JavaScript 的 Cross Site 脚本注入风险

最新推荐文章于 2023-12-26 12:00:00 发布
最新推荐文章于 2023-12-26 12:00:00 发布
阅读量2k 收藏
点赞数 1
CC 4.0 BY-SA版权
文章标签: 脚本 javascript url 浏览器 input 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/AppFramework/article/details/5218642

    今天有人来公司推销网站安全扫描软件,演示了对JS的跨域脚本注入风险的扫描,以前没意识到,今天有所了解。如果您的程序页面有以下情况,那么JS脚本注入的风险就很大:

 

1)页面打开时,URL 有某个参数,例如 XXPage.aspx?XXParam=XXValue

2)aspx页面里有如下代码:

<script>

    var p = "<%=Request["XXParam"];%>";

</script>

 

注入风险如下:

1)黑客假冒网站身份发送邮件给用户,用户打开网页链接,链接虽然是指向 XXPage.aspx,但 XXParam 却被做了改造,例如:XXParam 被设置为 "; document.location.href = 'http://www.xxx.com/XXFakePage.aspx';//"。注意,前面的双引号是用来屏蔽 var p = " 的,后面紧接着就是一个JS页面跳转语句;最后面的 //" 是用来屏蔽 JS 脚本中的后引号的,最终形式如下:

 

<script>

    var p = ""; document.location.href = 'http://www.xxx.com/XXFakePage.aspx';//"";

</script>

  

明白了吗? 

你猜结果会怎么样?页面直接被跳转到 http://www.xxx.com/XXFakePage.aspx,如果这个页面是假冒页面,并且这个页面是嵌入在 Frameset 里的,那就不会显示在浏览器地址栏里,用户就会在毫无觉察的情况下,把用户名、密码、银行卡账号密码等机密信息提交到假冒服务器上!!

 

 

对策:

方法一:不要用 <%=Request["XXParam"];%> 来解析参数值,而直接用 JS 脚本从URL获取参数值

方法二:把参数值先放在 HIDDEN 控件里,例如: <input type=hidden id=xxhid value="<%=Server.HtmlEncode(Request["XXParam"]);%>"> 里,然后在 JS 里改为 var p = document.all.xxhid.value;

 

 

