小心XSS跨站脚本漏洞已是web漏洞王 @ 〖软件下载区〗

>> 欢迎您，客人：登录

按这里注册

论坛风格

帮助

插件

>>> 最新最全的软件资讯、下载信息皆在此~~希望各位网友多多提供！
原创综合社区 → 〖软件下载区〗 [返回] → 浏览：小心XSS跨站脚本漏洞已是web漏洞王　标记论坛所有内容为已读

目前论坛总在线 374 人，本主题共有 1 人浏览。其中注册用户 0 人，访客 1 人。　 [关闭详细列表]

原创综合社区教堂开通 网站设计大赛报名处　　原创综合社区礼品超市开通！　 原创综合社区博客开通
血与荣耀メ公会内部区申请 为我们论坛付出巨大贡献的人员的名单 宠物系统开放！ 原创综合社区招贤纳士


		◆此帖被阅读 191 次◆

* 贴子主题：小心XSS跨站脚本漏洞已是web漏洞王

不分页显示此帖

本贴有问题，发送短消息报告给版主

加入个人收藏&关注本贴

显示可打印的版本

把本贴打包邮递

把本贴加入收藏夹

发送本页面给朋友

等级：245
在线时长：304804 小时
升级剩余时间：1466 小时

等级: 圣骑士
信息: 该用户目前在线

该用户目前在线

威望: +1　积分: 1168
现金: 1637 原创币
存款: 76327 原创币
贷款: 没贷款
来自: 保密　

发帖: 700 篇
精华: 2 篇
资料:

查阅的好啊油物品箱

注册: 2008/03/14 07:52am
造访: 2009/01/10 08:29am

回复贴子

©原创综合社区 -- 时尚的人生，选择时尚的装束；运动的天才，选择适合的场地；精典的影视，原创的游戏，原创的享受，当然要选择原创论坛。不要犹豫，就是她--: http://www.9ibbs.com 锁定她！~！~！~！　　HJ!z S
©原创综合社区 -- 时尚的人生，选择时尚的装束；运动的天才，选择适合的场地；精典的影视，原创的游戏，原创的享受，当然要选择原创论坛。不要犹豫，就是她--: http://www.9ibbs.com 锁定她！~！~！~！　　p\l$
　　Web的安全问题越来越严重，漏洞总是在不停的出现，而我们以前一直在做的都是打补丁，就这样漏洞、补丁、补丁、漏洞的恶性循环着。其实很多的攻击都是可以预防的，只要我们做好前期的工作。

_h\
©原创综合社区 -- 时尚的人生，选择时尚的装束；运动的天才，选择适合的场地；精典的影视，原创的游戏，原创的享受，当然要选择原创论坛。不要犹豫，就是她--: http://www.9ibbs.com 锁定她！~！~！~！　　[B
　　根据最新的统计显示，跨站脚本、信息泄漏和SQL注入这三个安全漏洞是最容易受到攻击的，而跨站脚本攻击XSS又在其中占了一半以上的份额，所以这里我们要谈谈如何做好基本的对付XSS的防御工作，让我们的Web环境更加安全。

_?]
©原创综合社区 -- 时尚的人生，选择时尚的装束；运动的天才，选择适合的场地；精典的影视，原创的游戏，原创的享受，当然要选择原创论坛。不要犹豫，就是她--: http://www.9ibbs.com 锁定她！~！~！~！　　 #Y
　　XSS又叫CSS(CrossSiteｓｃｒｉｐｔ)，跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意用户的特殊目的。

Iv_^
©原创综合社区 -- 时尚的人生，选择时尚的装束；运动的天才，选择适合的场地；精典的影视，原创的游戏，原创的享受，当然要选择原创论坛。不要犹豫，就是她--: http://www.9ibbs.com 锁定她！~！~！~！　　/
　　我们先来了解一下XSS主要的攻击手段：

(Q#k
©原创综合社区 -- 时尚的人生，选择时尚的装束；运动的天才，选择适合的场地；精典的影视，原创的游戏，原创的享受，当然要选择原创论坛。不要犹豫，就是她--: http://www.9ibbs.com 锁定她！~！~！~！　　h
　　1、依赖跨站漏洞，需要在被攻击网站的页面种入脚本的手法，包括Cookie盗取，通过javaｓｃｒｉｐｔ获取被攻击网站种下的cookie，并发送给攻击者，从cookie中提取密码等隐私，利用cookie伪造session，发起重放攻击。另外还有包括Ajex信息盗取，通过javaｓｃｒｉｐｔ发起ajex请求，从ajex结果中获取隐私，模拟用户完成多页表单。

