XSS跨站腳本攻擊問(wèn)題和原理詳解
來(lái)源:易賢網(wǎng) 閱讀:2142 次 日期:2016-08-03 14:31:32
溫馨提示:易賢網(wǎng)小編為您整理了“XSS跨站腳本攻擊問(wèn)題和原理詳解”,方便廣大網(wǎng)友查閱!

跨站腳本攻擊(XSS,Cross-site scripting)是最常見(jiàn)和基本的攻擊Web網(wǎng)站的方法。攻擊者可以在網(wǎng)頁(yè)上發(fā)布包含攻擊性代碼的數(shù)據(jù),當(dāng)瀏覽者看到此網(wǎng)頁(yè)時(shí),特定的腳本就會(huì)以瀏覽者用戶的身份和權(quán)限來(lái)執(zhí)行。通過(guò)XSS可以比較容易地修改用戶數(shù)據(jù)、竊取用戶信息以及造成其它類型的攻擊,例如:CSRF攻擊。惡意攻擊者往Web頁(yè)面里插入惡意html代碼,當(dāng)用戶瀏覽該頁(yè)之時(shí),嵌入其中Web里面的html代碼會(huì)被執(zhí)行,從而達(dá)到惡意攻擊用戶的特殊目的。

跨站腳本攻擊的解決思路

預(yù)防XSS攻擊的基本方法是:確保任何被輸出到HTML頁(yè)面中的數(shù)據(jù)以HTML的方式進(jìn)行轉(zhuǎn)義(HTML escape)。例如PHP輸出:

PHP Code

<textarea><?php echo $articleText; ?></textarea>

如果這個(gè)articleText是由用戶自行輸入的,那么攻擊者很有可能輸入一段包含javascript惡意攻擊代碼的文本,使得最終輸出變成:

PHP Code

<textarea>

</textarea><script>alert('hello')'</script>

</textarea>

上述代碼,在瀏覽器中渲染,將會(huì)執(zhí)行JavaScript代碼并在屏幕上alert hello。當(dāng)然這個(gè)代碼是無(wú)害的,但攻擊者完全可以創(chuàng)建一個(gè)JavaScript來(lái)修改用戶資料或者竊取cookie數(shù)據(jù)。

解決方法很簡(jiǎn)單,就是將輸出的值的值進(jìn)行html escape,轉(zhuǎn)義后的輸出代碼如下

PHP Code

<textarea>

</textarea><script>alert("hello!")</script>

</textarea>

這樣就不會(huì)有任何危害了。

XSS危害

XSS其實(shí)是一門(mén)小眾但是熱門(mén)的攻擊技術(shù),之所以小眾,是由于費(fèi)時(shí)間、很難成功、攻擊無(wú)法自動(dòng)化和需要扎實(shí)的htmljs功底,但是由于漏洞存在廣泛,即使是大型互聯(lián)網(wǎng)公司的站點(diǎn)也很容易由于疏忽存在此漏洞,這就是最大的熱門(mén)。

其實(shí)無(wú)論是哪一種xss攻擊手段,其原理都是使用了“xss就是在頁(yè)面執(zhí)行你想要的js”,也就是說(shuō),只要遵循一個(gè)原則——后端永遠(yuǎn)不信任前端輸入的任何信息,無(wú)論是輸入還是輸出,都對(duì)其進(jìn)行html字符的轉(zhuǎn)義,那么漏洞就基本不存在了。

跨站請(qǐng)求偽造攻擊(CSRF)

跨站請(qǐng)求偽造(CSRF,Cross-site request forgery)是另一種常見(jiàn)的攻擊。攻擊者通過(guò)各種方法偽造一個(gè)請(qǐng)求,模仿用戶提交表單的行為,從而達(dá)到修改用戶的數(shù)據(jù)或執(zhí)行特定任務(wù)的目的。

