WebGoat学习笔记九
—跨站脚本攻击(Cross-Site Scripting (XSS))
瞿靖东2015/11/10
版本号:WebGoat 5.4
1、使用XSS钓鱼(Phishing with XSS)
技术概念或主题(Concept / T opic T o T each)
在服务端对所有输入进行验证总是不错的做法。当用户输入非法HTTP响应时容易造成XSS。在XSS的帮助下,你可以实现钓鱼工具或向某些官方页面中增加内容。对于受害者来说很难发现该内容是否存在威胁。
技术原理(How It works )
HTML文档内容很容易篡改的,如果你有权限操作页面源代码。
总体目标(General Goals )
创建一个form,要求填写用户名和密码。将数据提交到http://localhost/WebGoat/catcher?PROPERTY=yes&user=catchedUserName&password=catched PasswordNam
操作方法(Solutions)
利用XSS可以在已存在的页面中进一步添加元素。该解决方案包括两部分,你需要结合起来使用:
受害人填写一个表格;
以读取脚本的形式,将收集到的信息发送给攻击者。
一个带用户名和密码输入框的表格如下:
搜索这段代码,你就能看到页面中增加了一个表单。
现在你需要一段脚本:
这段代码会读取你在表单上输入的用户名和密码信息,将这些信息发送给捕获这些信息的WebGoat.
最后,就是要将这两段代码合并。最终需要输入的代码如下:
需要注意,最终的代码必须进行js压缩(取消缩进)才能生效。
搜索这段代码,你会看到一个要求输入用户名密码的表单,输入用户名密码,点击登录,WebGoat会将你输入的信息捕获并反馈给你。
2、跨站脚本攻击(LAB: Cross Site Scripting)
技术概念或主题(Concept / T opic T o T each)
输入验证是一个很好的方法,尤其是验证那些以后将用做参数的操作系统命令、脚本和数据库查询的输入。尤为重要的是,这些内容将会永久的存放在那里。应当禁止用户创建消息内容。用户的信息被检索时,可能导致其他用户加载一个不良的网页或不良的内容。当一个未经验证的用户的输入作为一个HTTP响应时,XSS攻击也可能会发生。在一个反射式XSS攻击中,攻击者会利用攻击脚本精心制作一个URL并通过将其发送到其他网站、电子邮件、或其他方式骗取受害者点击它。
总体目标(General Goals )
在这个练习中,你将执行存储和反射XSS攻击,你还可以通过在web应用程序中调整代码来防护这种攻击。
Stage 1:存储型XSS ( Stage 1: Stored XSS )
执行存储型跨站脚本攻击;
以“Tom”身份登录网站,修改个人信息。验证用户“Jerry”会受到攻击。每个帐号的密码是用户明名字的小写(如:Tom的密码是tom).
