欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  IT编程

Web安全之XSS攻击与防御小结

程序员文章站 2022-06-22 15:56:41
web安全之xss攻防 1. xss的定义 跨站脚本攻击(cross site scripting),缩写为xss。恶意攻击者往web页面里插入恶意script代码,当...

web安全之xss攻防

1. xss的定义

跨站脚本攻击(cross site scripting),缩写为xss。恶意攻击者往web页面里插入恶意script代码,当用户浏览该页之时,嵌入其中web里面的script代码会被执行,从而达到恶意攻击用户的目的。

2. xss的原理

  • 攻击者对含有漏洞的服务器发起xss攻击(注入js代码)。
  • 诱使受害者打开受到攻击的服务器url。
  • 受害者在web浏览器中打开url,恶意脚本执行。

3. xss的攻击方式

(1)反射型: 发出请求时,xss代码出现在url中,作为输入提交到服务器端,服务器端解析后响应,xss随响应内容一起返回给浏览器,最后浏览器解析执行xss代码,这个过程就像一次发射,所以叫反射型xss。

(2)存储型: 存储型xss和反射型的xss差别就在于,存储型的xss提交的代码会存储在服务器端(数据库,内存,文件系统等),下次请求目标页面时不用再提交xss代码。

4. xss的防御措施

(1)编码:对用户输入的数据进行html entity编码

Web安全之XSS攻击与防御小结 

(2)过滤:移除用户上传的dom属性,如onerror等,移除用户上传的style节点,script节点,iframe节点等。

(3)校正:避免直接对html entity编码,使用dom prase转换,校正不配对的dom标签。

5. 应用示例

构建node应用,演示反射型xss攻击。(linux操作系统中)

本例子的代码地址:https://github.com/xganying/web-xss (xss_test1)

(1) 新建一个文件夹xss: mkdir xss_test1

(2) 切换目录到该文件夹下: cd xss

(3) 安装express: express -e ./

Web安全之XSS攻击与防御小结

(4) 构建应用依赖: npm install

Web安全之XSS攻击与防御小结

(5) 打开构建好的node应用,得到目录:

Web安全之XSS攻击与防御小结

(6) 开启node服务:npm start

Web安全之XSS攻击与防御小结

(7) 在浏览器地址栏输入:localhost:3000 ,得到:

Web安全之XSS攻击与防御小结

(8) 加入xss

修改xss_test1文件routers目録下的index.js文件:

Web安全之XSS攻击与防御小结

修改xss_test1文件views目录下的index.ejs文件:

Web安全之XSS攻击与防御小结

(9) 重启node服务:npm start ,打开浏览器

a. 在地址栏输入: localhost:3000/?xss=hello

运行结果得到:

Web安全之XSS攻击与防御小结

b. 在地址栏输入:localhost:3000/?xss=<img src="null" onerror="alert(1)">

运行结果得到:

Web安全之XSS攻击与防御小结

说明: 如果代码中没有 res.set('x-xss-protection', 0); 则会发现没有弹出框,这是因为浏览器自动设置了拦截xss,所以onerror事件并不会执行,而加上了:res.set('x-xss-protection', 0); 才会出现弹框,这才完成了一次xss攻击。

c. 在地址栏输入:localhost:3000/?xss=<p onclick="alert(%点我%)">点我</p>

运行结果得到:

Web安全之XSS攻击与防御小结

说明: 这种攻击就是常用于篡改页面内容,破坏页面结构,引诱用户去点击一些钓鱼等网站的手段。

d. 在地址栏输入:localhost:3000/?xss=<iframe src="//baidu.com/t.html"></iframe>

运行结果得到:

Web安全之XSS攻击与防御小结

说明:这种攻击就常用于广告植入等。

简单总结就是: img标签是自动触发而受到攻击的,p标签是引诱出发而受到攻击的的,而iframe则是广告植入攻击的。

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持。