通常情況下CSRF攻擊都配合XSS來(lái)實(shí)現(xiàn)用戶身份的模仿。

解決思路

1、增加攻擊的難度。GET請(qǐng)求是很容易創(chuàng)建的,用戶點(diǎn)擊一個(gè)鏈接就可以發(fā)起GET類型的請(qǐng)求,而POST請(qǐng)求相對(duì)比較難,攻擊者往往需要借助JavaScript才能實(shí)現(xiàn);因此,確保form表單或者服務(wù)端接口只接受POST類型的提交請(qǐng)求,可以增加系統(tǒng)的安全性。

2、對(duì)請(qǐng)求進(jìn)行認(rèn)證,確保該請(qǐng)求確實(shí)是用戶本人填寫(xiě)表單或者發(fā)起請(qǐng)求并提交的,而不是第三者偽造的。

正常情況下一個(gè)用戶提交表單的步驟如下:

1)、用戶點(diǎn)擊鏈接(1) -> 網(wǎng)站顯示表單(2) -> 用戶填寫(xiě)信息并提交(3) -> 網(wǎng)站接受用戶的數(shù)據(jù)并保存(4)

而一個(gè)CSRF攻擊則不會(huì)走這條路線,而是直接偽造第2步用戶提交信息

2)、直接跳到第2步(1) -> 偽造要修改的信息并提交(2) -> 網(wǎng)站接受攻擊者修改參數(shù)數(shù)據(jù)并保存(3)

只要能夠區(qū)分這兩種情況,就能夠預(yù)防CSRF攻擊。那么如何區(qū)分呢? 就是對(duì)第2步所提交的信息進(jìn)行驗(yàn)證,確保數(shù)據(jù)源自第一步的表單。具體的驗(yàn)證過(guò)程如下:

3)、用戶點(diǎn)擊鏈接(1) -> 網(wǎng)站顯示表單,表單中包含特殊的token同時(shí)把token保存在session中(2) -> 用戶填寫(xiě)信息并提交,同時(shí)發(fā)回token信息到服務(wù)端(3) -> 網(wǎng)站比對(duì)用戶發(fā)回的token和session中的token,應(yīng)該一致,則接受數(shù)據(jù),并保存

這樣,如果攻擊者偽造要修改的信息并提交,是沒(méi)辦法直接訪問(wèn)到session的,所以也沒(méi)辦法拿到實(shí)際的token值;請(qǐng)求發(fā)送到服務(wù)端,服務(wù)端進(jìn)行token校驗(yàn)的時(shí)候,發(fā)現(xiàn)不一致,則直接拒絕此次請(qǐng)求。

更多信息請(qǐng)查看技術(shù)文章
易賢網(wǎng)手機(jī)網(wǎng)站地址:XSS跨站腳本攻擊問(wèn)題和原理詳解
由于各方面情況的不斷調(diào)整與變化,易賢網(wǎng)提供的所有考試信息和咨詢回復(fù)僅供參考,敬請(qǐng)考生以權(quán)威部門(mén)公布的正式信息和咨詢?yōu)闇?zhǔn)!

2025國(guó)考·省考課程試聽(tīng)報(bào)名

  • 報(bào)班類型
  • 姓名
  • 手機(jī)號(hào)
  • 驗(yàn)證碼
關(guān)于我們 | 聯(lián)系我們 | 人才招聘 | 網(wǎng)站聲明 | 網(wǎng)站幫助 | 非正式的簡(jiǎn)要咨詢 | 簡(jiǎn)要咨詢須知 | 加入群交流 | 手機(jī)站點(diǎn) | 投訴建議
工業(yè)和信息化部備案號(hào):滇ICP備2023014141號(hào)-1 云南省教育廳備案號(hào):云教ICP備0901021 滇公網(wǎng)安備53010202001879號(hào) 人力資源服務(wù)許可證:(云)人服證字(2023)第0102001523號(hào)
云南網(wǎng)警備案專用圖標(biāo)
聯(lián)系電話:0871-65099533/13759567129 獲取招聘考試信息及咨詢關(guān)注公眾號(hào):hfpxwx
咨詢QQ:526150442(9:00—18:00)版權(quán)所有:易賢網(wǎng)
云南網(wǎng)警報(bào)警專用圖標(biāo)