操作方法(Solutions)
1.以用户名“Tom”密码tom登录,选择Tom,点击“View Profile”按钮。现在可
以看到Tom的个人信息。点击“Edit Profile",在“Street”一栏中进行XSS攻击。加入
如下代码,点击“UpdateProfile":
2.退出登录,以用户名Jerry,密码ferry登录,选择浏览Tom的信息,会弹出这段
注入脚本。
Stage 2:使用输入验证阻止存储型XSS攻击(Stage 2: Block Stored XSS using Input Validation)
由于本节课程只能在WebGoat开发版本上完成,所以跳过。
Stage 3:存储型XSS重访问(Stage 3: Stored XSS Revisited)
由于本节课程只能在WebGoat开发版本上完成,所以跳过。
Stage 4:使用输出编码阻止存储型XSS ( Stage 4: Block Stored XSS using Output Encoding)
由于本节课程只能在WebGoat开发版本上完成,所以跳过。
Stage 5:反射型XSS(Stage 5: Reflected XSS)
使用雇员搜索页面漏洞构造一个包含反射型XSS攻击代码的URL。验证另一位雇员访问该URL会受影响。
操作方法(Solutions)
以用户名Larry,密码larry登录。点击“SearchStaff",在搜索框中,添加如下一段代码即可完成:
此时当其他雇员使用SearchStaff服务时会提示错误
Stage 6:阻止反射型XSS C Stage 6: Block Reflected XSS )
由于本节课程只能在WebGoat开发版本上完成,所以跳过。
3、存储型XSS攻击(Stored XSS Attacks)
技术概念或主题(Concept / T opic T o T each)
过滤所有用户输入是一个不错的做法,特别是那些后期会被用作OS、脚本或数据库查询参数的输入。尤其是那些将要长期存储的内容。用户不能创建非法的消息内容,例如:可以导致其他用户访问时载入非预期的页面或内容
总体目标(General Goals )
创建非法的消息内容,可以导致其他用户访问时载入非预期的页面或内容。
在title中任意输入字符。在内容中输入以下代码:
或者
点击提交,如图所示
点击“123 ",这就好比您刚创建的帖子,由您或者其他人浏览,然后会弹出一个对话框,证明XSS攻击成功。
4、反射型XSS攻击(Reflected XSS Attacks)
技术原理(How it works )
如果server端未做输入参数的过滤或者过滤不完整导致用户的输入数据可能返回到前端页面,Web客户端使用Server端脚本生成页面为用户提供数据时,如果未经验证的用户数据被包含在页面中而未经HTML实体编码,客户端代码便能够注入到动态页面中。
网站输入用户信息后,服务器校验输入有误,返回错误页面并“友好”的将错误内容展示给用户看,例如:
用户将带有攻击性的URL做为输入源,例如:,服务端会跳转到对应的错误页,如下:
这样https://www.doczj.com/doc/5510366858.html,里的恶意js会被执行。
我们在这里输入即可成功!
5、跨站请求伪造(Cross Site Repuest Forgery (CSRF))
技术原理(How it works )
跨站请求伪造是一种让受害者加载一个包含网页的图片的一种攻击手段。如下代码所示:
当受害者的浏览器试图打开这个页面时,它会使用指定的参数向https://www.doczj.com/doc/5510366858.html,的transferFunds.do页面发送请求。浏览器认为将会得到一个图片,但实际上是一种资金转移功能。该请求将包括与网站相关的任何cookies。因此,如果用户已经通过网站的身份验证,并有一个永久的cookie,甚至是当前会话的cookie,网站将没有办法区分这是否是一个从合法用户发出的请求。通过这种方法,攻击者可以让受害者执行一些他们本来没打算执行的操作,如注销、采购项目或者这个脆弱的网站提供的任何其他功能。
总体目标(General Goals )
