一、什么是XSS
XSS又叫CSS (Cross Site Script) ，跨站腳本攻擊。它指的是惡意攻擊者往Web頁(yè)面里插入惡意html代碼，當(dāng)用戶(hù)瀏覽該頁(yè)之時(shí)，嵌入其中Web里面的html代碼會(huì)被執(zhí)行，從而達(dá)到惡意用戶(hù)的特殊目的。XSS屬于被動(dòng)式的攻擊，因?yàn)槠浔粍?dòng)且不好利用，所以許多人常呼略其危害性
在WEB2。0時(shí)代，強(qiáng)調(diào)的是互動(dòng)，使得用戶(hù)輸入信息的機(jī)會(huì)大增，在這個(gè)情況下，我們作為開(kāi)發(fā)者，在開(kāi)發(fā)的時(shí)候，要提高警惕。

二、XSS攻擊的主要途徑
方法只是利用HTML的屬性，作各種的嘗試，找出注入的方法?，F(xiàn)在對(duì)三種主要方式進(jìn)行分析。

第一種：對(duì)普通的用戶(hù)輸入，頁(yè)面原樣內(nèi)容輸出。
打開(kāi)http://go.ent.163.com/goproducttest/test.jsp(限公司IP),輸入：<script>alert('xss')</script> JS腳本順利執(zhí)行。當(dāng)攻擊者找到這種方法后，就可以傳播這種鏈接格式的鏈接 （http://go.ent.163.com/goproducttest/test.jsp?key=JSCODE）如：http: //go.ent.163.com/goproducttest/test.jsp?key=<script>alert('xss')& lt;/script>，并對(duì)JSCODE做適當(dāng)偽裝，如：
http://go.ent.163.com/goproducttest/test.jsp?key=%3c%73%63%72%69%70 %74%3e%61%6c%65%72%74%28%27%78%73%73%27%29%3c%2f%73%63%72%69%70%74%3e,當(dāng)其它用戶(hù)當(dāng)點(diǎn)此鏈接的時(shí)候，JS就運(yùn)行了，造成的后果會(huì)很?chē)?yán)重，如跳去一個(gè)有木馬的頁(yè)面、取得登陸用戶(hù)的COOKIE等。


第二種：在代碼區(qū)里有用戶(hù)輸入的內(nèi)容
這個(gè)已經(jīng)在上次跟貼漏洞討論會(huì)上強(qiáng)調(diào)過(guò)了，原則就是，代碼區(qū)中，絕對(duì)不應(yīng)含有用戶(hù)輸入的東西。

第三種：允許用戶(hù)輸入HTML標(biāo)簽的頁(yè)面。
意思就是，用戶(hù)可以提交一些自定義的HTML代碼，這種情況是最危險(xiǎn)的。因?yàn)?，IE瀏覽器默認(rèn)采用的是UNICODE編碼，HTML編碼可以用&#ASCII方式來(lái)寫(xiě)，又可以使用"\"連接16進(jìn)制字符串來(lái)寫(xiě)，使得過(guò)濾變得異常復(fù)雜，如下面的四個(gè)例子，都可以在IE中運(yùn)行。

1，直接使用JS腳本。
<img src="javascript:alert('xss')" />


2，對(duì)JS腳本進(jìn)行轉(zhuǎn)碼。
<img src="javascript:alert('xss')" />

3，利用標(biāo)簽的觸發(fā)條件插入代碼并進(jìn)行轉(zhuǎn)碼。
<img onerror="alert('xss')" />

4，使用16進(jìn)制來(lái)寫(xiě)(可以在傲游中運(yùn)行)
<img STYLE="background-image: \75\72\6c\28\6a\61\76\61\73\63\72\69\70\74\3a\61\6c\65\72\74\28\27\58\53\53\27\29\29">

以上寫(xiě)法等于
<img STYLE="background-image: url(javascript:alert('XSS'))">

三、解決辦法
最重要的一點(diǎn)，就是提高意識(shí)嚴(yán)格控制輸入和輸出。具體執(zhí)行的方式有以下幾點(diǎn)：

第一、在輸入方面對(duì)所有用戶(hù)提交內(nèi)容進(jìn)行可靠的輸入驗(yàn)證，提交內(nèi)容包括URL、查詢(xún)關(guān)鍵字、http頭、post數(shù)據(jù)等
第二、在輸出方面，在用戶(hù)輸內(nèi)容中使用<XMP>標(biāo)簽。標(biāo)簽內(nèi)的內(nèi)容不會(huì)解釋?zhuān)苯语@示。
第三、嚴(yán)格執(zhí)行字符輸入字?jǐn)?shù)控制。
第四、在腳本執(zhí)行區(qū)中，應(yīng)絕無(wú)用戶(hù)輸入。

美國(guó)服務(wù)器租用

版權(quán)聲明：本站文章來(lái)源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請(qǐng)保持原文完整并注明來(lái)源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非maisonbaluchon.cn所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來(lái)源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來(lái)，僅供學(xué)習(xí)參考，不代表本站立場(chǎng)，如有內(nèi)容涉嫌侵權(quán)，請(qǐng)聯(lián)系alex-e#qq.com處理。