OWASP之XSS漏洞(一)

原创 已于 2024-12-20 10:39:32 修改 · 653 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#xss #安全 #web安全

于 2024-12-18 18:05:11 首次发布

XSS漏洞简介:

XSS(跨站脚本攻击,Cross-Site Scripting),允许攻击者在网页注入恶意脚本代码,当其他用户加载包含恶意代码的网站时候,就会触发该漏洞。

该漏洞攻击对象为受害者浏览器。

可能被注入的地方:微博、留言板、聊天室等收集用户输入的地方都可能被注入js代码,只要没有对用户的输入进行严格过滤,就可能被注入js代码。

XSS漏洞危害:

1、盗取各种用户账号;

2、窃取用户cookie资料,冒充用户身份进入网站;

3、劫持用户会话,执行恶意操作(操作用户浏览器);

4、刷流量,执行弹窗广告;

5、传播蠕虫病毒等等。

XSS的一般攻击流程:

首先要找到输入点和输出点(不能只找到输入点,还需要找到输出点,因为有输出点,浏览器才会解析恶意代码脚本)

攻击者将恶意代码注入到服务器中-》用户访问了被注入恶意代码的服务器-》服务器将含有恶意js代码的网页响应到了客户端-》在客户端浏览器中触发恶意js代码。

哪些地方存在输入点:url栏(如果是get传参数,可以在url寻找可能存在漏洞的地方);其次就是输入框。

防御方法:总体是对输入进行过滤,对输出进行编码。

1、对用户提交的数据进行严格过滤;

2、用户输入的内容,在输出到网页之前将其转换为HTML实体形式,比如将<转换为< 以阻止期作为HTML标签被解析;

3、设置HTTP头,限制网页可以加载的资源来源,防止外部恶意脚本的执行;

4、设置cookie为HTTP-only,防止通过js访问,减少被盗取后的风险等等。

类型:

1、反射型XSS:

参数型跨站脚本(一次性的),非持久性。注入恶意js代码在web应用的参数中,如搜索框中的反射型。

漏洞产生的原因:攻击者注入的数据反映在响应中(发送请求然后响应)。一个典型的非持久性XSS包含一个带XSS攻击向量的链接(可以理解为将路径导向具有恶意代码的网站的链接),每次进行XSS漏洞攻击的时候都需要用户点击这个链接,然后服务器返回一个响应包,里面就带着攻击者的eyijs代码,然后浏览器进行解析,就触发了该漏洞。

所以反射型的利用方式,就是诱导用户点击恶意链接。所以不要点击来历不明的链接。

除了常规地使用javascript弹框进行检测,还可以使用HTML事件方式触发。

2、DOM型XSS:

DOM型和反射型一样都是非持久性XSS即一次性,但是DOM型相比反射型XSS来说会更简单些。DOM型XSS的攻击代码不需要服务器解析响应(反射型和持久性都需要。),而是通过浏览器端的DOM解析来触发。攻击者可以通过客户端的js脚本访问浏览器的DOM并修改页面内容,不依赖服务器中的数据,直接从浏览器端获取数据并执行。这种类型的XSS漏洞通常在客户端直接输出DOM内容时候触发,例如使用document.getElementById("x").innerHTML或document.wtite等方法。

对页面的某个东西进行操作时,javascript就需要获得对html文档中所有元素进行访问的入口,这个入口就是dom,所以在dom型的xss漏洞利用中,dom可以看成一个访问html的标准程序接口。

可以使用HTML事件的方式或者使用javascript伪协议进行检测。

总结:作为企业,前两种(反射型和DOM型)漏洞一般都不会刻意去进行管理,而且很多时候给企业提交SRC的时候,都不会回复。

3、存储型XSS:恶意js代码不是某个参数,而是写进数据库或文件等可以永久保存数据的介质中。存储型xss通常发生在留言板等地方。多出现于论坛、博客和留言板中。攻击者在发帖的过程中,将恶意代码写入了帖子中,然后随帖子一起保存在了服务器中,当其他用户浏览这个帖子时,就会执行改恶意脚本。

存储型XSS可能出现的位置:

