XSS攻击及防范XSS攻击及防范1 什么是XSS2 XSS类型2.1 反射型XSS2.2 存储型XSS2.3 DOM型XSS3 怎么预防XSS3.1 纯前端渲染3.2 转义HTML3.3 关注高危API3.4 其他措施1 什么是XSSXSS称为跨站脚本攻击Cross Site Scripting它的缩写原本应是CSS但是由于与层叠样式脚本Cascading Style Sheets简称CSS重名所以将缩写改为XSS。它是一种代码注入攻击发生在目标网站中目标用户的浏览器层面上。攻击者在目标网站上注入恶意代码当用户浏览目标网站时浏览器会渲染整个HTML文档这个过程中出现了不被预期的脚本指令并且被浏览器执行了XSS就会发生。利用这些恶意代码攻击者可以获取用户的敏感信息如Cookie、sessionId等控制用户的账号权限进而危害数据安全。在XSS攻击中恶意代码与网站正常的代码混合在一起浏览器没办法分辨出哪些代码是可信的哪些代码是不可信的于是会将恶意代码与正常代码一起执行导致用户信息泄漏。2 XSS类型根据攻击的来源XSS攻击可以分为存储型、反射型、DOM型3类。2.1 反射型XSS反射型XSS又称为非持久型XSS这种攻击一般是一次性的攻击代码被存储在url中作为输入提交到服务端服务端解析后响应响应内容中出现这段XSS代码最后浏览器解析执行。这个过程就像一次反射所以叫反射型XSS。反射型XSS基本攻击步骤如下攻击者通过邮件等形式将包含XSS代码的链接发送给用户诱导用户点击链接。用户点击该链接服务器收到用户的请求将恶意代码从url中取出拼接在HTML中返回给浏览器。用户浏览器接收到响应后解析执行代码混在其中的恶意代码也被执行。恶意代码窃取用户数据攻击者利用该数据进行一系列操作。例如当前我写了这样一段htmldiv 你好%- xss% /div如何我输入这个urlhttp://xxx?xssscriptalert(XSS);/script那么页面中会弹出写着“XSS”的对话框。2.2 存储型XSS存储型XSS又称为持久型XSS它与反射型XSS的区别在于攻击代码被存储在服务端包括数据库、内存和文件系统等下次请求目标页面时不用再提交XSS代码具有更强的隐蔽性。存储型XSS基本攻击步骤如下攻击者通过评论、私信、发帖等操作将恶意代码提交到目标网站的数据库中。用户打开目标网站时网站服务端将恶意代码从数据库取出拼接在HTML中返回给浏览器。用户浏览器接收到响应后解析执行混在其中的恶意代码也被执行。恶意代码窃取用户数据攻击者利用该数据进行一系列操作。最典型的例子就是留言板XSS。2.3 DOM型XSSDOM型XSS与反射型、存储型的区别在于DOM型的XSS代码不需要服务器解析响应的直接参与触发XSS靠的就是浏览器端的DOM解析可以认为完全是客户端的事情。DOM的XSS也是一种非持久性的攻击⼀般通过修改URL参数的⽅式加⼊攻击代码诱导⽤户访问链接从⽽进⾏攻击。攻击步骤如下攻击者构造出特殊的URL其中包含恶意代码。用户打开带有恶意代码的URL。用户浏览器接收到响应后解析执行前端JavaScript取出URL中的恶意代码并执行。恶意代码窃取用户数据并发送到攻击者的网站或者冒充用户的行为调用目标网站接口执行攻击者指定的操作。例如触发XSS的方式可以是输入一段这样的urlhttp://xxx.com#alert(1)常见的输入点有document.URL document.location document.cookie常见的输出点document.write() document.body.innerHtml ... document.create...(...) document.open(...)3 怎么预防XSSXSS攻击的实现需要有两个必要条件攻击者输入恶意代码浏览器执行恶意代码3.1 纯前端渲染纯前端渲染是指浏览器首先加载一个空白的HTML然后执行该HTML引入的JS文件JS通过AJAX获取业务数据调用DOM API更新到页面上。在纯前端渲染中我们会明确的告诉浏览器这是文本.innerText还是属性.setAttribute还是样式.style等等。纯前端渲染可以避免存储型和反射型的攻击但没法避免DOM型攻击者可以通过onload事件、href中嵌入javascript:...进行攻击。3.2 转义HTML对于需要考虑SEO的SSR项目不得不在服务端拼接HTML文件。