《Web应用漏洞侦测与防御:揭秘鲜为人知的攻击手段和防御技术》——第 2 章 HTML 注入及跨站脚本攻击

简介:

本节书摘来自华章计算机《Web应用漏洞侦测与防御:揭秘鲜为人知的攻击手段和防御技术》一书中的第2章,作者:(美) 希马(Shema, M.)著, 更多章节内容可以访问云栖社区“华章计算机”公众号查看。

第 2 章 HTML 注入及跨站脚本攻击

大多数网络攻击都是采用跨站脚本(XSS)攻击。这种攻击在站点之间频繁发生,攻击者只需要了解HTML标签和一些肤浅的JavaScript知识,就能彻底击垮站点。跨站脚本攻击的历史和浏览器的历史一样久远,具体时间可以追溯到JavaScript仍被称为LiveScript之时,当时黑客攻击还被简单地描述为“恶意HTML”。本章中,我们将会探索为什么这种攻击仍然如此难以预防,还会介绍现代浏览器和HTML5规范怎样影响攻击者和防御者之间的较量。
还记得邀请苍蝇到它的客厅做客的蜘蛛吗?还记得帮助蝎子渡河的乌龟吗?这些故事都包含了猎手的天真和猎物的肮脏。Internet充斥着陷阱、阴暗的角落、恶意行为,使得随意地浏览网站成为了一种危险的行为。有些网站即便不存在明显的危险,至少也值得高度怀疑,因为它们对浏览器有潜在的敌意。提供盗版软件、免费色情视频、盗版音乐等内容的网站往往遍布病毒或恶意软件,等待着不安全浏览器对它进行访问。这些站点捕食不知情的访问者不足为怪。
恶意内容并不局限于这些边缘站点,也不会让人一眼就能看出来。它会出现在我们认为安全的网站,人们使用这些网站发送电子邮件、处理个人财务、阅读新闻、参与社交网络等。跨站脚本攻击这种典型的网络攻击是广泛且持续存在的顽疾。多亏反病毒信息和操作系统安全设置,使得大多数人对下载和运行不了解的程序非常警惕,而且在人们的电脑上也有足够的警告及保护来阻止带有病毒的可执行程序。
浏览器一直以JavaScript的形式执行代码,你并不清楚这些代码的具体内容,代码的执行也不需要经过你的同意,而且是发生在防病毒软件或其他电脑防御措施的作用范围之外。来自网站的HTML和JavaScript在其信任的沙盒中执行各类操作。浏览器可以显示你收件箱的下一条消息或者显示你银行账户的当前余额,浏览器甚至可以提取你的密码并发送到位于其他国家的服务器上,或者在后台执行转账。从浏览器的角度,所有这些动作都是正常的业务。
2005年10月,一名用户登录到MySpace并读取了某人的个人资料。浏览器执行了那个页面中的JavaScript代码,自动更新了用户自己的个人资料并声明Samy是他们的英雄。然后一个朋友查看了该用户的个人资料,并且在他自己的个人资料上确认Samy确实是“我的英雄”。然后另一个朋友,虽然他既没有听说过也没有见过Samy,访问了MySpace并添加了相同的声明。这种模式持续进行,并呈现爆炸性增长,时间长达24小时,Samy有了超过一百万的朋友,MySpace因流量问题而崩溃。Samy精心制作了一个跨站脚本(XSS),使用了约4000个字符的文本,引发了针对有数千台服务器的公司的拒绝服务攻击,该公司当时的估值大约5亿美元。这次攻击还使得Samy成为了跨站脚本攻击产生的巨大影响的象征(http: //blogoscoped. com/archive/2005-10-14-n81. html为Samy创建者的访谈录)。
你经常被提示向网站重新认证吗?你使用基于Web的电子邮件吗?你曾经在线查看银行账户吗?发送Twitter吗?加某人为好友吗?这些网站中的每一类操作都有XSS漏洞的实例。
HTML注入攻击的威力并不仅仅是惹恼用户(攻破网站对于网站运营商而言就不光是滋扰了),它还可以用于下载键盘记录程序,该程序可用来获取银行和在线游戏的证书。可用HTML注入来获取浏览器的cookie,从而可以在不知道被攻击者用户名和密码的情况下访问他的账户。HTML注入攻击是针对Web浏览器用户的简单但非常危险的攻击的基础。

