為JS系工程師接觸最多的漏洞我想就是 XSS 漏洞了,然鵝並不是所有的同學對其都有一個清晰的認識。今天我們請來了@盧士傑 同學為我們分享他眼中的 XSS 漏洞攻擊,希望能幫助到大家。 什麼是 XSS 攻擊 XSS(Cross-Site Scripting)又稱跨站指令碼,XSS的重點不在於跨

web安全測試 xss攻擊

一、 背景知識 1、 什麼是 XSS 攻擊? XSS 攻擊: 跨站指令碼攻擊(Cross Site Scripting) , 為不和層疊樣式表(Cascading Style Sheets,CSS)的縮寫混淆。 故將跨站指令碼攻擊縮寫為 XSS。 跨站指令碼攻擊, 是 W

Web前端安全——XSS攻擊防禦

跨站指令碼攻擊簡稱 XSS (Cross-Site Scriptting),是一種經常出現在web應用中的電腦保安漏洞,它允許惡意web使用者將程式碼植入到提供給其它使用者使用的頁面中。 XSS攻擊的危害: 1、盜取各類使用者帳號許可權(控制所盜竊許可權資料

Web安全CSRF攻擊

for idt 例子 expr 由於 不能 防止 失效 內容 一、CSRF是什麽? CSRF(Cross Site Request Forgery),中文是跨站點請求偽造。CSRF攻擊者在用戶已經登錄目標網站之後,誘使用戶訪問一個攻擊頁面,利用目標網站對用戶的信任,以用戶身

Web應用內XSS攻擊防範 - ParameterValidationFilter

介紹 web應用進行xss攻擊防範,常用到下面2類方法: 容器(Nginx/Apache)安裝WAF模組(ModSecurity) 應用配置引數檢查過濾器(ParameterValidationFilter) 一般來說,在容器上增加WAF模組,通用性更強,

Web安全XSS Platform搭建使用實踐

一、背景 XSS Platform 是一個非常經典的XSS滲透測試管理系統,原作者在2011年所開發,由於後來長時間沒有人維護,導致目前在PHP7環境下無法執行。 筆者最近花了一點時間將原始碼移植到了PHP7環境中,同時增加安裝功能;另外還修復之前的程式碼的一些不嚴謹語法的問題,並調整了一些表單的樣式,同

WEB攻擊CSRF攻擊與防護

原文地址:https://www.daguanren.cc/post/csrf-introduction.html CSRF 背景與介紹 CSRF定義: 跨站請求偽造(英語:Cross-site request forgery),也被稱為 one-click attack 或者 session

【33】WEB安全學習----XSS攻擊1

關於XSS跨站指令碼攻擊有太多文章和教材提供了,本章就簡單介紹XSS攻擊原理,重點介紹XSS程式碼構造和繞過。 一、XSS攻擊原理 XSS攻擊:即跨站指令碼攻擊,是指攻擊者在網頁中嵌入客戶端JavaScript指令碼,當用戶使用瀏覽器瀏覽嵌入惡意程式碼的網頁時,惡意程式碼

【34】WEB安全學習----XSS攻擊2

一、JavaScript事件 在構造XSS程式碼時,如果對<>進行了編碼或過濾,那麼無法結束和新建HTML元素,此時可以用事件進行觸發(這裡不討論利用HTML標籤屬性值進行觸發,因為只支援少部分瀏覽器)。 JavaScript指令碼中的事件是指使用者載入目標頁

DDos攻擊的常見方法防禦方法

什麼是DDoS? DDoS是英文Distributed Denial of Service的縮寫,意即“分散式拒絕服務”,那麼什麼又是拒絕服務(Denial of Service)呢?可以這麼理解,凡是能導致合法使用者不能夠訪問正常網路服務的行為都算是拒絕服務攻擊。也就是說拒絕服務攻擊的目的非常明確,就是要

前端安全XSS攻擊

change 剔除 數據解析 樣式 insert xss攻擊 fun area ech XSS定義 XSS, 即為(Cross Site Scripting), 中文名為跨站腳本, 是發生在目標用戶的瀏覽器層面上的,當渲染DOM樹的過程成發生了不在預期內執行的JS代碼時,就

ARP攻擊原理簡析防禦措施

0x1  簡介 網路欺騙攻擊作為一種非常專業化的攻擊手段,給網路安全管理者,帶來嚴峻的考驗。網路安全的戰場已經從網際網路蔓延到使用者內部的網路,特別是區域網。目前利用ARP欺騙的木馬病毒在區域網中廣泛傳播,導致網路隨機掉線甚至整體癱瘓,通訊被竊聽,資訊被篡改等嚴重後果。 0x2  ARP協議概述

區塊鏈黑客攻擊女巫攻擊

  區塊鏈是加密貨幣的底層技術,而加密貨幣憑藉其價值,引得無數人為之瘋狂,在高利益的驅使下,不乏黑客們對區塊鏈網路發起攻擊。本文和大家分享的就是區塊鏈黑客攻擊中的女巫攻擊。   說到女巫,我們腦袋裡面最直觀的感覺就是女巫有法術,能變成不同身份的人。通常女巫都是邪惡的象徵,並且不幹啥好事。而

Web安全xss

1>XSS漏洞是Web應用程式中最常見的漏洞之一。如果您的站點沒有預防XSS漏洞的固定方法,那麼就存在XSS漏洞。這個利用XSS漏洞的病毒之所以具有重要意義是因為,難以看到XSS漏洞的威脅,而該病毒則將其發揮得淋漓盡致。 2>XSS攻擊分為兩類,一類是來自內部的攻擊,主要指的是利用程式