安全矩阵

 找回密码
 立即注册
搜索
查看: 3557|回复: 0

浅谈XSS安全防范

[复制链接]

991

主题

1063

帖子

4315

积分

论坛元老

Rank: 8Rank: 8

积分
4315
发表于 2020-10-10 19:18:24 | 显示全部楼层 |阅读模式
本帖最后由 gclome 于 2020-10-10 19:20 编辑

原文链接:浅谈XSS安全防范

XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。en...en...就这么个意思


  xss分为三种类型,分别有反射型、存储型(持久型)、dom型。反射型是不存放在数据库,需要每次构造。存储型是存放在数据库,需要插入到数据库。dom型就是前端的,没有和服务器交互。

一般存在于留言框、搜索框、信息发布、地址填写框等功能模块。那么常见攻击行为

1、钓鱼恶意弹窗

2、定位索取

3、cookie盗取

        当在网页查看代码时,会发现加载了js文件,造成恶意攻击。并且有些xss攻击,能使网站功能模块失效,导致崩溃。
常见防范xss攻击手段,一般常见有以下几个方法
  1. 输入时进行过滤,如script、img、<、src等,使无法执行js脚本
  2. 输出时进行转义、将<、=、等符号进行转义,使无法执行js脚本   
  3. 使用安全狗、D盾、云锁等第三方软件防护。
  4. 使用http_only防止盗取cookie
复制代码
   
    http_only能有效防范cookie盗取,但是弹窗那个仍旧会出现。
设置http_only有两种方法
方法一:在php.ini配置文件中进行cookie只读设置的开启
  1. session.cookie_httponly = On
复制代码
方法二:在php代码顶部设置
  1. ini_set("session.cookie_httponly", 1);
  2. #(php5.1以前版本设置方法:header("Set-Cookie: hidden=value; httpOnly");)
复制代码


可以防止cookie盗取,测试设置后的xss攻击截图

可以看到cookie为空了。


回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-28 07:27 , Processed in 0.013192 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表