摘要:危害實例微博年月日晚�����,新浪微博遭遇到蠕蟲攻擊侵襲����,在不到一個小時的時間,超過萬微博用戶受到該蠕蟲的攻擊��。此事件給嚴(yán)重依賴社交網(wǎng)絡(luò)的網(wǎng)友們敲響了警鐘��。當(dāng)用戶看到這樣的情況可以反饋����,及時封堵惡意作者的攻擊����。
什么是XSS
跨站腳本攻擊(Cross Site Scripting)���,為不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆�����,故將跨站腳本攻擊縮寫為XSS�����。惡意攻擊者往Web頁面里插入惡意Script代碼�,當(dāng)用戶瀏覽該頁之時�,嵌入其中Web里面的Script代碼會被執(zhí)行�,從而達(dá)到惡意攻擊用戶的目的。
文章很多圖片都失效了����,建議大家聽免費XSS視頻課程,PC訪問:https://www.imooc.com/learn/812
手記掃碼學(xué)習(xí):
XSS的原理
惡意攻擊者往Web頁面里插入惡意html代碼����,當(dāng)用戶瀏覽該頁之時���,嵌入其中Web里面的 (html代碼/javascript代碼) 會被執(zhí)行,從而達(dá)到惡意攻擊用戶的特殊目的�。
XSS危害實例
微博
2011年6月28日晚,新浪微博遭遇到XSS蠕蟲攻擊侵襲���,在不到一個小時的時間�����,超過3萬微博用戶受到該XSS蠕蟲的攻擊����。此事件給嚴(yán)重依賴社交網(wǎng)絡(luò)的網(wǎng)友們敲響了警鐘��。在此之前�,國內(nèi)多家著名的SNS網(wǎng)站和大型博客網(wǎng)站都曾遭遇過類似的攻擊事件,只不過沒有形成如此大規(guī)模傳播����。雖然此次XSS蠕蟲攻擊事件中,惡意黑客攻擊者并沒有在惡意腳本中植入掛馬代碼或其他竊取用戶賬號密碼信息的腳本,但是這至少說明����,病毒木馬等黑色產(chǎn)業(yè)已經(jīng)將眼光投放到這個尚存漏洞的領(lǐng)域。
貓撲
曾經(jīng)在貓撲大雜燴中存在這樣一個XSS漏洞���,在用戶發(fā)表回復(fù)的時候�,程序?qū)τ脩舭l(fā)表的內(nèi)容做了嚴(yán)格的過濾�����,但是我不知道為什么��,當(dāng)用戶編輯回復(fù)內(nèi)容再次發(fā)表的時候��,他卻采用了另外一種不同的過濾方式����,而這種過濾方式顯然是不嚴(yán)密的,因此導(dǎo)致了XSS漏洞的出現(xiàn)���。試想一下��,像貓撲這樣的大型社區(qū),如果在一篇熱帖中�,利用XSS漏洞來使所有的瀏覽這篇帖子的用戶都在不知不覺之中訪問到了另外一個站點���,如果這個站點同樣是大型站點還好,但如果是中小型站點那就悲劇了�,這將會引來多大的流量啊��!更可怕的是�����,這些流量全部都是真實有效的�!
詳情頁XSS防護措施
業(yè)務(wù)描述
詳情頁都有需求展示來自用戶輸入的富文本即HTML內(nèi)容。
【展現(xiàn)1】
【展現(xiàn)2】
歷史方法
轉(zhuǎn)義可以在客戶端完成也可以在服務(wù)端完成��,反轉(zhuǎn)義通過Django的safe過濾器實現(xiàn)���。
潛在問題
熟悉DOM的工作原理的同學(xué)肯定知道����,如果在DOM中插入其他HTML內(nèi)容會有潛在的安全問題����,比如修改css、引入js等可以有權(quán)限操作頁面的內(nèi)容。
【實例1】
這里顯示摘要內(nèi)容�����,用戶可以輸入各種文本及圖片
如果用戶輸入的是這塊內(nèi)容通過傳統(tǒng)的操作方式�,最后用戶看不到這個頁面的任何內(nèi)容,只能是一個空白頁�����。
【實例2】
這里顯示摘要內(nèi)容���,用戶可以輸入各種文本及圖片
如果用戶輸入的是上述內(nèi)容��,當(dāng)前用戶的cookie就被悄悄的發(fā)送給hack.com了�����,而且當(dāng)前用戶無任何感知�。你懂得��!
【實例3】
這里顯示摘要內(nèi)容�,用戶可以輸入各種文本及圖片
如果用戶輸入的是上述內(nèi)容,那么恭喜你����,所有用戶都被植入了這個腳本,相當(dāng)于這個腳本可以操作任何他想要的東西�����。
【實例4】
這里顯示摘要內(nèi)容�,用戶可以輸入各種文本及圖片
如果用戶輸入是上述內(nèi)容,發(fā)現(xiàn)用戶看到的頁面已經(jīng)亂掉了����。因為div標(biāo)簽沒有閉合。
解決方案
目標(biāo)
過濾任何有執(zhí)行能力的腳本或者影響頁面的CSS�,保證頁面的安全。
- 方法
通過這樣的處理���,任何script語句�����、style樣式等額外威脅都會當(dāng)做文本處理�,在一定程度上能糾正DOM配對不完整導(dǎo)致頁面亂掉的癥狀��。當(dāng)用戶看到這樣的情況可以反饋�����,及時封堵惡意作者的攻擊。
文章版權(quán)歸作者所有����,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除�。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/115397.html
