資訊專欄INFORMATION COLUMN
摘要:危害實(shí)例微博年月日晚,新浪微博遭遇到蠕蟲(chóng)攻擊侵襲,在不到一個(gè)小時(shí)的時(shí)間,超過(guò)萬(wàn)微博用戶受到該蠕蟲(chóng)的攻擊。此事件給嚴(yán)重依賴社交網(wǎng)絡(luò)的網(wǎng)友們敲響了警鐘。當(dāng)用戶看到這樣的情況可以反饋,及時(shí)封堵惡意作者的攻擊。
什么是XSS
跨站腳本攻擊(Cross Site Scripting),為不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫(xiě)混淆,故將跨站腳本攻擊縮寫(xiě)為XSS。惡意攻擊者往Web頁(yè)面里插入惡意Script代碼,當(dāng)用戶瀏覽該頁(yè)之時(shí),嵌入其中Web里面的Script代碼會(huì)被執(zhí)行,從而達(dá)到惡意攻擊用戶的目的。
文章很多圖片都失效了,建議大家聽(tīng)免費(fèi)XSS視頻課程,PC訪問(wèn):https://www.imooc.com/learn/812
手記掃碼學(xué)習(xí):
XSS的原理惡意攻擊者往Web頁(yè)面里插入惡意html代碼,當(dāng)用戶瀏覽該頁(yè)之時(shí),嵌入其中Web里面的 (html代碼/javascript代碼) 會(huì)被執(zhí)行,從而達(dá)到惡意攻擊用戶的特殊目的。
XSS危害實(shí)例
微博
2011年6月28日晚,新浪微博遭遇到XSS蠕蟲(chóng)攻擊侵襲,在不到一個(gè)小時(shí)的時(shí)間,超過(guò)3萬(wàn)微博用戶受到該XSS蠕蟲(chóng)的攻擊。此事件給嚴(yán)重依賴社交網(wǎng)絡(luò)的網(wǎng)友們敲響了警鐘。在此之前,國(guó)內(nèi)多家著名的SNS網(wǎng)站和大型博客網(wǎng)站都曾遭遇過(guò)類似的攻擊事件,只不過(guò)沒(méi)有形成如此大規(guī)模傳播。雖然此次XSS蠕蟲(chóng)攻擊事件中,惡意黑客攻擊者并沒(méi)有在惡意腳本中植入掛馬代碼或其他竊取用戶賬號(hào)密碼信息的腳本,但是這至少說(shuō)明,病毒木馬等黑色產(chǎn)業(yè)已經(jīng)將眼光投放到這個(gè)尚存漏洞的領(lǐng)域。
貓撲
曾經(jīng)在貓撲大雜燴中存在這樣一個(gè)XSS漏洞,在用戶發(fā)表回復(fù)的時(shí)候,程序?qū)τ脩舭l(fā)表的內(nèi)容做了嚴(yán)格的過(guò)濾,但是我不知道為什么,當(dāng)用戶編輯回復(fù)內(nèi)容再次發(fā)表的時(shí)候,他卻采用了另外一種不同的過(guò)濾方式,而這種過(guò)濾方式顯然是不嚴(yán)密的,因此導(dǎo)致了XSS漏洞的出現(xiàn)。試想一下,像貓撲這樣的大型社區(qū),如果在一篇熱帖中,利用XSS漏洞來(lái)使所有的瀏覽這篇帖子的用戶都在不知不覺(jué)之中訪問(wèn)到了另外一個(gè)站點(diǎn),如果這個(gè)站點(diǎn)同樣是大型站點(diǎn)還好,但如果是中小型站點(diǎn)那就悲劇了,這將會(huì)引來(lái)多大的流量啊!更可怕的是,這些流量全部都是真實(shí)有效的!
詳情頁(yè)XSS防護(hù)措施業(yè)務(wù)描述
詳情頁(yè)都有需求展示來(lái)自用戶輸入的富文本即HTML內(nèi)容。
【展現(xiàn)1】
【展現(xiàn)2】
歷史方法
轉(zhuǎn)義可以在客戶端完成也可以在服務(wù)端完成,反轉(zhuǎn)義通過(guò)Django的safe過(guò)濾器實(shí)現(xiàn)。
潛在問(wèn)題
熟悉DOM的工作原理的同學(xué)肯定知道,如果在DOM中插入其他HTML內(nèi)容會(huì)有潛在的安全問(wèn)題,比如修改css、引入js等可以有權(quán)限操作頁(yè)面的內(nèi)容。
【實(shí)例1】
這里顯示摘要內(nèi)容,用戶可以輸入各種文本及圖片
如果用戶輸入的是這塊內(nèi)容通過(guò)傳統(tǒng)的操作方式,最后用戶看不到這個(gè)頁(yè)面的任何內(nèi)容,只能是一個(gè)空白頁(yè)。
【實(shí)例2】
這里顯示摘要內(nèi)容,用戶可以輸入各種文本及圖片
如果用戶輸入的是上述內(nèi)容,當(dāng)前用戶的cookie就被悄悄的發(fā)送給hack.com了,而且當(dāng)前用戶無(wú)任何感知。你懂得!
