XSS之攻击与防御

简介: XSS之攻击与防御

在不少人看来,XSS漏洞造成的危害程度并不大,或者说,一个XSS漏洞的可利用价值并不高。但很多时候看起来一个不起眼的XSS漏洞,在高人的手里,就可能做出一番大动作。

简单介绍下XSS漏洞的分类呗~
XSS 常年位居Web top10 漏洞之列。一般传统的分类, 有反射型XSS 、持久型XSS(包括存储、 DOM等类别)。根据跨站的成因或者特征进行分类,有Flash跨站、mXSS跨站、UBB跨站、宽字节跨站等等。当然这些分类有很多重叠的部分。

国外比较精确的将跨站分类为:服务端跨站(Server XSS)、客户端跨站(Client XSS),然后再细分反射型或者存储型等。这种分类是根据漏洞形成点的位置来看的。

mXSS跨站、UBB跨站这类能详细介绍下么?
mXSS 主要是在DOM操作的过程中浏览器渲染造成的畸变引起的。比如,将数据赋值到a.innerHTML后,再取出重新赋值到b.innerHTML的过程中产生畸变。UBB主 要是论坛里用的比较多,如果存在XSS的话,可以类似这样利用:[img ]javascript :alert();[/ img],在转成html代码的时候造成跨站。

在这些分类中,危害和影响最大的是哪个呢?
一般来说存储型跨站危害相对较严重,攻击面也较广。此外,反射型的危害也不小。 self-xss配合一些csrf漏洞,也可以达到利用效果。总体来说,企业反射型跨站出现的 多一点。黑客可以钓鱼,或注入木马、广告链接。有些在主站注入非法网站的链接, 对公司声誉还是有影响的。很多广告联盟等也会利用XSS跟踪用户行为,窃取用户数据等,利用跨站请求一些JSONP接口获取用户数据。

分享下XSS漏洞的防御措施吧!
我们目前在做一个框架过滤,Java平台在做filter,通过filter做输入拦截。要全部开放使用,可能还需要再观察下。公司到一定量级后统一框架还是很难的,在现有基础上如何找到一个权衡点非常重要。

是否可以分享下针对检测层面和主动检查层面的实践经验呢?
一般反射型跨站比较容易检测。像DOM型跨站 ,我们现在有专门策略去扫描,会模拟webkit内核渲染网页并解析JS,根据执行结果来判断。相对来说误报率还是比较低的。

业内是否有检测XSS漏洞好用的工具?
kali里面有集成一些比较知名的检测工具,例如XSSER等。这种检测一般是上线前需要进行安全评审的规范环节之一。

如何快速精准的发现XSS,降低垃圾数据呢?
我们在检测XSS时都是用不同的语句去尝试,如果尝试的较多就会造成库中存储很多“脏”数据,对于测试环境还好,线上环境可能业务部门经常会报警了。针对这种情况,一般我们会有专门的扫描账号去进行检测,避免对正常业务的干扰。另外,扫描器有时候还会删除数据,针对这个问题,可以做个高危URL配置项来避免。

扫描器漏报误报的问题,有什么方法解决吗?
可以把扫描规则策略做成插件式,还可以根据场景优化,缓解误漏报问题。

分享个思路:
是否可以针对检测范围做个基线性的安全检查,对结果做一次判定,误 报的加flag,后续检测中如果一直为误报可加入黑名单。对于SRC来说也是一个好的思路收集,我们经常会把外部爆出来但扫描器没有发现的XSS构造语句放到扫描器中。

目录
相关文章
|
15天前
|
JavaScript 安全 前端开发
同源策略如何防止 XSS 攻击?
【10月更文挑战第31天】同源策略通过对 DOM 访问、Cookie 访问、脚本执行环境和跨源网络请求等多方面的严格限制,构建了一道坚实的安全防线,有效地防止了 XSS 攻击,保护了用户在网络浏览过程中的数据安全和隐私。
84 49
|
20天前
|
安全 前端开发 Java
Web安全进阶:XSS与CSRF攻击防御策略深度解析
【10月更文挑战第26天】Web安全是现代软件开发的重要领域,本文深入探讨了XSS和CSRF两种常见攻击的原理及防御策略。针对XSS,介绍了输入验证与转义、使用CSP、WAF、HTTP-only Cookie和代码审查等方法。对于CSRF,提出了启用CSRF保护、设置CSRF Token、使用HTTPS、二次验证和用户教育等措施。通过这些策略,开发者可以构建更安全的Web应用。
58 4
|
19天前
|
安全 Go PHP
Web安全进阶:XSS与CSRF攻击防御策略深度解析
【10月更文挑战第27天】本文深入解析了Web安全中的XSS和CSRF攻击防御策略。针对XSS,介绍了输入验证与净化、内容安全策略(CSP)和HTTP头部安全配置;针对CSRF,提出了使用CSRF令牌、验证HTTP请求头、限制同源策略和双重提交Cookie等方法,帮助开发者有效保护网站和用户数据安全。
47 2
|
22天前
|
存储 安全 Go
Web安全基础:防范XSS与CSRF攻击的方法
【10月更文挑战第25天】Web安全是互联网应用开发中的重要环节。本文通过具体案例分析了跨站脚本攻击(XSS)和跨站请求伪造(CSRF)的原理及防范方法,包括服务器端数据过滤、使用Content Security Policy (CSP)、添加CSRF令牌等措施,帮助开发者构建更安全的Web应用。
52 3
|
15天前
|
SQL 存储 安全
什么是XSS攻击?什么是SQL注入攻击?什么是CSRF攻击?
理解并防范XSS、SQL注入和CSRF攻击是Web应用安全的基础。通过采用严格的输入验证、使用安全编码实践以及实现适当的身份验证和授权机制,可以有效防止这些常见的Web攻击,保障应用程序和用户的数据安全。
25 0
|
2月前
|
XML 编解码 JavaScript
从浏览器的解析规则认识XSS防御
从浏览器的解析规则认识XSS防御
45 2
|
2月前
|
存储 安全 JavaScript
XSS跨站脚本攻击详解(包括攻击方式和防御方式)
这篇文章详细解释了XSS跨站脚本攻击的概念、原理、特点、类型,并提供了攻击方式和防御方法。
370 1
|
1月前
|
存储 JavaScript 安全
|
1月前
|
存储 JavaScript 前端开发
Xss跨站脚本攻击(Cross Site Script)
Xss跨站脚本攻击(Cross Site Script)
|
4月前
|
存储 安全 JavaScript
手摸手带你进行XSS攻击与防御
当谈到网络安全和信息安全时,跨站脚本攻击(XSS)是一个不可忽视的威胁。现在大家使用邮箱进行用户认证比较多,如果黑客利用XSS攻陷了用户的邮箱,拿到了cookie那么就可以冒充你进行收发邮件,那真就太可怕了,通过邮箱验证进行其他各种网站的登录与高危操作。 那么今天,本文将带大家深入了解XSS攻击与对应的防御措施。