查看: 2815|回复: 25

基础篇-XSS攻击防御技术

[复制链接]
发表于 2013-1-30 09:53:59 | 显示全部楼层 |阅读模式

XSS攻击:跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆。故将跨站脚本攻击缩写为XSS。XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被骇客用来编写危害性更大的phishing攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。

XSS漏洞和著名的SQL注入漏洞一样,都是利用了Web页面的编写不完善,所以每一个漏洞所利用和针对的弱点都不尽相同。这就给XSS漏洞防御带来了困难:不可能以单一特征来概括所有XSS攻击。
传统XSS防御多采用特征匹配方式,在所有提交的信息中都进行匹配检查。对于这种类型的XSS攻击,采用的模式匹配方法一般会需要对“javascript”这个关键字进行检索,一旦发现提交信息中包含“javascript”,就认定为XSS攻击。这种检测方法的缺陷显而易见:骇客可以通过插入字符或完全编码的方式躲避检测:
躲避方法1)在javascript中加入多个tab键,得到
< IMG SRC=\'#\'" ascript:alert('XSS');" >;
躲避方法2) 在javascript中加入        编码字符,得到
< IMG SRC=\'#\'" >;
躲避方法3) 在javascript中加入
字符,得到
< IMG SRC=\'#\'"
ascript:alert('XSS');" >;
躲避方法4)在javascript中的每个字符间加入回车换行符,得到
< IMG SRC=\'#\'"
\nt\r\n:alert('XSS');" >
躲避方法5)对"alert('XSS')"采用完全编码,得到
< IMGSRC=javascrip&#x
74:alert('XSS
') >


发表于 2013-2-6 22:55:59 | 显示全部楼层
回复一下  
发表于 2013-2-7 13:46:11 | 显示全部楼层
好啊,,不错、、、、  
发表于 2013-2-10 10:01:46 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
发表于 2014-11-5 02:04:00 | 显示全部楼层
顶下再看  
发表于 2014-11-17 21:54:39 | 显示全部楼层
这贴子你会收藏吗  
发表于 2014-12-5 09:44:50 | 显示全部楼层
加油站加油  
发表于 2014-12-28 15:48:40 | 显示全部楼层
真的有么  
发表于 2015-1-28 13:34:33 | 显示全部楼层
呵呵 大家好奇嘛 来观看下~~~~  
发表于 2015-3-2 09:37:25 | 显示全部楼层
楼主也是培训师吗  
高级模式
B Color Image Link Quote Code Smilies

本版积分规则