=Lg@UV
©原创综合社区 -- 时尚的人生，选择时尚的装束；运动的天才，选择适合的场地；精典的影视，原创的游戏，原创的享受，当然要选择原创论坛。不要犹豫，就是她--: http://www.9ibbs.com 锁定她！~！~！~！　　d&
　　2、不依赖跨站漏洞的手法，包括单向HTTP动作，通过img.src等方法发起跨站访问，冒充被攻击者执行特权操作。但是很难拿到服务器的返回值。还包括双向HTTP动作，如果服务器产生一段动态的ｓｃｒｉｐｔ，那么可以用ｓｃｒｉｐｔ.src的方法发起跨站访问并拿到服务器的返回值。

#J7
©原创综合社区 -- 时尚的人生，选择时尚的装束；运动的天才，选择适合的场地；精典的影视，原创的游戏，原创的享受，当然要选择原创论坛。不要犹豫，就是她--: http://www.9ibbs.com 锁定她！~！~！~！　　_
　　下面看看具体的防御措施：

MI
©原创综合社区 -- 时尚的人生，选择时尚的装束；运动的天才，选择适合的场地；精典的影视，原创的游戏，原创的享受，当然要选择原创论坛。不要犹豫，就是她--: http://www.9ibbs.com 锁定她！~！~！~！　　M.H
　　1、防堵跨站漏洞，阻止攻击者利用在被攻击网站上发布跨站攻击语句

\EMX=#
©原创综合社区 -- 时尚的人生，选择时尚的装束；运动的天才，选择适合的场地；精典的影视，原创的游戏，原创的享受，当然要选择原创论坛。不要犹豫，就是她--: http://www.9ibbs.com 锁定她！~！~！~！　　#.V
　　不可以信任用户提交的任何内容，首先代码里对用户输入的地方和变量都需要仔细检查长度和对”<”，”>”，”；”，”’”等字符做过滤；其次任何内容写到页面之前都必须加以encode，避免不小心把htmltag弄出来。这一个层面做好，至少可以堵住超过一半的XSS攻击。

r@aX[
©原创综合社区 -- 时尚的人生，选择时尚的装束；运动的天才，选择适合的场地；精典的影视，原创的游戏，原创的享受，当然要选择原创论坛。不要犹豫，就是她--: http://www.9ibbs.com 锁定她！~！~！~！　　1P&xVx
　　2、Cookie防盗

(Y4%
©原创综合社区 -- 时尚的人生，选择时尚的装束；运动的天才，选择适合的场地；精典的影视，原创的游戏，原创的享受，当然要选择原创论坛。不要犹豫，就是她--: http://www.9ibbs.com 锁定她！~！~！~！　　]qUc
　　首先避免直接在cookie中泄露用户隐私，例如email、密码等等。其次通过使cookie和系统ip绑定来降低cookie泄露后的危险。这样攻击者得到的cookie没有实际价值，不可能拿来重放。

MJ
©原创综合社区 -- 时尚的人生，选择时尚的装束；运动的天才，选择适合的场地；精典的影视，原创的游戏，原创的享受，当然要选择原创论坛。不要犹豫，就是她--: http://www.9ibbs.com 锁定她！~！~！~！　　9b
　　3、尽量采用POST而非GET提交表单

3
©原创综合社区 -- 时尚的人生，选择时尚的装束；运动的天才，选择适合的场地；精典的影视，原创的游戏，原创的享受，当然要选择原创论坛。不要犹豫，就是她--: http://www.9ibbs.com 锁定她！~！~！~！　　pUB:V
　　POST操作不可能绕开javaｓｃｒｉｐｔ的使用，这会给攻击者增加难度，减少可利用的跨站漏洞。

mX
©原创综合社区 -- 时尚的人生，选择时尚的装束；运动的天才，选择适合的场地；精典的影视，原创的游戏，原创的享受，当然要选择原创论坛。不要犹豫，就是她--: http://www.9ibbs.com 锁定她！~！~！~！　　J$.
　　4、严格检查refer

qkvP{
©原创综合社区 -- 时尚的人生，选择时尚的装束；运动的天才，选择适合的场地；精典的影视，原创的游戏，原创的享受，当然要选择原创论坛。不要犹豫，就是她--: http://www.9ibbs.com 锁定她！~！~！~！　　<
　　检查httprefer是否来自预料中的url。这可以阻止第2类攻击手法发起的http请求，也能防止大部分第1类攻击手法，除非正好在特权操作的引用页上种了跨站访问。

