XSS漏洞分析
来源:互联网 发布:曼秀雷敦洗面奶 知乎 编辑:程序博客网 时间:2024/06/11 09:16
XSS漏洞是什么?
网页(客户端)发送请求时隐藏可自动执行的脚本,从而使脚本跨站执行(cross site scripeting),达到攻击目的。由于缩写和CSS冲突,故使用XSS。
XSS攻击示例
服务器接口:
http://ip:port/test?name=aaa&hobby=bbb
服务器大致处理过程:
String param1 = request.getParameter("name");String param2 = request.getParameter("hobby");// do Sometihingresponse.setContentType("text/html; charset=GBK"); if (ok){ out.println("ok");}else{ out.println(name+" failed");}
若name字段传递为 ,则页面返回时会弹出alert对话框,若脚本里面包含页面跳转和发送本地cookie等操作,可能会造成更多危害。
XSS攻击原因
- 1, 服务器未对传入参数进行有效控制。
- 2, 返回的Content-type可以使自动脚本执行。
XSS攻击修复方案
参数防护
- 1,过滤非法参数(参数黑名单之内的)。
- 2,验证参数是否符合条件(是否白名单之内的)。
- 3,参数转换(将< 转换为 < 等)。
应答类型防护
此方法不通用,只针对仅数据交互的类型有效,若要服务器返回网页则失效。这种情况下可以将text/html修改为text/plain。
浏览器XSS防护策略
chrome和firefox浏览器,本身对XSS有过滤,当浏览器发现请求参数和服务器应答有相同的脚本时会拒绝执行。但是这通常是可以被绕过的,如对请求参数进编码。
阅读全文
0 0
- xss漏洞简要分析
- pentesterlab xss漏洞分析
- XSS漏洞分析
- XSS漏洞
- XSS漏洞
- [漏洞分析] BEdita CMS 3.5.0中存储型XSS与CSRF漏洞分析
- 优酷分享iframe播放器页面存在dom xss漏洞(附漏洞分析过程)
- 如何测试XSS漏洞
- XSS漏洞验证语句
- Xss漏洞检测
- 找寻xss漏洞
- Xss漏洞到底是什么
- 关于XSS漏洞-简介
- XSS漏洞的分类
- XSS漏洞的分类
- 预防XSS漏洞攻击
- XSS漏洞演示
- 如何测试XSS漏洞
- 今天学习了一下使用NPM
- Hadoop日记Day20---Zookeeper系列(一)
- sklean 数据集特征提取
- java学习笔记(一)程序基本结构
- Android -- Activity启动流程分析
- XSS漏洞分析
- springmvc学习2 dispatcherservlet 中初始化策略
- 编程思想(技巧)---循环控制
- Mybatis MapperScannerConfigurer 自动扫描 将Mapper接口生成代理注入到Spring(转载-大新博客 -)
- 几种进程间的通信方式
- List Of CAM References LinuxCNCKnowledgeBase
- 电商笔记-02
- 数据结构——顺序表的几个重要方法的C语言实现
- php 实现快速排序算法