在这一课中,您的目的是向一个新闻组发送一封邮件,邮件中包含一张图片,这个图像的URL指向一个恶意请求。尝试一个包括1*1像素的图像,其中包含一个网址。这个URL 应当用一个额外的参数“transferFunds= 4000”指向CRSF课程页面。您可以通过左侧菜单在CSRF课程连接上右键单击,选择复制快捷方式。无论谁收到这封邮件,并恰好已经通过身份验证,他的资金将会被转走。
注意:不同WebGoat环境的URL中“Screen”和“Menu”参数可能会有所区别。注意使用您但前访问URL中正在使用的参数。
操作方法(Solutions)
要完成这一课,您需要在消息框中嵌入HTML代码。这段代码中包含一个图片,链接到一个网站。在HTML中图片的格式是:
创建一个新消息,命名为“Test",消息中加入这段HTML代码。
注意:不同WebGoat环境的URL中“Screen”和“Menu”参数可能会有所区别。请使
用您当前访问URL中正在使用的参数。
操作方法(Solutions)
构造一个类似于CSRF实验中的图片或iframe标记:
src="http://localhost:8080/WebGoat/attack?Screen=45&menu=900&Num=2&transferFunds=500 0" width=”1" height="1"/> 该图片请求不会导致资金转移,而是触发一个需要用户确认的信息。要查看确认提示信息,请尝试在本课程的URL中增加外部参数"transferFunds=4000". 查看源代码找到确认请求的参数信息。用于确认的form表单如下: 通过以上代码可知,下一个需要伪造的URL如下: attack?Screen=5&menu=900&transferFunds=CONFIRM 本方案将为您展现如何通过iframes和images两种方式实现攻击。下一步是添加附加的伪造确认请求。 代码如下: 将以上信息提交到消息框中发表。重新刷新页面即显示攻击成功! 7、绕过CSRF Token ( CSRF Token By-Pass ) 技术概念或主题(Concept / T opic T o T each) 本节课程将指导您如何在启用CSRF Token防护的网站上发起跨站请求伪造攻击(CSRF)。 跨站请求伪造攻击(CSRF/XSRF)欺骗用户(那些已经获取了系统的信任)点击带有伪造请求的页面从而执行相关命令。 基于Token的请求认证用于阻止此类攻击者。该技术在请求发起页面插入TokenoToken 用于完成请求和并验证该操作不是通过脚本执行的。OWASP提供的CSRFGuard使用该技术以阻止CSRF攻击。 尽管如此,但如果该站点存在XSS攻击漏洞,则该技术可被绕过。由于浏览器同源策略,相同域名下的页面能够读取其它页面的内容。 技术原理(How it works ) 网页中所有手工发起的请求操作,其实质通过HTML+JavaScript向服务器发起请求。 总体目标(General Goals ) 与CSRF课程类似,您的目标是给新闻组发送包含恶意请求的Email实现资金转账。为了成功完成欺骗,您需要获得一个验证请求Token。显示转账表单的URL类似于CSRF课程中使用的外部参数”transferFunds=main"。载入该页面,读取Token并追加到伪造请求中以实现资金转账。 注意:不同WebGoat环境的URL中“Screen”和“Menu”参数可能会有所区别。请使用您但前访问URL中正在使用的参数。 操作方法(Solutions) 类似于CSRF课程,您必须伪造资金转账的请求。尽管如此,如果请求中没有包含正确的Token,资金转账不会成功。要找到验证Token,您需要查看网站生成的资金转账页面的表单内容。要查看资金转账页面,需要在本节课程URL中增加外部参数”transferFunds=main". 下面查看网页源代码,找到Token参数。 由此可以看到伪造命令需要提交CSRFToken参数。 该解决方式是在一个iframe中载入页面,然后从该frame中读取出Token. 下面查看网页源代码,找到Token参数。由于两个页面在一个域名下,基于同源策略,这样的操作是可行的。所以,尽管该页面采取了阻止CSRF攻击的措施,但由于CSS漏洞的存在该措施能够被规避。