【實(shí)例3】
這里顯示摘要內(nèi)容,用戶可以輸入各種文本及圖片
如果用戶輸入的是上述內(nèi)容,那么恭喜你,所有用戶都被植入了這個(gè)腳本,相當(dāng)于這個(gè)腳本可以操作任何他想要的東西。
【實(shí)例4】
這里顯示摘要內(nèi)容,用戶可以輸入各種文本及圖片如果用戶輸入是上述內(nèi)容,發(fā)現(xiàn)用戶看到的頁(yè)面已經(jīng)亂掉了。因?yàn)閐iv標(biāo)簽沒(méi)有閉合。
解決方案
目標(biāo)
過(guò)濾任何有執(zhí)行能力的腳本或者影響頁(yè)面的CSS,保證頁(yè)面的安全。 - 方法  通過(guò)這樣的處理,任何script語(yǔ)句、style樣式等額外威脅都會(huì)當(dāng)做文本處理,在一定程度上能糾正DOM配對(duì)不完整導(dǎo)致頁(yè)面亂掉的癥狀。當(dāng)用戶看到這樣的情況可以反饋,及時(shí)封堵惡意作者的攻擊。文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請(qǐng)注明本文地址:http://m.specialneedsforspecialkids.com/yun/115397.html
摘要:危害實(shí)例微博年月日晚,新浪微博遭遇到蠕蟲(chóng)攻擊侵襲,在不到一個(gè)小時(shí)的時(shí)間,超過(guò)萬(wàn)微博用戶受到該蠕蟲(chóng)的攻擊。此事件給嚴(yán)重依賴社交網(wǎng)絡(luò)的網(wǎng)友們敲響了警鐘。當(dāng)用戶看到這樣的情況可以反饋,及時(shí)封堵惡意作者的攻擊。 什么是XSS 跨站腳本攻擊(Cross Site Scripting),為不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫(xiě)混淆,故將跨站腳本攻擊縮寫(xiě)為XS...
摘要:危害實(shí)例微博年月日晚,新浪微博遭遇到蠕蟲(chóng)攻擊侵襲,在不到一個(gè)小時(shí)的時(shí)間,超過(guò)萬(wàn)微博用戶受到該蠕蟲(chóng)的攻擊。此事件給嚴(yán)重依賴社交網(wǎng)絡(luò)的網(wǎng)友們敲響了警鐘。當(dāng)用戶看到這樣的情況可以反饋,及時(shí)封堵惡意作者的攻擊。 什么是XSS 跨站腳本攻擊(Cross Site Scripting),為不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫(xiě)混淆,故將跨站腳本攻擊縮寫(xiě)為XS...
摘要:網(wǎng)絡(luò)黑白一書(shū)所抄襲的文章列表這本書(shū)實(shí)在是垃圾,一是因?yàn)樗幕ヂ?lián)網(wǎng)上的文章拼湊而成的,二是因?yàn)槠礈愃教睿B表述都一模一樣,還抄得前言不搭后語(yǔ),三是因?yàn)閮?nèi)容全都是大量的科普,不涉及技術(shù)也沒(méi)有干貨。 《網(wǎng)絡(luò)黑白》一書(shū)所抄襲的文章列表 這本書(shū)實(shí)在是垃圾,一是因?yàn)樗幕ヂ?lián)網(wǎng)上的文章拼湊而成的,二是因?yàn)槠礈愃教睿B表述都一模一樣,還抄得前言不搭后語(yǔ),三是因?yàn)閮?nèi)容全都是大量的科普,不涉及技術(shù)...
摘要:禁止內(nèi)聯(lián)腳本執(zhí)行規(guī)則較嚴(yán)格,目前發(fā)現(xiàn)使用。典型的攻擊流程受害者登錄站點(diǎn),并保留了登錄憑證。站點(diǎn)接收到請(qǐng)求后,對(duì)請(qǐng)求進(jìn)行驗(yàn)證,并確認(rèn)是受害者的憑證,誤以為是無(wú)辜的受害者發(fā)送的請(qǐng)求。攻擊完成,攻擊者在受害者不知情的情況下,冒充受害者完成了攻擊。 隨著互聯(lián)網(wǎng)的發(fā)展,各種Web應(yīng)用變得越來(lái)越復(fù)雜,滿足了用戶的各種需求的同時(shí),各種網(wǎng)絡(luò)安全問(wèn)題也接踵而至。作為前端工程師的我們也逃不開(kāi)這個(gè)問(wèn)題,今天一起...
閱讀 930·2021-10-27 14:14
閱讀 1753·2021-10-11 10:59
閱讀 1325·2019-08-30 13:13
閱讀 3160·2019-08-29 15:17
閱讀 2759·2019-08-29 13:48
閱讀 498·2019-08-26 13:36
閱讀 2090·2019-08-26 13:25
閱讀 866·2019-08-26 12:24