用户注册、留言板、上传文件的文件名处、管理员可见的报错信息、在线聊天框、客服、问题反馈区、邮件信箱

理论上,见框就插入

存储型XSS作用:获取cookie,内网IP等。

检测方法:存储型不使用弹框地方式进行检测,使用打印控制台日志来进行检测。

比如:<script>console.log(‘aa’);</script>,然后在控制台中查看是否打印出aa,如果打印出来了就说明代码生效了,就存在该漏洞。

XSS练习靶场:xss-labs-master

 

dirich
关注
漏洞学习】DVP-2018-01393(聊天室XSS漏洞
Fly_鹏程万里
01-16 553
漏洞URL:http://new.funcoin.co/ 测试账号:1***************m 密码:t********6 漏洞说明: 登陆测试账号后,点击聊天室: 在聊天室中输入xss payload 刷新下页面后,移动鼠标到M弹出 漏洞证明: 漏洞利用代码: &lt;aonmouseover=alert(7)&gt;M 修复方案: ...
OWASPXSS漏洞(二)(xss-labs靶场1-5关)
dirich的博客
12-18 484
首先可以使用js弹框代码进行检测,如果不行,看页面有什么提示,然后使用开发者工具查看前端代码,需要闭合先构造闭合,闭合可以使用双引号也可以使用单引号;前面说过(上篇文章)在检测xss时候需要先找到输入点和输出点,这里我们可以看到页面中没有任何输入框,别忘了前面说过,get传参的url栏也可以传参,我们来试下。(输入点可能是输入框,也可能是get传参的url)(这里的双引号是我后面为了讲解布上去的,后来才发现是中文字符的双引号,切记这里必须是。(搭建教程网上有很多,很简单,这里就不过多赘述了。
OWASPXSS漏洞靶场复现
weixin_64158899的博客
08-26 473
xss漏洞攻击的简介与简单实现步骤
OWASP-TOP10漏洞xss漏洞
weixin_63646687的博客
03-10 927
xss漏洞
OWASPXSS漏洞(三)xss-labs靶场(6-9关)
dirich的博客
12-19 214
alert(1)
XSS漏洞利用 + owasp练习
bin789456的博客
10-25 677
写在前面 靶场链接:https://github.com/do0dl3/xss-labs
OWASP TOP10——XSS
2301_80299389的博客
04-23 1196
不执行用户的输入,此时会把用户的输入变成文本属性 浏览器会先加载个静态的html,html里的每部分都会被明确的规定它的属性,有文本、css、jsp之类的,这样的话浏览器就不会执行预期外的代码。:最大的特点是非持久化,般只存储在url中,利用攻击者编辑好的url,每当用户点击访问url(恶意链接)的时候就会触发提前编辑好的恶意代码(jsp代码)从而实现窃取cookie等操作(不持久,用),当用户去加载和浏览这个页面的时候,恶意的script代码也会被执行,从而达到恶意攻击的目的。
OWASPXSS漏洞(四)(xss-labs靶场10-17关)
dirich的博客
12-20 252
剩下几关都跟flash插件有关,但是现在很多浏览器都不支持这个插件了,所有剩下几关也做不了。感兴趣的可以网上搜索看看。这关通常是通过抓取请求包,将恶意js代码注入请求包中的相关参数中。xss漏洞点可以是请求包的REFERER头、UA头、或者cookie;通过bp抓包修改相应部分的内容。至此XSS-LABS靶场打完了,对于xss的学习还任重道远,要继续学习更深层次的东西才行。这里我换了个浏览器,使用firefox浏览器,然后装上代理的插件。可以使用空格构造闭合,使用url编码进行绕过。
OWASP学习之XSS攻击
s11show_163的博客
02-13 492
标题XSS攻击分为三类: 反射型:不具有持久性,浏览器发送数据给服务器通过PHP代码处理返回给浏览器。 存储型:威胁最大,浏览器发送payload给服务器处理后给数据库。 DOM型:不需要服务器端内容,前端代码出问题导致前端DOM树被修改。 2.存储型 写个php代码如下(重点注意php连接数据库的操作): phpstudy运行这个页面加入数据库后查询id=1即可运行该script,可通...
精选资源
DVWA靶场,集成了owasp top 10漏洞
03-28