下面的JavasScript通过frame->forme的路径可以读取并保存CSRFToken参数。 var tokenvalue; function readFrame1(){ var frameDoc=document.getElementByld("frame1").contentDocument; var form=frameDoc.getElementsByTagName("form")[1 ]; var token=form.CSRFToken.value; readFrame1从frame内容中读取CSRFToken,保存并调用LoadFrame2.LoadFrame2将追加该参数并载入第二个frame. 下面的frames将在第一个frame中载入转账页面。载入完成后,它将调用readFrame1,该Frame将调用loadFrame2. loadFrame2用于设置第二个frame的src。 最终要插入的代码: 这里url中省去了Screen、Menu、Num内容,因为每个Num都有不同的Token,自动下载iframe标签后Num值改变(随机),所以iframe标签src的url值不可预计。 8、HTTPOnly测试(HTTPOnly Test) 技术概念或主题(Concept / T opic T o T each) 为了降低跨站脚本攻击的威胁,微软引入了新的cookie属性字段:"HTTPOnly"。一旦该字段被标记,浏览器将禁止客户端脚本访问Cookie。由于该属性相对较新,有些浏览器还无法正确处理这个属性。 总体目标(General Goals ) 本课程目的是测试您的浏览器是否支持“HTTPOnly”的。ookie标志。注意“unique2u"的cookie值。如果您的浏览器支持“HTTPOnly",并启用了一个cookie,客户端的代码是不能够读取或写入cookie的,但是仍然可以向浏览器发送它的值。有些浏览器只能防止客户端读访问,无法防止写访问。 操作方法(Solutions) 分别在启用和禁用“HTTPOnly”的情况下点“Read Cookie”和“Write Cookie",查看其中的不同,在不启用HTTPOnIy的情况下,能够看到unique2u的值,而启用HTTPOnIy之后则无法看到这个值。 9、跨站跟踪攻击(Cross Site Tracing (XST) Attacks) 技术概念或主题(Concept / T opic T o T each) 过滤所有用户输入是一个不错的做法,特别是那些后期会被用作os、脚本或数据库查询参数的输入。尤其是那些将要长期存储的内容。用户不能创建非法的消息内容,例如:可以导致其他用户访问时载入非预期的页面或内容。 技术原理(How it works ) HTTP方法包括:HEAD, GET, POST, TRACE, PUT, DELETE等 总体目标(General Goals ) Tomcat支持HTTP TRACE命令,您的目标是执行跨站跟踪攻击。 操作方法(Solutions) 您需要使用跨站点跟踪攻击,这可以通过在“three digit access code”中嵌入脚本来实现。 以下脚本通过XMLHTTP提交HTTP TRACE数据: 总结: 跨站脚本攻击(XSS)就是常见的Web攻击技术之一,由于跨站脚本漏洞易于出现且利用成本低,所以被OWASP列为当前的头号Web安全威胁。跨站脚本漏洞(Cross Site Scripting,常简写作XSS)是Web应用程序在将数据输出到网页的时候存在问题,导致攻击者可以将构造的恶意数据显示在页面的漏洞。因为跨站脚本攻击都是向网页内容中写入一段恶意的脚本或者HTML代码,故跨站脚本漏洞也被叫做HTML注入漏洞(HTML Injection)。 解决: ①跨站脚本漏洞是由于程序在输出数据的时候没有作好处理导致恶意数据被浏览器解析造成的。所以,对付XSS漏洞最好的办法就是编写安全的代码。 ②在后台对用户的输入进行审核和过滤 ③利用浏览器的安全特性来防御XSS攻击 ④在客户端添加防御例如firefox下有一款插件叫做NoScript就是专用于防止XSS攻击 跨站脚本攻击实例解析 作者:泉哥 主页:https://www.doczj.com/doc/5510366858.html, 前言 跨站攻击,即Cross Site Script Execution(通常简写为XSS,因为CSS与层叠样式表同名,故改为XSS) 是指攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML 代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。很多人对于XSS的利用大多停留在弹框框的程度,一些厂商对XSS也是不以为然,都认为安全级别很低,甚至忽略不计。本文旨在讲述关于跨站攻击的利用方式,并结合实例进行分析。 漏洞测试 关于对XSS的漏洞测试,这里就以博客大巴为例进行测试,最近我也在上面发现了多处跨站漏洞,其中两处已公布在WooYun网站上,其主要内容如下: 漏洞详情 简要描述: 博客大巴存储型XSS漏洞 详细说明: 在“个人信息设置”的“附加信息”一项中,由于对“个人简介”的内容过滤不严,导致可在博客首页实现跨站,而在下方“添加一段附加信息”中,由于对“信息标题”内容过滤不严,同样可导致跨站的出现。 但我刚又测试了一下,发现官方只修补了其中一个漏洞(个人简介),而另一个漏洞得在博客管理后台才能触发,利用价值不大。与此同时我在对博客模板的测试中,又发现了五处跨站漏洞,估计这些漏洞其实很早就有人发现了,只是没人公布或者报给blogbus后仍未修补。这次报给WooYun的主要目的是让blogbus修补此漏洞,因为我的博客就在上面!^_^ 其余五处漏洞分别在“编辑自定义模板”中,由于对代码模块head,index,index-post,detail,detail-post等处的代码过滤不严,导致跨站的发生,分别向其写入 摘要:随着计算机网络技术的迅速发展,网络安全问题已变得越来越受到人们的重视,网络攻击形式多种多样,很多蠕虫病毒、木马病毒等植入到某些网页中,给网络用户带来了很大的安全隐患。其中XSS跨网站脚本攻击,恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。本文主要阐述了XSS的机理和特点,重点分析了网页代码的检测以及木马的特征,并针对这些特点进行了一些相应防范对策的探讨。 关键词:网页木马; XSS;攻击;防范 一、前言 网页木马是一种新型的恶意代码,一些攻击者将它人为的植入到服务器端的HTML页面中,通过客户端对服务器的访问来传播恶意攻击代码,它主要是通过浏览器以及其中的一些插件漏洞来进行植入,网页木马是一种客户端的攻击方式,它能有效的绕过防火墙的检测,隐秘的在客户端将恶意代码植入,客户端在不知情的情况下将这些恶意可执行程序进行下载和执行。给互联网用户造成严重的安全威胁。 在Web 出现以后,XSS的危害性达到了十分严重的地步。跨站脚本英文名称是(Cross Site Script),为了与层叠样式表(Cascading Style Sheets简称CSS)区分,故命名为XSS。 XSS攻击是指入侵者在远程WEB页面的HTML代码中插入具有恶意目的的数据,用户认为该页面是可信赖的,但是当浏览器下载该页面时,嵌入其中的脚本将被解释执行。XSS 具有自身的独有特点,目前国内外很多研究人员围绕XSS的防御进行了深入的探讨与研究,同时攻击者也在采用一些更先进的手段来提高木马的攻击隐蔽性,用以提高木马的攻击成功率,因此,XSS的机理与防范对策研究已成为了当前计算机工作者的一个重要课题。 二、XSS的机理与特征 的成因 跨网站脚本XSS漏洞的成因其实就是Html的注入问题,攻击者的输入没有经过严格的控制进入了数据库,最终显示给来访的用户,导致可以在来访用户的浏览器里以浏览用户的身份执行Html代码,数据流程如下:攻击者的Html输入—>web程序—>进入数据库—>web 程序—>用户浏览器。目前,所有的网站上几乎都提供一个站内或站外信息搜索框。在此搜索框中,您可以搜索到网站上任何可用的东西。这个搜索表单看起来这样: 图1-1 国内外黑客组织或者个人为牟取利益窃取和篡改网络信息,已成为不争的事实,在不断给单位和个人造成经济损失的同时,我们也应该注意到这些威胁大多是基于Web网站发起的攻击,在给我们造成不可挽回的损失前,我们有必要给大家介绍几种常见的网站漏洞,以及这些漏洞的防范方法,目的是帮助广大网站管理者理清安全防范思绪,找到当前的防范重点,最大程度地避免或减少威胁带来的损失。 