相关文章
|
10月前
|
安全 测试技术 程序员
web渗透-文件包含漏洞
文件包含漏洞源于程序动态包含文件时未严格校验用户输入,导致可加载恶意文件。分为本地和远程包含,常见于PHP,利用伪协议、日志或session文件可实现代码执行,需通过合理过滤和配置防范。
1401 79
web渗透-文件包含漏洞
|
前端开发 算法 API
构建高性能图像处理Web应用:Next.js与TailwindCSS实践
本文分享了构建在线图像黑白转换工具的技术实践,涵盖技术栈选择、架构设计与性能优化。项目采用Next.js提供优秀的SSR性能和SEO支持,TailwindCSS加速UI开发,WebAssembly实现高性能图像处理算法。通过渐进式处理、WebWorker隔离及内存管理等策略,解决大图像处理性能瓶颈,并确保跨浏览器兼容性和移动设备优化。实际应用案例展示了其即时处理、高质量输出和客户端隐私保护等特点。未来计划引入WebGPU加速、AI增强等功能,进一步提升用户体验。此技术栈为Web图像处理应用提供了高效可行的解决方案。
|
10月前
|
存储 安全 前端开发
Web渗透-文件上传漏洞-上篇
文件上传漏洞常见于Web应用,因类型限制不严可致恶意文件执行。本文介绍前端检测、MIME类型、黑名单、.htaccess、空格、双写等多种绕过方式,并结合upload-labs靶场演示利用方法,提升安全防护认知。
3039 1
Web渗透-文件上传漏洞-上篇
|
10月前
|
安全 中间件 应用服务中间件
WEB渗透-文件上传漏洞-下篇
本文详解文件上传安全漏洞,涵盖白名单绕过(如00截断、条件竞争)、图片木马制作与利用、以及IIS、Apache、Nginx等常见解析漏洞原理与防御。结合实战案例,深入剖析攻击手法与修复方案。
779 1
|
10月前
|
存储 JavaScript 安全
Web渗透-XSS漏洞深入及xss-labs靶场实战
XSS(跨站脚本攻击)是常见的Web安全漏洞,通过在网页中注入恶意脚本,窃取用户信息或执行非法操作。本文介绍其原理、分类(反射型、存储型、DOM型)、测试方法及xss-labs靶场实战案例,帮助理解与防御XSS攻击。
2885 1
Web渗透-XSS漏洞深入及xss-labs靶场实战
|
10月前
|
安全 NoSQL Shell
web渗透-SSRF漏洞及discuz论坛网站测试
SSRF(服务器端请求伪造)是一种安全漏洞,攻击者可诱使服务端发起任意请求,进而探测或攻击内网系统。常用于端口扫描、访问内部服务、读取本地文件等。常见防御包括限制协议、域名和IP,但可通过302跳转、短地址等方式绕过。
507 1
web渗透-SSRF漏洞及discuz论坛网站测试
|
10月前
|
安全 程序员 数据库连接
web渗透-CSRF漏洞
CSRF(跨站请求伪造)是一种常见的Web安全漏洞,攻击者通过伪造用户请求,诱使其在已登录状态下执行非意愿操作。本文介绍CSRF原理、分类(站外与站内)、DVWA靶场搭建及防御措施,如同源策略与Token验证,提升安全防护意识。
705 0
web渗透-CSRF漏洞
|
10月前
|
安全 Linux PHP
Web渗透-命令执行漏洞-及常见靶场检测实战
命令执行漏洞(RCE)指应用程序调用系统命令时,用户可控制输入参数,导致恶意命令被拼接执行,从而危害系统安全。常见于PHP的system、exec等函数。攻击者可通过命令连接符在目标系统上执行任意命令,造成数据泄露或服务瘫痪。漏洞成因包括代码层过滤不严、第三方组件缺陷等。可通过参数过滤、最小权限运行等方式防御。本文还介绍了绕过方式、靶场测试及复现过程。
1954 0
|
10月前
|
安全 数据安全/隐私保护
Web渗透-逻辑漏洞
逻辑漏洞主要因程序逻辑不严谨或复杂导致处理错误,常见于越权访问、密码修改、支付等环节。漏洞统计显示,越权操作和逻辑漏洞占比最高,尤其账号安全风险突出,如任意重置密码、验证码暴力破解等。漏洞分类中,越权访问分为水平越权(同权限用户间数据访问)和垂直越权(跨权限数据访问)。
420 0
Web渗透-逻辑漏洞
|
10月前
|
存储 安全 Java
web渗透-反序列化漏洞
序列化是将对象转为可传输字符串的技术,便于存储与传输。PHP通过serialize/unserialize实现,Java通过Serializable接口和ObjectOutputStream完成。文中还介绍了反序列化漏洞在安全测试中的利用方法及CTF实战案例。
293 0
web渗透-反序列化漏洞