应该还有其他方法,以上方法只是示意,没有去编译,仅供参考。

AppFramework
关注
url中存在脚本注入风险_XXS跨站脚本攻击原理及代码攻防演示(一)
weixin_39610774的博客
12-03 2213
点击上方“蓝字”,一起愉快的学习吧!声明:本文并非小编所创,本文所有内容均来自优快云博主Eastmount版权声明:本文为优快云博主「Eastmount」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。原文链接:https://blog.youkuaiyun.com/Eastmount/article/details/102511286如需观看原文,请点击原...
Xss跨站脚本攻击(Cross Site Script)
xuyunpeng3189的博客
01-22 1088
原理: XSS攻击的核心思想就是在HTML页面中注入恶意代码服务器过滤不严格导致攻击者输入的恶意js代码被web前端执行XSS攻击中,一般有三个角色参与:攻击者、目标服务器、受害者的浏览 危害: 获取管理员cookie/提权,网站篡改,敏感信息泄露,钓鱼,网站挂马,客户端攻击,传播蠕虫 防御: 对用户输入和web输出均进行过滤,过滤特殊字符,",#,特殊标签,JS动作等等;限制用户输入数据的类型/长度;黑白名单;通过使cookie和系统IP绑定,来降低cookie泄露后的危险;httponly:禁
url中存在脚本注入风险_OWASP TPO 10应用安全风险
weixin_39940425的博客
12-11 837
OWASP TOP 10(OWASP十大应用安全风险)TOP1-注入当不受信任的数据作为命令或查询的一部分发送到解释器时,会发生注入漏洞,例如SQL,NoSQL,OS,LDAP注入(轻量目录访问协议),xpath(XPath即为XML路径语言,它是一种用来确定XML(标准通用标记语言的子集)文档中某部分位置的语言),HQL注入等。危害如下:注入可以导致数据丢失或被破坏,缺乏可审计性或拒绝...
使用JSONP方法解决跨域问题
weixin_34186128的博客
02-23 132
还记得之前为了解决跨域问题实现了一个简单的IIS,因为被说与需求不符合要求改成跨域访问的方式,所以必须要修改,于是就又进入了跨域访问的问题里,后来发现其实有一个更简单的跨域方法,也就是JSONP。给大家一个例子。 $.ajax({ type: "POST", url: "http://127.0.0.1:8890?link=1&jsoncallback=success",...
ajax跨域和JS的跨域通信(Cross The Site)的几种解决方案
raddle60的专栏
01-25 546
1. 什么引起了ajax跨域不能的问题    ajax本身实际上是通过XMLHttpRequest对象来进行数据的交互,而浏览器出于安全考虑,不允许js代码进行跨域操作,所以会警告。2. 有什么解决方案?    解决方案有不少,但是只能是根据自己的实际情况来选择。3. 具体情况有:本域和子域的相互访问: www.aa.com和book.aa.com本域和
H5-------------- script 标签的 crossorigin 属性有何作用
热门推荐
江木
01-31 2万+
先来看下使用: src="https://code.jquery.com/jquery-3.2.1.slim.min.js"     integrity="shdsfaafa/342/42342/werfadf/GpGFF93hXpG5KkN"     crossorigin="anonymous"> 看起来比以前的写法复杂好多-----------多了一个 int
Java如何防止JS脚本注入代码实例
10-14
在Web应用中,防止跨站脚本Cross-Site Scripting, XSS)注入是一项重要的安全措施。XSS攻击可以允许攻击者在用户的浏览器中执行恶意脚本,从而窃取用户信息、进行钓鱼攻击或进行其他恶意操作。在Java开发中,可以...
XSS.rar_XSS_cross scripting_cross site java_cross site scripting
09-14
XSS,全称为"Cross Site Scripting",是一种常见的网络安全漏洞,它允许攻击者在用户的浏览器注入恶意脚本。这种攻击方式通常发生在Web应用中,攻击者利用网站未能充分过滤或转义用户输入的数据,将恶意代码嵌入到...
跨站脚本攻击XSS(Cross Site Script)的原理与常见场景分析
10-18
1. 数据注入:攻击者将恶意脚本注入到由网站动态生成的页面中。这可能发生在用户输入的数据未经充分验证或过滤就被展示出来的地方,比如评论、论坛或搜索结果。 2. 脚本执行:当用户浏览器加载含有恶意脚本的页面时...
javascript过滤危险脚本方法.docx
01-19
JavaScript过滤危险脚本是Web开发中的重要安全措施,主要用于防止跨站脚本攻击(XSS,Cross-Site Scripting)。XSS攻击允许攻击者在用户的浏览器注入恶意脚本,可能导致敏感数据泄露、用户会话劫持等严重后果。...
JavaScript注入漏洞的原理及防范
weixin_30527551的博客
03-06 254
初次接触:   初次接触JavaScript注入漏洞后,如果不对这种漏洞的作用机理仔细分析并提取出其发生的某种模式,你就不能做到快速的发现项目中可能存在的所有注入风险并在代码中防范。 发生模式: JavaScript注入漏洞能发生作用主要依赖两个关键的动作,一个是用户要能从界面中注入JavaScript到系统的内存或者后台存储系统中;二是系统中存在一些UI会展示用户注入的数据。 比如注入漏...
script标签的crossorigin属性
weixin_30920513的博客
06-23 435
  通常我们使用window.onerror来捕获js脚本的错误信息。   但是对于跨域调用的js脚本,onerror事件只会给出很少的报错信息:error: Script error.   这个简单的信息很明显不足以看出脚本的具体错误,所以我们可以使用crossorigin属性,使得加载的跨域脚本可以得出跟同域脚本同样的报错信息:   <script crossorigin src...