1、SQL语句漏洞 也就是SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击。 有效防范手段:对于SQL注入问题的一般处理方法是账户最小权限原则。以下几种方法推荐使用: 对用户输入信息进行必要检查 对一些特殊字符进行转换或者过滤 使用强数据类型 限制用户输入的长度 需要注意:这些检查要放在server运行,client提交的任何东西都是不可信的。使用存储过程,如果一定要使用SQL语句,那么请用标准的方式组建SQL 语句。比如可以利用parameters对象,避免用字符串直接拼SQL命令。当SQL 运行出错时,不要把数据库返回的错误信息全部显示给用户,错误信息经常会透露一些数据库设计的细节。 2、网站挂马 挂马就是在别人电脑里面(或是网站服务器)里植入木马程序,以盗取一些信息或者控制被挂马的电脑做一些不法的勾当(如攻击网站,传播病毒,删除资料等)。网页挂马就是在网页的源代码中加入一些代码,利用漏洞实现自动下载木马到机器里。网站挂马的形式可分为框架挂马、数据库挂马、后台挂马、服务器挂马以及其他形式的挂马方式。 有效防范手段:要防止网站被挂马,可以采取禁止写入和目录禁止执行的功能,这两项功能相组合,就可以有效地防止 ASP木马。此外,网站管理员通过FTP上传某些数据,维护网页时,尽量不安装asp的上传程序。这对于常被ASP 木马影响的网站来说,会有一些帮助。当然是用专业的查杀木马工具也是不错的防护措施。 SQL注入及XSS(跨站脚本)攻击防御技术方案 SQL注入 、、什么是SQL注入 SQL注入:利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,这是SQL注入的标准释义。 SQL注入利用的是正常的HTTP服务端口,表面上看来和正常的web访问没有区别,隐蔽性极强,不易被发现。 、、SQL注入的危害 SQL注入的主要危害包括: 1、未经授权状况下操作数据中的数据 2、恶意篡改网页内容 3、私自添加系统账号或是数据库使用者账号 4、网页挂木马。 、、SQL注入的方法 1.没有正确过滤转义字符 在用户的输入没有为转义字符过滤时,就会发生这种形式的注入式攻击,它会被传递 给一个SQL语句。这样就会导致应用程序的终端用户对数据库上的语句实施操纵比方 说,下面的这行代码就会演示这种漏洞: statement := "SELECT * FROM users WHERE name = '" + userName + "'; " 这种代码的设计目的是将一个特定的用户从其用户表中取出,但是,如果用户名被一个恶意的用户用一种特定的方式伪造,这个语句所执行的操作可能就不仅仅是代码的作者所期望的那样了。例如,将用户名变量(即username)设置为:a' or 't'='t,此时原始语句发生了变化: SELECT * FROM users WHERE name = 'a' OR 't'='t'; 如果这种代码被用于一个认证过程,那么这个例子就能够强迫选择一个合法的用户名,因为赋值't'='t永远是正确的。 在一些SQL服务器上,如在SQL Server中,任何一个SQL命令都可以通过这种方法被注入,包括执行多个语句。下面语句中的username的值将会导致删除“users”表,又可以从“data”表中选择所有的数据(实际上就是透露了每一个用户的信息)。 a'; DROP TABLE users; SELECT * FROM data WHERE name LIKE '% 这就将最终的SQL语句变成下面这个样子: SELECT * FROM users WHERE name = 'a'; DROP TABLE users; SELECT * FROM DATA WHERE name LIKE '%'; 其它的SQL执行不会将执行同样查询中的多个命令作为一项安全措施。这会防止攻击者注入完全独立的查询,不过却不会阻止攻击者修改查询。 