那么必须使用HTML转义库基本规则是将 /几个字符转义掉但是并不完善XSS安全漏洞简单转义是否有防护作用HTML标签有HTML属性值有CSS内联样式无内联js无内联JSON无跳转链接无3.3 关注高危APIDOM 型XSS攻击实际上就是网站前端JavaScript代码本身不够严谨把不可信的数据当作代码执行了。在使用.innerHTML、.outerHTML、document.write()时要小心不要把不可信的数据作为HTML插到页面上而应尽量使用.textContent、.setAttribute()等。如果用Vue/React技术栈并且使用v-html/dangerouslySetInnerHTML功能就要在前端注意render阶段innerHTML、outerHTML的XSS隐患。DOM 中的内联事件监听器如location、onclick、onerror、onload、onmouseover等a标签的href属性JavaScript的eval()、setTimeout()、setInterval()等都能把字符串作为代码运行。如果不可信的数据拼接到字符串中传递给这些API很容易产生安全隐患。3.4 其他措施Content Security PolicyContent Security Policy内容安全策略简称csp用于检测并阻止网页加载非法资源的安全策略可以减轻xss攻击带来的危害和数据注入等攻击。严格的CSP在XSS的防范中可以起到以下的作用禁止加载外域代码防止复杂的攻击逻辑禁止外域提交网站被攻击后用户的数据不会泄露到外域禁止内联脚本执行禁止未授权的脚本执行合理使用上报可以及时发现XSS利于尽快修复问题开启http only禁止JavaScript读取某些敏感Cookie攻击者完成XSS注入后也无法窃取此Cookie。加入验证码加入验证码防止脚本冒充用户提交危险操作学习资源如果你是也准备转行学习网络安全黑客或者正在学习这里开源一份360智榜样学习中心独家出品《网络攻防知识库》,希望能够帮助到你**读者福利 |**CSDN大礼包《网络安全入门进阶学习资源包》免费分享**安全链接放心点击**知识库由360智榜样学习中心独家打造出品旨在帮助网络安全从业者或兴趣爱好者零基础快速入门提升实战能力熟练掌握基础攻防到深度对抗。1、知识库价值深度 本知识库超越常规工具手册深入剖析攻击技术的底层原理与高级防御策略并对业内挑战巨大的APT攻击链分析、隐蔽信道建立等提供了独到的技术视角和实战验证过的对抗方案。广度 面向企业安全建设的核心场景渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点是应对复杂攻防挑战的实用指南。实战性 知识库内容源于真实攻防对抗和大型演练实践通过详尽的攻击复现案例、防御配置实例、自动化脚本代码来传递核心思路与落地方法。2、 部分核心内容展示360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式既夯实基础技能更深入高阶对抗技术。360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式既夯实基础技能更深入高阶对抗技术。内容组织紧密结合攻防场景辅以大量真实环境复现案例、自动化工具脚本及配置解析。通过策略讲解、原理剖析、实战演示相结合是你学习过程中好帮手。1、网络安全意识2、Linux操作系统3、WEB架构基础与HTTP协议4、Web渗透测试5、渗透测试案例分享6、渗透测试实战技巧7、攻防对战实战8、CTF之MISC实战讲解3、适合学习的人群一、基础适配人群零基础转型者适合计算机零基础但愿意系统学习的人群资料覆盖从网络协议、操作系统到渗透测试的完整知识链开发/运维人员具备编程或运维基础者可通过资料快速掌握安全防护与漏洞修复技能实现职业方向拓展或者转行就业应届毕业生计算机相关专业学生可通过资料构建完整的网络安全知识体系缩短企业用人适应期二、能力提升适配1、技术爱好者适合对攻防技术有强烈兴趣希望掌握漏洞挖掘、渗透测试等实战技能的学习者2、安全从业者帮助初级安全工程师系统化提升Web安全、逆向工程等专项能力3、合规需求者包含等保规范、安全策略制定等内容适合需要应对合规审计的企业人员因篇幅有限仅展示部分资料完整版的网络安全学习资料已经上传CSDN朋友们如果需要可以在下方CSDN官方认证二维码免费领取【保证100%免费】