script 标签中 crossorigin 属性说明
kill370354的博客
09-28 1767
一个令我困惑的问题:为什么跨域脚本一定要加crossorigin属性,才可以捕获到错误?深入研究了一番……
网站安全性之js注入
12-08 1万+
河北电信推出了一种阿福卡,据说特别实惠,不过我只记得各项优惠的其中一条:流量月底不清零,可累计。哥们托我 给他抢一张,常规手段可以抢到,不过要脚踩好几泡狗屎才行,他已经连续十多天了都没抢到,so想到了用程序猿的办 法来解决这件事。这种卡在天猫和官网发售,天猫就算了,阿里那帮牛逼哄哄的攻城狮都不是吃素的,于是只能上官网 瞅瞅看能否揪到官网的小辫子。上网搜了攻略,果不其然,有人已经公布了官网的b
Vue引入百度地图警告:A Parser-blocking, cross site (i.e. different eTLD+1) script....
呱呱的博客
03-27 5858
控制台警告 在vue中引入地图控制台输出: 警告出现原因 页面渲染以后调用了document.write() ,而这种方式chrome53以上版本是不允许的。 警告的用意 对于在2G,3G 或者是慢 wifi 环境下面,使用document.write()动态加载资源会让页面的展现慢10秒以上,浏览器可以呈现页面之前,必须通过解析HTML标记来构建DOM树。每当解析器遇到脚本时,它必须停止并执行...
危险系数排名前5的注入攻击
xnxqwzy的博客
12-26 949
注入攻击针对注入漏洞——这是一种非常广泛的网络安全漏洞,其中包括一些严重的应用程序安全风险。在OWASP的2021年十大风险中,注入是web应用安全的第三大风险。尽管攻击载体种类繁多,但几乎所有注入攻击的共同点都是,攻击者能够将未经验证的用户输入直接插入到执行的应用程序代码中。根据漏洞的类型和攻击目标的不同,攻击者可能会注入数据库查询、JavaScript代码、本机应用程序代码、操作系统命令等等。
A parser-blocking, cross site (i.e. different eTLD+1) script,
肖肖肖丽珠的博客
08-25 5556
A parser-blocking, cross site (i.e. different eTLD+1) script, https://orgstatic1.vvwx.net/Web/Static/School/SchoolConfigData.js?v=1629852869575, is invoked via document.write. The network request for this script MAY be blocked by the browser in this or a f
react项目引入百度地图api报有警告:A parser-blocking, cross site (i.e. different eTLD+1) script
weixin_45884050的博客
06-09 2416
A parser-blocking, cross site (i.e. different eTLD+1) script
script标签中的crossorigin属性
文摘资讯
11-23 1652
在前端监控逐渐完善的今天,页面中错误日志的上报可以说对我们的日常工作带来了极大的帮助。而使用 window.onerror 事件来捕获 js 脚本中的错误信息是重要的手段 。但是对于跨域的...
webgoat cross site scripting
最新发布
04-03
### WebGoat 中的跨站脚本攻击教程 WebGoat 是一个用于学习和实践安全漏洞的教学平台,其中包含了多种常见的网络安全威胁案例,其中包括跨站脚本攻击(XSS)。通过完成这些课程,用户能够深入了解 XSS 攻击的工作原理以及如何防御此类攻击。 #### 基础概念 跨站脚本攻击(XSS)是一种常见于 Web 应用中的安全性漏洞。这种攻击允许恶意用户向网页中注入恶意代码,通常是以 JavaScript 的形式呈现[^3]。一旦成功注入,这些恶意脚本会在其他用户的浏览器中被执行,从而可能导致敏感数据泄露或其他危害。 在 WebGoat 的 XSS 教程中,会引导学员逐步了解不同类型的 XSS 攻击及其利用方式。例如,在某些场景下,应用程序可能未对用户输入进行充分验证或转义处理,这就为反射型 XSS 提供了机会[^1]。 #### 实践路径分析 为了更好地理解 WebGoat 中有关 XSS 的教学内容,可以从以下几个方面入手: - **基本路由结构** 在访问 WebGoat 平台时,URL 结构提供了重要的线索来定位特定模块的学习资源。比如 `/WebGoat/start.mvc#lesson/CrossSiteScripting.lesson/9` 这样的链接表明当前正在浏览的是与跨站脚本相关的部分。这里提到的基本路由 `start.mvc#lesson/` 后接的具体参数定义了所选课程的内容范围。 - **JavaScript 处理机制** 当涉及到 DOM-based XSS 时,则需特别注意客户端脚本是如何动态修改页面内容的。因为即使服务器端返回的安全响应也可能因前端逻辑错误而遭到破坏[^2]。因此,在实际操作过程中应仔细观察哪些交互行为可能会触发潜在风险点。 #### 示例代码片段展示 下面给出一段简单的 HTML 表单作为例子说明为何需要谨慎对待来自外部的数据源: ```html <form action="/submit_comment" method="POST"> <textarea name="comment"></textarea> <button type="submit">Submit</button> </form> ``` 如果没有适当措施防止非法字符进入数据库或者重新渲染到界面上的话,上述表单项很容易成为实施存储型 XSS 的入口之一。 #### 安全防护建议 针对以上讨论的各种情况,采取有效的防范手段至关重要。主要包括但不限于以下几点: - 对所有不可信来源的信息进行全面编码转换; - 使用现代框架内置的功能自动规避大部分常规陷阱; - 定期审查现有业务流程是否存在隐患并通过自动化工具辅助检测隐藏问题;
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值