2.Incorrect type handling 如果一个用户提供的字段并非一个强类型,或者没有实施类型强制,就会发生这种形式的攻击。当在一个SQL语句中使用一个数字字段时,如果程序员没有检 跨站脚本攻击的危害和防护方法 跨站脚本攻击(也称为XSS)指利用网站漏洞从用户那里恶意盗取信息。用户在浏览网站、使用即时通讯软件、甚至在阅读电子邮件时,通常会点击其中的链接。攻击者通过在链接中插入恶意代码,就能够盗取用户信息。攻击者通常会用十六进制(或其他编码方式)将链接编码,以免用户怀疑它的合法性。网站在接收到包含恶意代码的请求之后会产成一个包含恶意代码的页面,而这个页面看起来就像是那个网站应当生成的合法页面一样。许多流行的留言本和论坛程序允许用户发表包含HTML和javascript的帖子。假设用户甲发表了一篇包含恶意脚本的帖子,那么用户乙在浏览这篇帖子时,恶意脚本就会执行,盗取用户乙的session信息。 人们经常将跨站脚本攻击(Cross Site Scripting)缩写为CSS,但这会与层叠样式表(Cascading Style Sheets, CSS)的缩写混淆。因此有人将跨站脚本攻击缩写为XSS。如果你听到有人说“我发现了一个XSS 漏洞”,显然他是在说跨站脚本攻击。 危害 为了搜集用户信息,攻击者通常会在有漏洞的程序中插入JavaScript、VBScript、ActiveX或Flash 以欺骗用户(详见下文)。一旦得手,他们可以盗取用户帐户,修改用户设置,盗取/污染cookie,做虚假广告等。每天都有大量的XSS攻击的恶意代码出现。Brett Moore的下面这篇文章详细地阐述了“拒绝服务攻击”以及用户仅仅阅读一篇文章就会受到的“自动攻击”。 攻击三部曲 1.HTML注入。所有HTML注入范例只是注入一个JavaScript弹出式的警告框:alert(1)。 2.做坏事。如果您觉得警告框还不够刺激,当受害者点击了一个被注入了HTML代码的页面链接时攻击者能作的各种的恶意事情。 3.诱捕受害者。 从网站开发者角度,如何防护XSS攻击? 来自应用安全国际组织OWASP的建议,对XSS最佳的防护应该结合以下两种方法:验证所有输入数据,有效检测攻击;对所有输出数据进行适当的编码,以防止任何已成功注入的脚本在浏览器端运行。具体如下: ·输入验证:某个数据被接受为可被显示或存储之前,使用标准输入验证机制,验证所有输入数据的长度、类型、语法以及业务规则。 ·强壮的输出编码:数据输出前,确保用户提交的数据已被正确进行entity编码,建议对所有字符进行编码而不仅局限于某个子集。 ·明确指定输出的编码方式(如ISO 8859-1或UTF 8):不要允许攻击者为你的用户选择编码方式。 ·注意黑名单验证方式的局限性:仅仅查找或替换一些字符(如"<" ">"或类似"script"的关键字),很容易被XSS变种攻击绕过验证机制。 ·警惕规范化错误:验证输入之前,必须进行解码及规范化以符合应用程序当前的内部表示方法。请确定应用程序对同一输入不做两次解码。 从网站用户角度,如何防护XSS攻击? 当你打开一封Email或附件、浏览论坛帖子时,可能恶意脚本会自动执行,因此,在做这些操作时一定要特别谨慎。建议在浏览器设置中关闭JavaScript。如果使用IE浏览器,将安全级别设置到“高”。具体可以参照浏览器安全的相关文章。 WebGoat学习笔记九 —跨站脚本攻击(Cross-Site Scripting (XSS)) 瞿靖东2015/11/10 版本号:WebGoat 5.4 1、使用XSS钓鱼(Phishing with XSS) 技术概念或主题(Concept / T opic T o T each) 在服务端对所有输入进行验证总是不错的做法。当用户输入非法HTTP响应时容易造成XSS。在XSS的帮助下,你可以实现钓鱼工具或向某些官方页面中增加内容。对于受害者来说很难发现该内容是否存在威胁。 技术原理(How It works ) HTML文档内容很容易篡改的,如果你有权限操作页面源代码。 总体目标(General Goals ) 创建一个form,要求填写用户名和密码。将数据提交到http://localhost/WebGoat/catcher?PROPERTY=yes&user=catchedUserName&password=catched PasswordNam 操作方法(Solutions) 利用XSS可以在已存在的页面中进一步添加元素。该解决方案包括两部分,你需要结合起来使用: 受害人填写一个表格; 以读取脚本的形式,将收集到的信息发送给攻击者。 一个带用户名和密码输入框的表格如下: 跨站脚本攻击实例解析