sFQq,
©原创综合社区 -- 时尚的人生，选择时尚的装束；运动的天才，选择适合的场地；精典的影视，原创的游戏，原创的享受，当然要选择原创论坛。不要犹豫，就是她--: http://www.9ibbs.com 锁定她！~！~！~！　　P<U?Nm
　　5、将单步流程改为多步，在多步流程中引入效验码

kM<
©原创综合社区 -- 时尚的人生，选择时尚的装束；运动的天才，选择适合的场地；精典的影视，原创的游戏，原创的享受，当然要选择原创论坛。不要犹豫，就是她--: http://www.9ibbs.com 锁定她！~！~！~！　　pg5Xa
　　多步流程中每一步都产生一个验证码作为hidden表单元素嵌在中间页面，下一步操作时这个验证码被提交到服务器，服务器检查这个验证码是否匹配。首先这为第1类攻击者大大增加了麻烦。其次攻击者必须在多步流程中拿到上一步产生的效验码才有可能发起下一步请求，这在第2类攻击中是几乎无法做到的。

'gXp
©原创综合社区 -- 时尚的人生，选择时尚的装束；运动的天才，选择适合的场地；精典的影视，原创的游戏，原创的享受，当然要选择原创论坛。不要犹豫，就是她--: http://www.9ibbs.com 锁定她！~！~！~！　　bm
　　6、引入用户交互

wt
©原创综合社区 -- 时尚的人生，选择时尚的装束；运动的天才，选择适合的场地；精典的影视，原创的游戏，原创的享受，当然要选择原创论坛。不要犹豫，就是她--: http://www.9ibbs.com 锁定她！~！~！~！　　jdO+l6
　　简单的一个看图识数可以堵住几乎所有的非预期特权操作。

q#=
©原创综合社区 -- 时尚的人生，选择时尚的装束；运动的天才，选择适合的场地；精典的影视，原创的游戏，原创的享受，当然要选择原创论坛。不要犹豫，就是她--: http://www.9ibbs.com 锁定她！~！~！~！　　]
　　7、只在允许anonymous访问的地方使用动态的javaｓｃｒｉｐｔ。

LIp
©原创综合社区 -- 时尚的人生，选择时尚的装束；运动的天才，选择适合的场地；精典的影视，原创的游戏，原创的享受，当然要选择原创论坛。不要犹豫，就是她--: http://www.9ibbs.com 锁定她！~！~！~！　　$gH3
　　8、对于用户提交信息的中的img等link，检查是否有重定向回本站、不是真的图片等可疑操作。

vvDb
©原创综合社区 -- 时尚的人生，选择时尚的装束；运动的天才，选择适合的场地；精典的影视，原创的游戏，原创的享受，当然要选择原创论坛。不要犹豫，就是她--: http://www.9ibbs.com 锁定她！~！~！~！　　+izr
　　9、内部管理网站的问题

>[./
©原创综合社区 -- 时尚的人生，选择时尚的装束；运动的天才，选择适合的场地；精典的影视，原创的游戏，原创的享受，当然要选择原创论坛。不要犹豫，就是她--: http://www.9ibbs.com 锁定她！~！~！~！　　Q#
　　很多时候，内部管理网站往往疏于关注安全问题，只是简单的限制访问来源。这种网站往往对XSS攻击毫无抵抗力，需要多加注意。

+A
©原创综合社区 -- 时尚的人生，选择时尚的装束；运动的天才，选择适合的场地；精典的影视，原创的游戏，原创的享受，当然要选择原创论坛。不要犹豫，就是她--: http://www.9ibbs.com 锁定她！~！~！~！　　WMb
　　虽然XSS的攻击很灵活，只要我们能做好上述几点，是可以组织大部分XSS的，再及时打好补丁可以最大程度的减少来自跨站脚本攻击XSS的威胁。

版权所有，不得擅自转载www.9ibbs.com

喝醉了我谁也不服，就服墙。。。

蛋蛋(已经死亡) (190 天)
	胜利:11 次失败:1 次心情:很不高兴经验: 体力: 精力:

原创综合社区广告位置

发贴时间

2008/11/27 08:40pm　

IP: 已设置保密加入blog

[本文共3425字节]　

该主题只有一页

加到"个人收藏夹"

主题管理：总固顶

取消总固顶

取消区固顶

© 中文版权所有：原创论坛|原创综合社区|与你相随豫ICP备05000285号　　津ICP备05003280号
程序版权所有：山鹰(糊)、花无缺　版本：LeoBBS X Plus 5.00

本论坛言论纯属发表者个人意见，与 原创综合社区 立场无关