DVWA(Damn Vulnerable Web Application)是个开源的Web应用程序,专为网络安全专业人士设计,用于学习和测试各种Web安全漏洞。这个靶场集成了OWASP(Open Web Application Security Project)的Top 10漏洞,这些...
OWASP 之跨站脚本xss基础技能
wutiangui的博客
06-12 1988
简单来说DOM文档就是份XML文档,当有了DOM标准之后,DOM便将前端html代码化为个树状结构,方便程序和脚本能够轻松的动态访问和更新这个树状结构的内容、结构以及样式,且不需要经过服务端,所以DOM型xssjs前端自己就可以完成数据的输入输出,不与服务器产生交互,这样来说DOM型xss也可以理解为反射性xss。使别的用户访问都会执行相应的嵌入代码。攻击者将已经构造完成的恶意页面发送给用户,用户访问看似正常的页面后收到攻击,这类XSS通常无法直接在URL中看到恶意代码,具有较强的持久性和隐蔽性。
Web安全之SQL注入-CSRF-XSS
AI大模型/Python/Java/MySQL技术栈,快来和我一起学习吧 ~
12-29 1070
攻击者通过在用户输入中嵌入恶意 SQL 片段,绕过应用逻辑,直接操作数据库。 示例(危险代码): → 可导致:数据泄露、删除表、提权、远程命令执行(如 PostgreSQL 的 COPY TO)攻击者诱导已登录用户访问恶意网站,该网站自动向目标站点(如银行)发起带 Cookie 的请求(如转账),利用用户身份执行非意愿操作。 前提:用户已登录目标站 + 请求无二次验证。攻击者将恶意脚本(JavaScript)注入网页,当其他用户浏览时执行,窃取 Cookie、会话、钓鱼等。 分类:示例:
跨站脚本攻击XSS
huangpf_vcx
12-31 905
在前端安全领域,绝对是“头号公敌”。它允许攻击者将恶意脚本注入到网页中,当其他用户浏览该页面时,脚本会在用户的浏览器中执行。这就好比个坏人(黑客)在超市(网页)的货架上放了张虚假的优惠券(恶意脚本),当顾客(用户)拿起来看时,优惠券上的咒语就生效了,可能会偷走顾客的钱包(Cookie)或者替顾客下单(执行非法操作)。为了帮你彻底搞定这个问题,我将从以及这几个维度为你详细拆解。XSS 攻击主要分为三类,了解它们的区别是防御的第步非持久型 XSS持久型 XSS基于 DOM 的 XSS
Vue 如何避免 XSS 攻击等常见前端安全问题
Irene1991的博客
12-28 756
Vue.js通过多重机制防范XSS攻击:1.默认转义文本插值内容;2.要求显式使用v-html指令处理HTML;3.自动过滤危险属性值(如javascript:协议);4.服务端渲染时自动转义内容;5.提供安全开发建议(使用净化库、验证URL等)。Vue3还增强了对动态属性的防护。关键安全原则包括:不信任用户输入、结合内容安全策略(CSP)、对动态内容进行严格验证。开发者需注意,框架提供的防护需要配合良好的安全实践才能构建真正安全的Vue应用。
Vue.js 中的 XSS 攻击防护机制详解
LYFlied的博客
12-31 334
Vue.js 内置了多层 XSS 防护机制,默认对所有动态内容进行 HTML 转义,包括文本插值({{}})和属性绑定(v-bind)。核心防护措施通过 escapeHTML 函数实现特殊字符转义,并在编译阶段对文本节点进行安全处理。虽然 v-html 指令存在直接插入 HTML 的风险,但可通过只使用可信内容或集成消毒库(如 DOMPurify)来确保安全。服务器端渲染时同样会进行内容转义,并检查客户端与服务端渲染内容的致性以防止攻击。最佳实践建议:避免直接使用 v-html,对用户输入进行严格验证和消
无网环境下的终端登录安全个被忽视的等保盲区
安当加密
01-01 781
在等保2.0全面落地的今天,大多数企业已部署防火墙、EDR、日志审计等纵深防御体系。。尤其在的环境中(如监控室、工控机房、财务内网终端),这风险被进步放大。
软考 系统架构设计师系列知识点之安全架构设计理论与实践(18)
最新发布
phmatthaus的专栏
01-03 88
软考 系统架构设计师系列知识点之安全架构设计理论与实践(18)
安全隐私页面 Cordova&OpenHarmony 混合开发实战
2501_94444908的博客
12-29 480
本文介绍了家庭菜谱应用的安全隐私模块实现方案。该模块通过Cordova&OpenHarmony混合架构,Web层负责展示清理选项和确认对话框,ArkTS原生层执行实际数据操作。主要功能包括清除缓存和重置应用,通过不同按钮样式区分操作风险级别。清除缓存会删除临时文件,而重置应用则会清空所有菜谱数据。实现上采用"Web交互+原生执行"的安全分工模式,Web层处理用户确认和提示,原生层通过SecurityPlugin执行文件删除操作。该设计既保证了数据安全,又提供了良好的用户体验。
电子电器架构 --- 主机厂的安全理念(下)
Soly_kun的博客
12-29 200
摘要:本文以汽车电子工程师视角,探讨智能汽车时代的安全理念与实践。作者强调安全是主机厂的生命线,并重点分析了蔚来汽车的四大信息安全原则:最小权限原则从源头控制风险,零信任设计打破传统安全预设,分层纵深防御构建"云-管-端"防护体系。文章指出,在汽车智能化转型中,信息安全已成为维系用户信任的核心纽带,需要贯穿研发、生产、服务全流程。通过系统化的安全体系建设,才能应对日益复杂的网络安全挑战,守护用户生命财产安全。(149字)
springmvc owasp处理XSS
03-26
### Spring MVC 中基于 OWASPXSS 防护最佳实践 XSS(跨站脚本攻击)是种常见的 Web 安全漏洞,允许攻击者注入恶意脚本并影响其他用户。在 Spring MVC 应用程序中,可以通过多种方式结合 OWASP 推荐的最佳实践来有效防护 XSS 攻击。 #### 输入验证与清理 确保应用程序能够正确验证和清理来自客户端的所有输入数据。可以采用 JavaScript 或服务器端逻辑实现这目标。例如,在前端使用自定义函数对用户输入进行清理[^2]: ```javascript function sanitize(input) { const escapeMap = { '&': '&', '<': '<', '>': '>', '"': '"', "'": ''' }; return input.replace(/[&<>"']/g, function(match) { return escapeMap[match]; }); } ``` 上述代码片段展示了如何通过简单的替换策略清除潜在危险字符。然而,更复杂的场景可能需要依赖成熟的库如 DOMPurify 来完成更加全面的安全保障。 #### 输出编码 无论何时向 HTML 页面写入动态内容,都应对其进行适当形式的编码以防止意外解析为可执行代码。Spring 提供了内置支持用于自动转义模板中的变量值。如果正在使用 Thymeleaf,则只需启用 `th:utext` 属性即可获得默认保护措施;而对于 JSP 用户来说,推荐切换至 EL 表达式的标准语法 `${}` 并确认其已开启隐式转义功能[^1]。 另外值得注意的是,当涉及 JSON 数据返回给 AJAX 请求时也需格外小心。因为即使服务端已经做好充分准备,但如果前端框架未能妥善处理接收到的数据仍可能导致风险暴露。因此建议总是将响应体设置成纯文本而非直接嵌套于 script 标签内部[^5]。 #### CSRF Token 实现 虽然主要讨论的是针对 XSS 的解决方案,但实际上两者之间存在紧密联系——成功防范前者往往有助于间接缓解后者带来的威胁。具体而言,在每次提交表单前附加独无二且难以预测的次性令牌作为额外参数传递给后台校验不失为种行之有效的手段之: ```java @ControllerAdvice public class CsrfTokenResponseInterceptor extends HandlerInterceptorAdapter { @Override public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception { if (modelAndView != null && !CollectionUtils.isEmpty(modelAndView.getModel())) { CsrfToken csrf = (CsrfToken) modelAndView.getModel().get(CsrfToken.class.getName()); modelAndView.addObject("csrfToken", csrf.getToken()); } } } ``` 此拦截器负责提取当前会话关联的 CSRF token 并将其加入视图模型以便后续渲染过程中引用。 --- ### 总结 综上所述,要有效地应对 Spring MVC 环境下的 XSS 挑战,应当综合运用输入净化、输出编码以及引入必要的认证机制等多种技术手段共同构筑防线。同时定期开展安全性评估活动也是不可或缺的部分工作内容[^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值