,为便于区别,我将提示语句更改为对应的名称,前三项在首页可触发脚本,后两项需打开文章才可触发,测试结果如图1、2所示: 图1(在首页触发)
跨网站脚本攻击(XSS)的原理与防范对策
网站常见三种漏洞攻击及防范方法
SQL注入及XSS(跨站脚本)攻击防御技术方案
跨站脚本攻击的危害和防护方法
WebGoat笔记九_跨站脚本攻击(Cross-Site Scripting (XSS))
Web应用是指采用B/S架构、通过HTTP/HTTPS协议提供服务的统称。随着互联网的广泛使用,Web应用已经融入到日常生活中的各个方面:网上购物、网络银行应用、证券股票交易、政府行政审批等等。在这些Web访问中,大多数应用不是静态的网页浏览,而是涉及到服务器侧的动态处理。此时,如果Java、PHP、ASP等程序语言的编程人员的安全意识不足,对程序参数输入等检查不严格等,会导致Web应用安全问题层出不穷。 本文根据当前Web应用的安全情况,列举了Web应用程序常见的攻击原理及危害,并给出如何避免遭受Web 攻击的建议。 1Web应用漏洞原理 Web应用攻击是攻击者通过浏览器或攻击工具,在URL或者其它输入区域(如表单等),向Web服务器发送特殊请求,从中发现Web应用程序存在的漏洞,从而进一步操纵和控制网站,查看、修改未授权的信息。 1.1Web应用的漏洞分类 1、信息泄露漏洞 信息泄露漏洞是由于Web服务器或应用程序没有正确处理一些特殊请求,泄露Web服务器的一些敏感信息,如用户名、密码、源代码、服务器信息、配置信息等。 造成信息泄露主要有以下三种原因: ?Web服务器配置存在问题,导致一些系统文件或者配置文件暴露在互联网中; ?Web服务器本身存在漏洞,在浏览器中输入一些特殊的字符,可以访问未授权的文件或者动态脚本文件源码; ?Web网站的程序编写存在问题,对用户提交请求没有进行适当的过滤,直接使用用户提交上来的数据。 2、目录遍历漏洞 目录遍历漏洞是攻击者向Web服务器发送请求,通过在URL中或在有特殊意义的目录中附加“../”、或者附加“../”的一些变形(如“..\”或“..//”甚至其编码),导致攻击者能够访问未授权的目录,以及在Web服务器的根目录以外执行命令。 3、命令执行漏洞 命令执行漏洞是通过URL发起请求,在Web服务器端执行未授权的命令,获取系统信息,篡改系统配置,控制整个系统,使系统瘫痪等。 命令执行漏洞主要有两种情况:
跨站脚本攻击XSS攻击与防范指南 文章目录 XSS攻击与防范指南 (1) 第一章、XSS的定义 (1) 第二章、XSS漏洞代码 (1) 第三章、利用XSS盗取cookies. 3 第四章、防范XSS漏洞 (4) 第四章、XSS攻击方法 (4) 第六章、利用Flash进行XSS攻击 (6) 第七章、上传文件进行XSS攻击 (7) 第八章、利用XSS漏洞进行钓鱼 (7) 第一章、XSS的定义 从Wikipedia搜索跨站脚本,解释到跨区脚本(Cross-zone Scripting或者Cross Site Scripting)是指浏览器利用浏览器一些有漏洞的安全解决方案,这种攻击使没有权限跨站脚本在未经授权的情况下以较高的权限去执行,脚本的执行权限被客户端(Web浏览器)扩大升级了。 这些XSS跨站脚本漏洞可能是: *网页浏览器设计缺陷使得在一定的条件下,一个站点完全信任另外一个高权限的站点(或者连个高低权限区域)并去执行高权限站点的脚本。 *网页浏览器配置错误,把不安全的网站放在浏览器高信任列表。 *信任站点(特权区域)存在跨站脚本漏洞 一般的跨站脚本攻击包含两个步骤。首先是利用跨站脚本漏洞以一个特权模式去执行攻击者构造的脚本,然后利用不安全的ActiveX控件执行恶意的行为。通常在安静模式让计算机浏览攻击者指定的网页悄悄下载安装各种恶意代码,如间谍软件、木马软件、蠕虫等。 第二章、XSS漏洞代码 打开记事本,复制下面的代码到几时本中: